La nova directiva sobre serveis de pagament (PSD2-Payment Service Directive 2) suposa una autèntica revolució en el món dels pagaments i un repte per al sector bancari europeu.

Què és la PSD2?

La PSD2 és la nova normativa europea que pretén incrementar la competència i la seguretat en els pagaments electrònics i busca situar els consumidors al centre del negoci, fent-los propietaris únics de les seves dades en tot allò referent als pagaments electrònics.

Què suposa per als consumidors?

Que els consumidors siguin propietaris de les seves dades significarà que les entitats financeres tindran l’obligació de cedir la informació que disposin dels consumidors a empreses proveïdores de serveis a tercers de confiança (TTPS-Trusted Third Party Service) a qui prèviament els mateixos consumidors hagin autoritzat.

Inicialment, aquesta obligatorietat afectarà 2 tipus d’operacions: la iniciació de pagaments i la informació agregada de moviments dels comptes.

La normativa també fixa unes directrius de seguretat que es basen en el reglament delegat del consell de la unió europea UE 2018/389, i que pretenen incrementar la confiança dels consumidors en els pagaments electrònics. És el que es coneix com a “autenticació forta de doble factor” i serà d’aplicació obligatòria com a molt tard el 14 de setembre de 2019.

Què és l’autenticació forta de doble factor i com funciona?

A grans trets, la seva definició indica que, per validar un pagament electrònic, s’hauran d’acomplir simultàniament 2 o més dels 3 factors possibles d’autenticació i que, com a mínim, un d’aquests factors no podrà ser ni reutilitzable ni reproduïble.

Els 3 factors són:

Una cosa que coneix l’usuari (per exemple, password)
Una cosa que posseeix l’usuari (per exemple, telèfon mòbil, token)
Una cosa que és l’usuari (per exemple, empremta digital, reconeixement facial…)

El sistema més estès per acomplir amb el factor de no reutilització ni reproducció és l’enviament al mòbil* d’un SMS amb una clau d’un sol ús (OTP-One Time Password).

La seguretat i la confiança en els pagaments electrònics seran molt superiors. L’OTP només es podrà utilitzar un cop, serà exclusiva per a la operació, tindrà una vigència temporal molt curta (5 minuts) i els intents per introduir-la no podran ser superiors a 5. A més, les entitats estaran obligades a guardar un registre electrònic de les operacions que permeti rastrejar-ne les evidències i passos seguits per a la seva validació.

(*) És important assegurar-se que la nostra entitat disposa en tot moment del nostre mòbil i que és el correcte, ja que l’SMS s’enviarà al mòbil de referència que la nostra entitat tingui a les seves bases de dades.

A quines operacions serà obligatòria l’autenticació forta de doble factor?

Tret d’algunes excepcions detallades a la normativa, l’autenticació forta de doble factor serà obligatòria per a totes les operacions que suposin un moviment de diners cap a comptes de diferent titularitat i quan es consultin o modifiquin dades personals sensibles.

Què farem a Caixa d’Enginyers?

A Caixa d’Enginyers ja utilitzem un sistema d’autenticació forta de doble factor per a algunes operacions, però properament procedirem a la substitució de la targeta de coordenades que utilitzen actualment tots els nostres socis i aplicarem l’autenticació forta mitjançant l’enviament d’OTP al mòbil per a les operacions que, segons la normativa, ho requereixin. D’aquesta manera, incrementarem la seguretat de les operacions i millorarem significativament l’experiència d’usuari.

Tags:Seguretat Banca digital Digitalització PSD2

POLÍTICA DE PRIVACITAT I DE PROTECCIÓ DE DADES

Les dades sol·licitades i recollides en aquest servei web són les necessàries per poder gestionar les teves sol·licituds a través dels formularis web que s’han habilitat. L’usuari haurà d’emplenar els formularis amb dades verdaderes, exactes, completes i actualitzades. Aquestes dades que ens has proporcionat seran les úniques utilitzades per atendre la teva sol·licitud, sense enriquir-les amb dades de fonts externes, i la base legal per al seu tractament serà el consentiment explícit que formalitza clicant la casella d’acceptació en el formulari web, sense la qual no és possible enviar la teva sol·licitud.

El tractament de les dades consistirà en el seu ús per gestionar les teves sol·licituds i donar-les una resposta. Aquestes dades seran tractades únicament i exclusivament amb la finalitat indicada en cada formulari web. A nivell general es pot resumir en que la finalitat serà la gestió de la subscripció a la Newsletter del blog de Caixa d’Enginyers. En cap cas se cediran les teves dades a tercers, tret d’obligació legal.

El responsable del tractament de les teves dades personals és la CAIXA DE CREDIT DELS ENGINYERS-CAJA DE CREDITO DE LOS INGENIEROS, S. COOP. DE CTO amb domicili social a Via Laietana nº 39, 08003 de Barcelona.

Caixa d’Enginyers ha adoptat els nivells de seguretat de protecció de les dades personals exigits en la legislació vigent de protecció de dades, instal·lant les mesures tècniques i organitzatives necessàries per evitar la pèrdua, mal ús, alteració, accés no autoritzat i demés riscos possibles. Igualment, Caixa d’Enginyers s’obliga a complir la obligació de secret respecte a les dades contingudes en el fitxer automatitzat, establerta en la legislació de protecció de dades aplicable.

El Delegat de Protecció de Dades és la persona designada per protegir les teves dades personals a Caixa dEnginyers i pots contactar amb ell, si consideres que no hem fet un ús adequat de les teves dades, a la següent adreça dpo@caixa-enginyers.com o escrivint a “DPO – Protecció de dades”, Via Laietana, 39, 08003, Barcelona.

Les teves dades personals es mantindran mentre estigui vigent la subscripció a la Newsletter, de la que et podràs donar de baixa clicant en l’enllaç que incorpora el correu electrònic que rebràs o exercint el teu dret a la supressió de les dades. Un cop formalitzada la baixa de la subscripció destruirem les teves dades.

Podràs exercir els teus drets d’accés, rectificació, supressió, oposició, limitació i portabilitat, i a no ser objecte d’una decisió basada únicament en el tractament automatitzat, quan concorrin les circumstàncies previstes en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril del 2016, així com enretirar el consentiment prestat, sense efectes retroactius, en qualsevol moment.

Per exercir aquests drets únicament has de sol·licitar-ho presencialment en una oficina de l’entitat, telefònicament en el servei de Banca TELEFÒNICA (900 300 321) o mitjançant una sol·licitud escrita dirigida a Caixa d’Enginyers (Via Laietana, 39, 08003, Barcelona) o a l’adreça dpo@caixa-enginyers.com, acompanyant una còpia de teu DNI o document equivalent acreditatiu de la teva identitat.

L’exercici d’aquests drets és gratuït i si consideres que no han estat atesos de forma adequada, tens dret a presentar una reclamació davant d’una Autoritat de Control, com l’Agència Espanyola de Protecció de Dades.

Pots obtenir més informació sobre com seran tractades les teves dades personals a: https://www.caixaenginyers.com/privacidad.

Referències Legals

REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en allò que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades

Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals

Cookie	Durada	Descripció
cookielawinfo-checbox-analytics	11 mesos	Aquesta cookie la defineix el complement de consentiment de cookies de GDPR. La cookie s’utilitza per emmagatzemar el consentiment de l’usuari per a les cookies de la categoria “Analytics”.
cookielawinfo-checkbox-necessary	11 mesos	Aquesta cookie la defineix el complement de consentiment de cookies de GDPR. Les cookies s'utilitzen per emmagatzemar el consentiment de l'usuari per a les cookies de la categoria "Necessàries".
JSESSIONID	sessió	Utilitzat per llocs escrits a JSP. Cookies de sessió de plataforma de propòsit general que s’utilitzen per mantenir l’estat dels usuaris en totes les sol·licituds de pàgina.
PHPSESSID	sessió	Aquesta cookie és originària d’aplicacions PHP. La cookie s’utilitza per emmagatzemar i identificar l’identificador de sessió únic dels usuaris amb la finalitat de gestionar la sessió d’usuari al lloc web. La cookie és una cookie de sessió i s’elimina quan es tanquen totes les finestres del navegador.
viewed_cookie_policy	11 mesos	La cookie la defineix el connector GDPR Cookie Consent i s’utilitza per emmagatzemar si l’usuari ha consentit o no l’ús de cookies. No emmagatzema cap dada personal.

Cookie	Durada	Descripció
_ga	2 anys	Aquesta cookie l’instal·la Google Analytics. La cookie s’utilitza per calcular les dades de visitants, sessions, campanyes i fer un seguiment de l’ús del lloc per a l’informe d’anàlisi del lloc. Les cookies emmagatzemen informació de forma anònima i assignen un número generat aleatòriament per identificar visitants únics.
_gid	1 dia	Aquesta cookie l’instal·la Google Analytics. La cookie s’utilitza per emmagatzemar informació sobre com els visitants utilitzen un lloc web i ajuda a crear un informe d’anàlisi de com funciona el lloc web. Les dades recopilades inclouen el nombre de visitants, la font d’on provenen i les pàgines visitades de forma anònima.

PSD2 i la seguretat dels pagaments electrònics

Què és la PSD2?

Què suposa per als consumidors?

Què és l’autenticació forta de doble factor i com funciona?

A quines operacions serà obligatòria l’autenticació forta de doble factor?

Què farem a Caixa d’Enginyers?

Cinc beneficis d’aplicar la intel·ligència artificial en l’àmbit financer

La revolució de la banca mòbil: finances a l’abast de la teva mà