Integración del Monitoreo de cuentas

Esta página describe cómo incorporar el Monitoreo de cuentas a su aplicación.

El Monitoreo de cuentas revisa el comportamiento y los detalles del dispositivo asociados a las acciones de inicio de sesión y actualización de la cuenta. El servicio devuelve una decisión sobre el riesgo asociado a la acción para que usted pueda decidir si desea denegar la acción, verificar la identidad del usuario o permitir que la acción continúe.

Dicha página incluye la siguiente información:

  • Requisitos previos: Asegúrese de tener definidos los elementos en la sección de requisitos previos antes de implementar el monitoreo de cuentas.
  • Integración de inicio de sesión: El monitoreo del inicio de sesión vigila los eventos de inicio de sesión y, si es necesario, emite un desafío de identificación multifactor. Siga las instrucciones paso a paso para añadir el monitoreo del inicio de sesión a su aplicación.
  • Integración de actualización de cuenta: El monitoreo de la actualización de la cuenta vigila los cambios en la información de la cuenta de un usuario, como la dirección, la información de contacto o los cambios de contraseña. Si es necesario, el servicio emite un desafío de identificación multifactor. Siga las instrucciones paso a paso para añadir el monitoreo de la actualización de la cuenta a su aplicación.

Requisitos previos

Para implementar Account Protect usted debe incorporar los siguientes elementos a su aplicación:

  • Seguridad: Configure la transmisión de datos encriptados y obtenga sus credenciales de API:
    • Transmisión de datos encriptados: Su aplicación debe utilizar TLS 1.2 o superior para proteger la información que se envía entre sus sistemas y Vesta.
    • Credenciales de API: Su nombre de cuenta de API y su contraseña están disponibles en vPortal. Se utilizan para autenticar sus solicitudes a la API de Account Protect.
  • Análisis del comportamiento: Implemente el SDK del Recopilador de datos como se describe en la sección de recursos para desarrolladores de este sitio. El SDK del Recopilador de datos envía los datos del comportamiento del usuario a Vesta e impulsa las funciones de verificación multifactor sin contraseña del Monitoreo de cuentas. Necesitará su identificación de usuario del Recopilador de datos, que le proporciona Vesta durante la incorporación.
  • Huella digital del dispositivo: Implemente Huella digital del dispositivo en su aplicación móvil o web para recolectar datos sobre el dispositivo que se utiliza para acceder a sus servicios.
  • API de Account Protect: Implemente API de REST de Account Protect como se describe en la documentación de API de Vesta. Las solicitudes de API deben provenir del back-end (parte del servidor) de su sistema y no pueden enviarse desde el navegador de su usuario.
  • URL de Webhooks: Si su aplicación utiliza webhooks para recibir respuestas de Vesta, debe definir la URL del webhook durante la incorporación.

Vesta proporciona entornos de sandbox y de producción para desarrollar y desplegar su aplicación. Las credenciales de Sandbox están disponibles en vPortal y las credenciales de producción se proporcionan una vez que su aplicación ha aprobado el proceso de certificación.

Integración del inicio de sesión

Los pasos siguientes describen cómo incorporar Account Protect al flujo de trabajo del inicio de sesión de su aplicación:

1. Solicitar una identificación de sesión

En cuanto se abre su aplicación, envíe una solicitud POST al punto final GetSessionTags de la API de Account Protect.

Incluya la siguiente información en el cuerpo de la solicitud:

  • AccountName: Su nombre de cuenta de API.
  • Password: La contraseña de su cuenta de API.
  • TransactionID: Un identificador único para esta sesión. Genere este valor en su sistema para hacer un seguimiento de la sesión.

El recurso devolverá los valores de webSessionID y OrgID que se utilizarán en los pasos siguientes.

Consulte la definición de recurso de GetSessionTags para más detalles.

2. Inicializar el Recopilador de datos

Durante la inicialización de la aplicación, llame al método start(); del Recopilador de datos.

El método start(); toma los siguientes parámetros:

  • Application: Una instancia de la aplicación actual.
  • webSessionID: El valor de webSessionID devuelto por el recurso GetSessionTags en el paso 1.
  • LoginID: Su identificador de usuario del Recopilador de datos que fue generado por Vesta durante la incorporación.

Consulte la documentación de SDK del Recopilador de datos para su plataforma a fin de obtener detalles sobre la inicialización del Recopilador de datos.

3. Generar una huella digital del dispositivo

Genere una Huella digital del dispositivo para enviar información detallada sobre el dispositivo del cliente a Vesta. Los pasos específicos dependen de si está construyendo una aplicación móvil o web.

Móvil

La integración de la Huella digital del dispositivo genera la huella digital del dispositivo automáticamente. Consulte la página de Integraciones de la Huella digital del dispositivo para obtener más detalles. Continúe con el siguiente paso.

Web

Pase los valores de webSessionID y OrgID que obtuvo de la respuesta de GetSessionTags en el paso 1 al HTML que agregó a su sitio cuando implementó Huella digital del dispositivo. Luego ejecute el código.

El código de muestra que aparece a continuación indica dónde debe añadir los valores de identificación, pero debe utilizar el HTML correcto para su región, el cual está disponible en la página Huella digital del dispositivo - Integración web:

<!-- Begin fingerprinting tags below -->

<p style="background:url(https://{regional-url}/DF/fp/clear.png?org_id="{OrgID}"&session_id="{WebSessionID}"&m=1)"></p>

<img src="https://{regional-url}/DF/fp/clear.png?org_id="{OrgID}"&session_id={WebSessionID}"&m=2" alt=""/>

<script src="https://{regional-url}/DF/fp/check.js?org_id="{OrgID}"&session_id="{WebSessionID}" type="text/javascript"></script>

<!-- End fingerprinting tags -->

Debe generar una Huella digital del dispositivo antes de que el usuario envíe la información de inicio de sesión. La generación de una Huella digital del dispositivo puede tardar hasta cinco segundos; por lo tanto, asegúrese de que el script sea la última parte de la página de inicio de sesión en cargarse y desactive el botón de Inicio de sesión hasta que la página se haya cargado por completo.

4. Enviar a Vesta la información de la cuenta

Después de que su usuario ingrese un nombre de usuario y una contraseña y haga clic en el botón de inicio de sesión, envíe una solicitud POST al punto final LoginAttempt con los detalles de la cuenta en el cuerpo de la solicitud. Consulte la definición del recurso LoginAttempt en la documentación de API de Account Protect para obtener más detalles.

La respuesta incluirá un EventID y un valor de EventStatusText.

  • EventID: Un identificador único para el evento. Almacene el valor de EventID para que pueda consultarlo cuando revise la decisión final devuelta por Account Protect.
  • EventStatusText: Identifica si debe Accept, Decline o Challenge la creación de una nueva cuenta.
    • Accept: Permite al usuario iniciar sesión en la cuenta.
    • Decline: Vesta no recomienda permitir el acceso del usuario a la cuenta. Notifique al propietario de la cuenta de un posible intento de inicio de sesión fraudulento y proporcione una manera de actualizar y verificar la información de la cuenta.
    • Challenge: Vesta recomienda emitir un desafío de identificación multifactor. Continúe con el siguiente paso.

5. Notifique a su usuario que siga los pasos del desafío de identificación

Mostrar una pantalla indicando que el usuario debe seguir las instrucciones de verificación de identidad.

El dispositivo del usuario emitirá una notificación con instrucciones para verificar su identidad. Account Protect verificará la identidad del usuario y proporcionará una decisión final a través de un webhook o una operación de API:

  • Webhook: Vesta envía el estado final a la URL del webhook que usted proporcionó durante la incorporación.
  • API Request: Envíe una solicitud POST a GetAccountEventStatus con el EventID devuelto por la solicitud inicial de la API de Account Protect.

Si Vesta es capaz de confirmar la identidad del usuario, permite que el usuario inicie sesión.

De lo contrario, Vesta no recomienda permitir al usuario el acceso a la cuenta. Notifique al propietario de la cuenta de un posible intento de inicio de sesión fraudulento y proporcione una manera de actualizar y verificar la información de la cuenta.

6. Notifique los resultados a Vesta

Envíe una petición POST al punto final UpdateEventDisposition para notificar a Vesta si el intento de inicio de sesión se completó con éxito o falló por algún motivo. La determinación se utiliza para mejorar nuestra capacidad de detección de fraudes en sus servicios.

Integración de la actualización de cuentas

Los siguientes pasos describen cómo incorporar Account Protect al flujo de trabajo de actualización de cuentas de su aplicación:

1. Solicitar una identificación de sesión

En cuanto se abre su aplicación, envíe una solicitud POST al punto final GetSessionTags de la API de Account Protect.

Incluya la siguiente información en el cuerpo de la solicitud:

  • AccountName: Su nombre de cuenta de API.
  • Password: La contraseña de su cuenta de API.
  • TransactionID: Un identificador único para esta sesión. Genere este valor en su sistema para hacer un seguimiento de la sesión.

El recurso devolverá los valores de webSessionID y OrgID que se utilizarán en los pasos siguientes.

Consulte la definición de recurso de GetSessionTags para más detalles.

2. Inicializar el Recopilador de datos

Durante la inicialización de la aplicación, llame al método start(); del Recopilador de datos.

El método start(); toma los siguientes parámetros:

  • Application: Una instancia de la aplicación actual.
  • webSessionID: El valor de webSessionID devuelto por el recurso GetSessionTags en el paso 1.
  • LoginID: Su identificador de usuario del Recopilador de datos que fue generado por Vesta durante la incorporación.

Consulte la documentación de SDK del Recopilador de datos para su plataforma a fin de obtener detalles sobre la inicialización del Recopilador de datos.

3. Generar una huella digital del dispositivo

Genere una Huella digital del dispositivo para enviar información detallada sobre el dispositivo del cliente a Vesta. Los pasos específicos dependen de si está construyendo una aplicación móvil o web.

Móvil

La integración de la Huella digital del dispositivo genera la huella digital del dispositivo automáticamente. Consulte la página de Integraciones de la Huella digital del dispositivo para obtener más detalles. Continúe con el siguiente paso.

Web

Pase los valores de webSessionID y OrgID que obtuvo de la respuesta de GetSessionTags en el paso 1 al HTML que agregó a su sitio cuando implementó Huella digital del dispositivo. Luego ejecute el código.

El código de muestra que aparece a continuación indica dónde debe añadir los valores de identificación, pero debe utilizar el HTML correcto para su región, el cual está disponible en la página Huella digital del dispositivo - Integración web:

<%@ taglib uri="http://java.sun.com/jstl/core" prefix="c"%>

<!-- Begin fingerprinting tags below -->

<p style="background:url(https://{regional-url}/DF/fp/clear.png?org_id="{OrgID}"&session_id="{WebSessionID}"&m=1)"></p>

<img src="https://{regional-url}/DF/fp/clear.png?org_id="{OrgID}"&session_id={WebSessionID}"&m=2" alt=""/>

<script src="https://{regional-url}/DF/fp/check.js?org_id="{OrgID}"&session_id="{WebSessionID}" type="text/javascript"></script>

<!-- End fingerprinting tags -->

Debe generar una huella digital del dispositivo antes de que el usuario envíe la información actualizada de la cuenta. La generación de una Huella digital del dispositivo puede tardar hasta cinco segundos; por lo tanto, asegúrese de que el script sea la última parte de la página de actualización de la cuenta en cargarse y desactive el botón de Enviar hasta que la página se haya cargado por completo.

4. Envíe a Vesta la información de actualización de la cuenta

Después de que el usuario ingrese la información actualizada de la cuenta y haga clic en el botón Enviar, envíe solicitudes POST a uno o varios de los siguientes puntos finales, dependiendo de la información que se esté actualizando:

  • ChangeAddress: Si el usuario actualiza la información de la dirección, envíe una solicitud POST con la información de la nueva dirección en el cuerpo de la solicitud.
  • AddAddress: Si el usuario añade una nueva dirección de envío o de facturación, envíe una solicitud POST con la dirección y los identificadores de la cuenta en el cuerpo de la solicitud.
  • ChangeEmail: Si el usuario actualiza la dirección de correo electrónico asociada a la cuenta, envíe una solicitud POST con la información de la dirección de correo electrónico anterior y la nueva en el cuerpo de la solicitud.
  • ChangePhoneNumber: Si el usuario actualiza el número de teléfono de la cuenta, envíe una solicitud POST con el número de teléfono anterior y el nuevo en el cuerpo de la solicitud.
  • AddPaymentMethod: Utilice esta operación cuando el usuario guarde un nuevo método de pago en su cuenta. Debe incluir el número de la tarjeta de crédito/débito, el token o el BIN más los últimos 4 dígitos del número de la tarjeta en el cuerpo de la solicitud. Vesta devolverá una decisión de riesgo para este evento.
  • RewardsRedeem: Utilice esta operación para obtener una decisión de riesgo e iniciar una verificación de identidad cuando un cliente intente canjear recompensas como parte de su programa de lealtad.

Debe enviar una solicitud distinta para cada tipo de información que se actualice. Las solicitudes a la API de Account Protect deben enviarse desde su servidor backend y no desde el navegador web de su usuario. Consulte la documentación de API de Account Protect para obtener más detalles.

Account Protect devolverá un valor de EventStatusText para cada solicitud de cambio:

  • Accept: El cambio no parece ser fraudulento. Actualice la información de la cuenta del usuario de forma normal y no lleve a cabo el paso 5.
  • Decline: El cambio es probablemente fraudulento. Vesta no recomienda actualizar la información de la cuenta. Notifique a su usuario la posible actividad fraudulenta de la cuenta y no lleve a cabo el paso 5.
  • Challenge: La identidad del usuario debe verificarse. Continúe con el siguiente paso para verificar la identidad del usuario utilizando la información biométrica del dispositivo.

5. Notifique a su usuario que siga los pasos del desafío de identificación

Mostrar una pantalla indicando que el usuario debe seguir las instrucciones de verificación de identidad.

El dispositivo del usuario emitirá una notificación con instrucciones para verificar su identidad. Account Protect verificará la identidad del usuario y proporcionará una decisión final a través de un webhook o una operación de API:

  • Webhook: Vesta envía el estado final a la URL del webhook que usted proporcionó durante la incorporación.
  • API Request: Envíe una solicitud POST al punto final GetAccountEventStatus con el EventID devuelto por la solicitud inicial de la API de Account Protect.

Si Vesta puede confirmar la identidad del usuario, actualice la información de la cuenta del usuario.

De lo contrario, Vesta no recomienda permitir que el usuario actualice la cuenta. Notifique al propietario de la cuenta de una posible actividad fraudulenta y proporcione una manera de actualizar y verificar las credenciales de la cuenta.

6. Notifique los resultados a Vesta

Envíe una petición POST al punto final UpdateEventDisposition para notificar a Vesta si el intento de inicio de sesión se completó con éxito o falló por algún motivo. La determinación se utiliza para mejorar nuestra capacidad de detección de fraudes en sus servicios.