Las condiciones que exige la PSD2 a terceros

4 min lectura
Open Banking , PSD2 / 14 enero 2020
Las condiciones que exige la PSD2 a terceros
Las condiciones que exige la PSD2 a terceros

BBVA API Market

1. Uso obligatorio de la autenticación robusta, autenticación de dos factores (2FA) o multifactor de clientes

Este requisito de seguridad se detalla en el párrafo 30 del artículo 4 del Título 1 de la PSD2.  Así reza el documento:

“Una autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo posee el usuario) e inherencia (algo que el usuario es) que son independientes, ya que el incumplimiento de uno no compromete la fiabilidad de los demás y está diseñado de tal forma que se protege la confidencialidad de los datos de autenticación”.

Este sistema de seguridad introduce un doble factor de seguridad en cualquier operación de transacciones de pago remotas, online o electrónicas.

Habitualmente, permite que los clientes se autentiquen como tales mediante la confirmación de una operativa financiera a través de un código que puede ser enviado, por ejemplo, a través de un SMS al número y dispositivos asociados al titular de la cuenta.

2. Establecer marcos de seguridad interna estandarizados

Los proveedores que comiencen a realizar servicios bancarios para titulares de cuenta deben introducir marcos de seguridad internos para preservar la privacidad de sus clientes y también la seguridad en torno a sus datos y operativas personales.

Este requisito de seguridad viene detallado en el artículo 85 de la PSD2, donde se establece cómo “los proveedores de servicios de pago establecerán un marco con medidas de mitigación y mecanismos de control adecuados para gestionar los riesgos operacionales, incluidos los riesgos de seguridad, relacionados con los servicios de pago que prestan. Como parte de ese marco, los proveedores de servicios de pago establecerán y mantendrán procedimientos eficaces de gestión de incidentes, incluida la detección y clasificación de los principales incidentes operativos y de seguridad”.

3. Reportar incidentes de seguridad

Cualquier quebrantamiento de la privacidad o la seguridad de los clientes debe ser notificado a los titulares, pero también puesto en conocimiento de los reguladores europeos. Este requisito viene establecido en el artículo 86 bis de la PSD2:

“En el caso de un incidente de importancia operativa, incluida la seguridad, los proveedores de servicios de pago notificarán sin demora indebida a la autoridad competente en virtud de la presente Directiva en el Estado miembro de origen del prestador de servicios de pago. Cuando el incidente tenga o pueda afectar a los intereses financieros de sus usuarios de servicios de pago, el prestador de servicios de pago informará sin demora a sus usuarios del servicio de pago del incidente y de todas las medidas disponibles que puedan adoptar para mitigar los efectos adversos de el incidente”.

4. Evaluación y reporte de los marcos de seguridad

Los sistemas que garantizan la privacidad y la seguridad deben evaluarse y se debe informar de los exámenes periódicos a los reguladores.

Todos estos requisitos previos funcionan sobre la base de que tenemos varios nuevos actores trabajando con clientes que antes solo operaban con bancos tradicionales y que ahora sacan, ingresan, mueven, venden y compran con cuentas a través de una aplicación que nada tiene que ver con su entidad financiera o que consultan sus movimientos sin entrar en sus cuentas bancarias.

La PSD2 deja en manos de estas terceras empresas servicios de todo tipo:

Otros requerimientos: los instrumentos técnicos

Para que las entidades bancarias, los proveedores de servicios de información de cuenta o los proveedores de servicios de iniciación de pagos puedan cumplir con las exigencias establecidas en la PSD2 son necesarios una serie de instrumentos técnicos que ya forman parte del denominador común de todo el sector.

La PSD2 está obligando a las entidades bancarias tradicionales a hacer algunos cambios de arquitectura importantes, sobre todo si no quieren quedarse atrás en el sector. La obligación viene por conseguir ser más ágiles, con arquitecturas basadas fundamentalmente en tecnologías de contenedores y microservicios que permitan lanzar productos con una mayor rapidez. Y también ser capaces de adaptarse a los nuevos escenarios financieros, como por ejemplo la tecnología blockchain o la computación en la nube.

Las APIs se convierten en el vehículo más eficaz para desarrollar negocios de forma ágil, internamente o con proveedores terceros. Esas APIs deben estar sujetas a las nuevas condiciones del escenario PSD2, donde terceras empresas pueden hacer uso de esas interfaces de desarrollo de aplicaciones, previo pago de un importe si así se considera y con la independencia que permite una estructura de API Management.

En este sentido, un enfoque ‘API first’, donde las aplicaciones se conceptualizan y desarrollan desde cero en vez de modificar los sistema heredados, suele ser mucho más oportuno para el lanzamiento de nuevos productos, el descubrimiento de nuevas fuentes de ingresos, etc.

Las APIs pueden ser usadas por terceros, en este caso proveedores de servicios de pagos, para ofrecer productos interesantes para clientes comunes. BBVA es un buen ejemplo de esa transformación digital en España. El banco ha entendido el valor de las APIs, la importancia del nuevo entorno PSD2 y cómo su relación con las ‘fintech’ y los clientes definirán su presente y su futuro.

Responder a las obligaciones de la PSD2 exige un control interno exhaustivo en las entidades bancarias y en los servicios que se ofrecen a terceros, así como el uso que esas compañías hacen de los datos de clientes facilitados a través de esas interfaces de desarrollo de aplicaciones.

¿Te interesan las APIs financieras? Descubre todas las que te ofrece BBVA

También podría interesarte