Todo lo que una Entidad Financiera necesita conocer y aplicar

Aplicación Móvil NeoCheck

¿Qué es la PSD2?

Dos puntos son clave de esta nueva normativa PSD2: dar vida a nuevas formas de pago y hacerlas más seguras.

  1. En materia de protección, y con la idea de incrementar la confianza de los consumidores en los pagos electrónicos, establece nuevos mínimos de autenticación/identificación para el usuario para lo que cobra un gran valor la SCA (o doble autenticación). Esta obliga a aplicar 2 ó 3 factores a elegir entre: una cosa que el usuario conoce (por ejemplo, la contraseña), una que posee (por ejemplo, el móvil) y otra que es (por ejemplo, la huella dactilar o el rostro). Ya no valdrá con el primero como hasta ahora.
  2. En lo relativo al pago, el proceso actual es relativamente complejo. Los comercios deben acudir a intermediarios, como los proveedores de pagos electrónicos, que se encargan de contactar con la compañía de la tarjeta (Visa o Mastercard, por ejemplo), para que realice el cobro al cliente. Con la entrada de PSD2 entran en juego nuevos participantes (TTPs), los cuales se adaptan a todas las diversas preferencias de los clientes sin dejar de ser igualmente seguras para ellos.

Servicios que ofrecemos

Para que las entidades bancarias, los proveedores de servicios de información de cuenta o los proveedores de servicios de iniciación de pagos puedan cumplir con las exigencias establecidas en la PSD2 son necesarios una serie de instrumentos técnicos que ya forman parte del denominador común de todo el sector.

Desde NeoCheck ofrecemos tanto los servicios de acceso a la funcionalidad requerida a través de nuestras APIs como la consultoría de negocio a través de nuestra alianza con Agile Control Solutions.

1. Uso obligatorio de la autenticación robusta, autenticación de dos factores (2FA) o multifactor de clientes

Este requisito de seguridad se detalla en el párrafo 30 del artículo 4 del Título 1 de la PSD2.  Así reza el documento:

“Una autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo posee el usuario) e inherencia (algo que el usuario es) que son independientes, ya que el incumplimiento de uno no compromete la fiabilidad de los demás y está diseñado de tal forma que se protege la confidencialidad de los datos de autenticación”.

Este sistema de seguridad introduce un doble factor de seguridad en cualquier operación de transacciones de pago remotas, online o electrónicas.

Habitualmente, permite que los clientes se autentiquen como tales mediante la confirmación de una operativa financiera a través de un código que puede ser enviado, por ejemplo, a través de un SMS al número y dispositivos asociados al titular de la cuenta.

2. Establecer marcos de seguridad interna estandarizados

Los proveedores que comiencen a realizar servicios bancarios para titulares de cuenta deben introducir marcos de seguridad internos para preservar la privacidad de sus clientes y también la seguridad en torno a sus datos y operativas personales.

Este requisito de seguridad viene detallado en el artículo 85 de la PSD2, donde se establece cómo “los proveedores de servicios de pago establecerán un marco con medidas de mitigación y mecanismos de control adecuados para gestionar los riesgos operacionales, incluidos los riesgos de seguridad, relacionados con los servicios de pago que prestan. Como parte de ese marco, los proveedores de servicios de pago establecerán y mantendrán procedimientos eficaces de gestión de incidentes, incluida la detección y clasificación de los principales incidentes operativos y de seguridad”.

3. Reportar incidentes de seguridad

Cualquier quebrantamiento de la privacidad o la seguridad de los clientes debe ser notificado a los titulares, pero también puesto en conocimiento de los reguladores europeos. Este requisito viene establecido en el artículo 86 bis de la PSD2:

“En el caso de un incidente de importancia operativa, incluida la seguridad, los proveedores de servicios de pago notificarán sin demora indebida a la autoridad competente en virtud de la presente Directiva en el Estado miembro de origen del prestador de servicios de pago. Cuando el incidente tenga o pueda afectar a los intereses financieros de sus usuarios de servicios de pago, el prestador de servicios de pago informará sin demora a sus usuarios del servicio de pago del incidente y de todas las medidas disponibles que puedan adoptar para mitigar los efectos adversos de el incidente”.

4. Evaluación y reporte de los marcos de seguridad

Los sistemas que garantizan la privacidad y la seguridad deben evaluarse y se debe informar de los exámenes periódicos a los reguladores.

Todos estos requisitos previos funcionan sobre la base de que tenemos varios nuevos actores trabajando con clientes que antes solo operaban con bancos tradicionales y que ahora sacan, ingresan, mueven, venden y compran con cuentas a través de una aplicación que nada tiene que ver con su entidad financiera o que consultan sus movimientos sin entrar en sus cuentas bancarias

La PSD2 deja en manos de estas terceras empresas servicios de todo tipo:

  • Depósito, retirada de efectivo o cualquier operación con una cuenta de pago.
  • Ejecución de operaciones de pago: desde pagos con tarjetas de débito, crédito u otro sistema hasta transferencias o adeudos domiciliados.
  • Operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago.
  • Envío de dinero.
  • Servicios de iniciación de pagos.
  • Servicios de información sobre cuentas.

El uso de pagos electrónicos y banca ‘online’ ha crecido rápidamente en Europa. En el informe ‘Consumer Trends’ de 2019, la Autoridad Bancaria Europea constató que el número total de pagos por medios digitales en la Unión Europea (UE) aumentó un 7,3% en 2017, hasta alcanzar 134.000 millones de operaciones.

Este crecimiento explica por qué las autoridades europeas, preocupadas por los posibles riesgos de fraude para los clientes, aprobaron una extensa reforma sobre seguridad de pagos como parte de la Segunda Directiva de Servicios de Pago (PSD2, por sus siglas en inglés).

A partir del 14 de septiembre de 2019, los bancos europeos y otras empresas proveedoras de servicios de pago deben implantar la autenticación reforzada de clientes (o autenticación fuerte de clientes) en un amplio abanico de sistemas de pagos y otras operaciones, como inicios de sesión en aplicaciones móviles y sitios web.

¿Qué es la autenticación reforzada de cliente?

Los procesos de autenticación sirven para verificar que un cliente es quien dice ser. La autenticación reforzada exige que el servicio de pago utilice al menos dos datos distintos, conocidos como factores de autenticación. Estos factores se dividen en tres grupos:

  • Conocimiento: algo que el cliente conoce, como una contraseña o PIN.
  • Posesión: algo que el cliente posee, como una tarjeta de débito o un teléfono móvil.
  • Inherencia: algo inherente al cliente, como su huella dactilar.

Muchos de estos factores ya son habituales: se utilizan tarjetas de pago y el PIN para realizar pagos físicos, un código recibido por SMS para hacer una compra en línea, o la huella dactilar para desbloquear el móvil y acceder a la ‘app’ del banco.

Pero con las nuevas normas, algunos factores deberán actualizarse o reemplazarse. Además, junto con el creciente uso de ‘apps’ bancarias y teléfonos móviles, es probable que en el futuro aparezcan nuevas formas de autenticación.

El servicio de información de cuenta (AIS) consiste en recoger y almacenar la información de las distintas cuentas bancarias de un cliente en un solo lugar, permitiendo a los clientes tener una visión global de su situación financiera y analizar fácilmente sus gastos y sus necesidades financieras.

Nuestra API permite, de manera muy sencilla, tanto verificar si una cuenta pertenece a una persona como obtener los movimientos de los últimos 12 meses.

En el servicio de iniciación de pagos (PIS), terceros proveedores facilitan el uso de la banca ‘online’ para realizar pagos por internet. Estos servicios ayudan a iniciar un pago desde la cuenta del consumidor a la cuenta del comercio mediante la creación de una interfaz “puente” entre ambas cuentas, rellenando la información necesaria para la transferencia (cuantía de la transacción, número de cuenta, mensaje) e informando al comercio del inicio de la transacción. Asimismo, la PSD2 también posibilita al cliente la realización de pagos a terceros desde la aplicación de un banco utilizando cualquiera de sus cuentas (pertenezcan o no a esa entidad).

Desde NeoCheck facilitamos tanto la integración de las pasarelas como los procesos de validación de identidad del pagador.

Para saber más

Si quieres conocer un poco mejor nuestros procesos y las soluciones que te proponemos, puedes seguir leyendo sobre:

Biometría
KYC-ONBOARDING
app neocheck mobile
aplicación móvil
identidad documentos
VERIFICADOR DE DOCUMENTOS

Descubre lo que podemos hacer por ti

En NeoCheck® nos esforzamos por satisfacer todas las necesidades de nuestros clientes en cuanto a Verificación Documental e Identificación Biométrica. Desde soluciones basadas en web, aplicaciones móviles hasta componentes especializados (contamos con equipo de investigación y desarrollo propio). Y por supuesto, tratamos de desplegar la tecnología más puntera y flexible a precios accesibles, además de facilitarles el mejor soporte. Por eso, organizamos periódicamente cursos online y talleres relacionados con el mundo que mejor conocemos: Verificación de Documentos e Identidad.