Todo el mundo sabe lo que significan en inglés etc., FYI y FAQ. Por si no lo sabe, son las siglas de etcétera, For Your Information (para su información) y Frequently Asked Questions (preguntas más frecuentes).
Otra abreviatura más, la PSD2, es la segunda entrega de una directiva de servicios de pago ya existente desde 2007. En vigor desde septiembre de 2019, su objetivo es atajar el fraude y las actividades malintencionadas, aumentar la seguridad de las transacciones en línea y fomentar una mayor competencia en el sector de los pagos a través de la banca abierta. La Directiva PSD2 se aplica a todos los estados miembros de la UE (Unión Europea, ¡fácil!) y obliga a todas las entidades financieras a abrir la información de sus clientes y sus redes de pago a los PSP (proveedores de servicios de pago) y a otros TPP (proveedores terceros).
Como se puede deducir, hay una abundancia de acrónimos en torno a la banca abierta y la PSD2, lo que hace que sea difícil llegar al fondo de las consecuencias que la PSD2 tiene realmente para las empresas del sector financiero.
Pero no te preocupes: ¡ha llegado la ayuda! Sigue leyendo para saber más sobre esta última directiva que afecta al sector de la seguridad en la UE. Para obtener una lista rápida de todas las abreviaturas, desplázate hasta el Glosario de PSD2 al final del artículo. Si encuentras algún término relevante que hayamos olvidado, publícalo en la sección de comentarios y nos aseguraremos de añadirlo.
SCA, CSC y RTS - ¡¿Qué dices?!
Después de que la UE publicara los requisitos para la PSD2, la ABE (Autoridad Bancaria Europea) trabajó con la Comisión Europea para crear un conjunto de RTS (Normas Técnicas de Regulación). Estas normas se aplican a las instituciones financieras (por ejemplo, bancos) y a los proveedores de servicios de pago (PSP) y cubren los temas SCA (Autenticación Fuerte de Clientes) y CSC (Estándares Abiertos de Comunicación Comunes y Seguros), dejando claro qué medidas de seguridad específicas y qué implementaciones son necesarias para cumplir con la PSD2.
¿Qué implican SCA y CSC?
SCA especifica que para que un cliente pueda realizar pagos o acceder a cuentas de pago en línea, la identidad del cliente debe verificarse utilizando al menos dos factores (esto también tiene un acrónimo: 2FA, también conocido como autenticación de dos factores). La autenticación de dos factores se refiere a la combinación de dos de los siguientes elementos: algo que el cliente sabe (por ejemplo, contraseña), algo que tiene (por ejemplo, teléfono o token) o algo que el cliente es (por ejemplo, biometría). Los requisitos de la SCA son un paso adelante para atajar el fraude y hacer más seguros los pagos en línea.
La PSD2 obliga a las instituciones financieras, como los bancos, a abrir el acceso a la información de sus clientes y a las redes de pago a los PSP y otros TPP. Pero, por supuesto, toda esa información es altamente confidencial, por lo que el aspecto CSC del RTS especifica qué canales de comunicación pueden utilizarse y exige que cualquier comunicación entre las distintas partes esté cifrada de forma segura.
Quién es quién en la banca abierta
Hay muchas partes implicadas en la banca abierta, pero aquí están los principales actores:
- ASPSP: Proveedor de Servicios de Pago de Cuentas
Proporcionan y mantienen la cuenta de pago del cliente. En el ecosistema de banca abierta, publican API (Interfaz de Programación de Aplicaciones) basadas en estándares para dar a terceros proveedores acceso a los datos de las transacciones de los clientes. De ese modo pueden proporcionar información sobre cuentas o servicios de iniciación de pagos. Sólo las instituciones financieras (por ejemplo, los bancos) pueden ser ASPSP. - AISP: Proveedor de Servicios de Información de Cuentas
Agrupan información en línea de múltiples cuentas de pago. Por ejemplo, un cliente puede ver toda la información financiera de varios bancos en un solo lugar. - PISP: Proveedor de Servicios de Iniciación de PagosPueden iniciar pagos en línea directamente desde el banco del individuo en su nombre. Un cliente que compra en línea puede, por ejemplo, permitir que el minorista electrónico inicie el pago directamente desde su banco, sin tener que dar los detalles de su cuenta al minorista electrónico.
- CBPII: Emisor de instrumentos de pago basados en tarjetas
Emiten instrumentos de pago, a menudo basados en tarjetas, como tarjetas de débito o de crédito. - TPP: Tercero proveedorNo mantienen cuentas de pago para sus clientes. En su lugar, utilizan las API proporcionadas por ASPSP para acceder a estas cuentas y proporcionar información sobre las mismas o servicios de iniciación de pagos. Los TPP sólo pueden ser AISP y/o PISP, ya que no tienen acceso a las cuentas de pago.
¿Qué son las ANC y cuál es su función?
Las ANC (Autoridades Nacionales Competentes) de toda Europa registran y autorizan a los proveedores cualificados para utilizar los certificados cualificados requeridos. Como se trata de datos muy confidenciales, es importante que sólo las instituciones financieras autorizadas obtengan los certificados que les permitan participar en la banca abierta. Un QTSP (Qualified Trust Service Provider) comprobará el registro de la NCA antes de emitir QWACs (Qualified Web Authentication Certificates) o QSealCs (Qualified Electronic Seal Certificates), y utilizará la información proporcionada por la NCA dentro de los propios certificados.
¿Dónde encaja GlobalSign?
GlobalSign es un QTSP líder reconocido a nivel mundial y está acreditado para emitir QWACs y QSealCs para empresas en la UE que esperan lograr el cumplimiento de PSD2.
Entendemos lo difícil que puede ser navegar por los complejos requisitos de cumplimiento, especialmente con una montaña de nuevos acrónimos. Si necesitas un resumen de las numerosas abreviaturas, a continuación encontrarás un glosario con algunas definiciones adicionales relevantes. Si estás interesado en obtener más información sobre cómo la sólida cartera de soluciones de identidad y seguridad de GlobalSign puede ayudarte a cumplir la normativa o a proteger tu información más valiosa, entra en contacto con nosotros hoy mismo.
Glosario de términos PSD2
2FA: autenticación de dos factores
AISP: proveedor de servicios de información sobre cuentas
AMS: Sistema de gestión de cuentas
API: interfaz de programación de aplicaciones
ASPSP: Proveedor de Servicios de Pago de Cuentas
CBPII - Emisor de instrumentos de pago basados en tarjetas
CMA - Autoridad de Competencia y Mercados
CSC - Estándares Abiertos de Comunicación Comunes y Seguros
EBA - Autoridad Bancaria Europea
eIDAS - Identificación electrónica, autenticación y servicios de confianza
UE - Unión Europea
EUTL - Listas de confianza de la Unión EuropeaGDPR - Reglamento General de Protección de Datos
NCA - Autoridad Nacional Competente
PISP - Proveedor de Servicios de Iniciación de Pagos
PSD2 - Directiva sobre servicios de pago 2, la directiva revisada de la Directiva sobre servicios de pago
PSP - Proveedores de Servicios de Pago
QSealC - Certificado de Sello Electrónico Cualificado
QTSP: Proveedor de servicios de confianza cualificado
QWAC: Certificados cualificados de autenticación web
RTS - Normas técnicas reglamentarias
SCA - Autenticación fuerte de clientes
SEPA - Zona Única de Pagos en Euros
TPP - Proveedores terceros
XS2A - Acceso a la cuenta