Si vendes online, el cobro con tarjeta sigue siendo el estándar. La forma más habitual de hacerlo en España es mediante un TPV virtual (pasarela bancaria), como Redsys o CECA, contratado a través de tu entidad bancaria.

En esta guía verás cómo funciona, qué implica PSD2 + SCA, qué es 3D Secure 2, qué mirar antes de elegir y una checklist para publicar sin sustos.

¿Qué es un TPV virtual?

Un TPV virtual es el sistema que permite cobrar con tarjeta en una web conectando tu tienda con el banco. Normalmente:

  • Tu cliente paga con tarjeta en un entorno seguro.

  • La operación se valida con medidas antifraude y autenticación.

  • El comercio recibe la confirmación del pago y el dinero se abona según las condiciones del banco.

En el caso de Redsys, su TPV virtual permite integrar pago con tarjetas de marcas como Visa, Mastercard, American Express, JCB, Diners o UnionPay (según configuración/entidad) y soporta autenticación 3D Secure.

Cómo funciona un pago con tarjeta en una tienda online

El flujo típico es:

  1. El cliente confirma el pedido (carrito/checkout).

  2. La tienda envía la petición de pago al TPV (redirigido o integración).

  3. El banco aplica controles de seguridad y, si toca, pide autenticación.

  4. Se devuelve el resultado: pago aceptado / denegado.

La autenticación y la seguridad están muy ligadas a PSD2 y a la SCA (te lo explico ahora).

PSD2 y SCA: lo que cambió la seguridad del pago online

La normativa PSD2 impulsa la autenticación reforzada (SCA) para reducir fraude en pagos electrónicos. Redsys lo explica en su documentación operativa sobre SCA/PSD2.

La SCA, en términos sencillos, exige que el comprador se identifique usando al menos dos factores de estas categorías:

  • algo que sabe (PIN/contraseña),

  • algo que tiene (móvil),

  • algo que es (biometría).

3D Secure 2 (EMV 3DS): “frictionless” vs “challenge”

Para cumplir SCA en pagos con tarjeta se usa el protocolo 3DS, que:

  • reduce fraude y aumenta seguridad,

  • y puede funcionar en modo frictionless (sin intervención del usuario) o challenge (pidiendo validación extra), según el riesgo y la información disponible.

En la práctica, una buena implementación busca máxima seguridad sin destrozar la conversión (menos pantallas extra innecesarias).

Redsys vs CECA: qué mirar antes de decidir

En muchos casos la decisión no es “Redsys o CECA”, sino qué TPV te ofrece tu banco y con qué condiciones. Aun así, cuando compares, revisa:

1) Método de integración

  • Redirección (más simple) vs integración más directa (más control del checkout).

  • Compatibilidad con tu CMS (p. ej., WordPress / PrestaShop) mediante módulos.

2) Soporte de SCA/3DS2 y exenciones

Redsys documenta operativas relacionadas con autenticación y la capacidad de la tarjeta para 3DS, exenciones, etc.
CECA también publica fichas informativas para comercios sobre 3DS y SCA.

3) Métodos de pago y alcance

Según el TPV, puedes tener más o menos soporte de marcas/tipos de tarjeta. En Redsys, por ejemplo, se indica compatibilidad con varias marcas (incluyendo internacionales).

4) Panel de control y operativa

Pregunta por:

  • gestión de devoluciones,

  • conciliación,

  • exportación de operaciones,

  • multiterminal/multicomercio si tienes varias tiendas.

Costes habituales de un TPV virtual (sin humo)

En España lo común es:

  • comisión por operación (porcentaje y/o fijo),

  • y en algunos bancos cuota de mantenimiento (mensual/anual),

  • además de condiciones especiales según volumen/sector.

No hay “precio universal”: lo decide tu entidad.

Cómo contratar e integrar tu TPV en tu tienda online

Paso 1) Contratación con tu banco

Solicitas el TPV virtual y te entregan:

  • credenciales / comercio / terminal,

  • claves/firmas,

  • entorno de pruebas (si lo ofrecen) y de producción.

Paso 2) Integración técnica

Depende de tu plataforma:

  • CMS con módulo: instalación + configuración + pruebas (pago OK / pago KO / devoluciones).

  • Desarrollo a medida: integración siguiendo la documentación del proveedor/entidad.

Paso 3) Pruebas imprescindibles antes de publicar

  • Pago correcto y correo de confirmación.

  • Pago rechazado.

  • Reintentos.

  • Devolución total/parcial (si aplica).

  • Verificación de estados de pedido (no “pagado” si no lo está).

Checklist rápida antes de publicar

  • HTTPS activo en toda la web

  • Checkout claro (sin fricción)

  • 3DS2/SCA funcionando correctamente

  • Tests de pago OK / KO realizados

  • Estados de pedido correctos (pagado / pendiente / fallido)

  • Política de devoluciones y contacto visibles

  • Soporte del banco/TPV confirmado (qué hacen si hay incidencias)

Preguntas frecuentes

¿Un TPV virtual es “más seguro” que otras pasarelas?

Un TPV virtual aplica estándares bancarios y autenticación (SCA/3DS). La seguridad concreta depende de la configuración, del banco y del flujo de pago.

¿Por qué a veces pide verificación en el móvil y otras veces no?

Por 3DS2: si el banco considera que la operación es de bajo riesgo puede ser “frictionless”; si no, pide “challenge”.

¿Qué afecta más a la conversión?

Normalmente: checkout (campos/pasos), rendimiento móvil y el flujo de autenticación cuando salta “challenge”. Trabajar bien UX + datos de la transacción ayuda a reducir fricción manteniendo seguridad.

Tabla de contenidos

¿Tienes alguna duda o quieres tu página web?

Contacta con nosotros

Noticias recientes

Foto Juan Fernández Especialista SEO

Escrito por: Juan Fernández

Especialista en Posicionamiento web con más de 10 años de experiencia consiguiendo objetivos orgánicos de crecimiento. Ha trabajado con marcas nacionales e internacionales, enfocándose siempre en el aumento de conversiones.