El Foro Europeo sobre Seguridad de los Pequeños Pagos, formado por los supervisores de los Proveedores de Servicios de Pago (PSP) y los responsables de la vigilancia, recopiló en el año 2012 una serie de recomendaciones consultadas por 17 países de la Unión Europea, con objetivo de mejorar el conocimiento y puesta en común de cuestiones relacionadas con la seguridad de los servicios e instrumentos pago electrónico.
El Banco Central Europeo (BCE) publicó estas recomendaciones en enero de 2013, dentro del documento «Recommendations for the security of internet payments» y pidió a los PSP y a las autoridades competentes, la aplicación de estos requisitos mínimos antes del 1 de febrero de 2015, ofreciendo a las autoridades nacionales establecer un período de transición más corto. EN el caso de España, el Banco de España se fijó se fijó el pasado 30 de Septiembre como fecha límite para cumplir este hito.
Las recomendaciones se dividen en tres grandes áreas;
A su vez, éstas áreas se estructuran en un total de 51 consideraciones clave y 12 mejores prácticas.
Las recomendaciones finales, las principales consideraciones y las buenas prácticas son aplicables para los servicios de pago por Internet, como:
En definitiva, estas recomendaciones se aplican para todas las transferencias de crédito realizadas a través de los portales web de cada entidad, los servicios prestados como banco adquiriente para comercios electrónicos y las tarjetas emitidas como emisor de medios de pago.
SIn embargo, quedan fuera del alcance de estas recomendaciones, de manera explícita, los siguientes servicios de pago por Internet:
Ésta última es una de las que mayor controversia ha generado, puesto que las aplicaciones de banca a distancia para smartphone, suelen ser un frontend -basado en el navegador- y que hace además uso de los servicios web compartidos con las páginas de las entidades.
Los grandes retos para las entidades se centran en cumplir con las recomendaciones relativas a autenticación, donde los nuevos requisitos tanto en el acceso datos como en el inicio de pagos, requieren el uso de autenticación fuerte. Para que este proceso de autenticación sea considerado válido, ha de llevarse a cabo siguiendo los siguientes preceptos:
En la práctica esto implica la necesidad de migrar a sistemas tipo OTP (one time password), tokens con claves generadas o incluso calculadoras criptográficas.
Otra de las medidas a tener en cuenta se refiere a la parte de acceso a datos. Tradicionalmente, las entidades que han hecho uso de mecanismos fuertes de autenticación, lo han hecho para iniciar transferencias u órdenes de pagos. Con las nuevas recomendaciones, el acceso a los datos de pago también ha de estar securizado, por lo que se plantean dos posibilidades: autenticar fuertemente de manera previa al acceso a cualquier dato o, en su defecto, enmascarar información considerada como sensible.
Otras recomendaciones que se hacen son:
Todo esto sin menoscabo para las medidas exigibles a los comercios a los que se preste servicio como banco adquiriente, los cuales deberán aplicar medidas análogas en el caso de almacenar, tratar o procesar información de clientes.
Las recomendaciones recogidas para la lucha contra el fraude abarcan tanto en las operaciones de pago por Internet como en el acceso a datos confidenciales de pagos. El objetivo final es asegurar que la persona que inicia el pago es un usuario legítimo.
La finalidad última es aumentar la confianza de los consumidores en los servicios de pago por Internet. En este sentido, es necesario tomar consciencia de que un elevado nivel de seguridad en los pagos incrementa, a su vez, la complejidad para los usuarios. Este cambio del panorama de los pagos a través de Internet puede producirse a corto plazo o por el contrario habrá que esperar a la PSD2, directiva que revisa los servicios de pago, para ver cambios significativos.
Autores: Pedro Feu, Manager en el área de IT Advisory de KPMG en España y Francisco Esteban, miembro del equipo de IT Advisory de KPMG en España.
Deja un comentario