Articles guardats
PSD2 i la seguretat dels pagaments electrònics

Actualitat Banca digital

PSD2 i la seguretat dels pagaments electrònics

La nova directiva sobre serveis de pagament (PSD2-Payment Service Directive 2) suposa una autèntica revolució en el món dels pagaments i un repte per al sector bancari europeu.

Què és la PSD2?

La PSD2 és la nova normativa europea que pretén incrementar la competència i la seguretat en els pagaments electrònics i busca situar els consumidors al centre del negoci, fent-los propietaris únics de les seves dades en tot allò referent als pagaments electrònics.

Què suposa per als consumidors?

Que els consumidors siguin propietaris de les seves dades significarà que les entitats financeres tindran l’obligació de cedir la informació que disposin dels consumidors a empreses proveïdores de serveis a tercers de confiança (TTPS-Trusted Third Party Service) a qui prèviament els mateixos consumidors hagin autoritzat.

Inicialment, aquesta obligatorietat afectarà 2 tipus d’operacions: la iniciació de pagaments i la informació agregada de moviments dels comptes.

La normativa també fixa unes directrius de seguretat que es basen en el reglament delegat del consell de la unió europea UE 2018/389, i que pretenen incrementar la confiança dels consumidors en els pagaments electrònics.  És el que es coneix com a autenticació forta de doble factor” i serà d’aplicació obligatòria com a molt tard el 14 de setembre de 2019.

Què és l’autenticació forta de doble factor i com funciona?

A grans trets, la seva definició indica que, per validar un pagament electrònic, s’hauran d’acomplir simultàniament 2 o més dels 3 factors possibles d’autenticació i que, com a mínim, un d’aquests factors no podrà ser ni reutilitzable ni reproduïble.

Els 3 factors són:

  1. Una cosa que coneix l’usuari (per exemple, password)
  2. Una cosa que posseeix l’usuari (per exemple, telèfon mòbil, token)
  3. Una cosa que és l’usuari (per exemple, empremta digital, reconeixement facial…)

El sistema més estès per acomplir amb el factor de no reutilització ni reproducció és l’enviament al mòbil* d’un SMS amb una clau d’un sol ús (OTP-One Time Password).

La seguretat i la confiança en els pagaments electrònics seran molt superiors. L’OTP només es podrà utilitzar un cop, serà exclusiva per a la operació, tindrà una vigència temporal molt curta (5 minuts) i els intents per introduir-la no podran ser superiors a 5. A més, les entitats estaran obligades a guardar un registre electrònic de les operacions que permeti rastrejar-ne les evidències i passos seguits per a la seva validació.

(*) És important assegurar-se que la nostra entitat disposa en tot moment del nostre mòbil i que és el correcte, ja que l’SMS s’enviarà al mòbil de referència que la nostra entitat tingui a les seves bases de dades.

A quines operacions serà obligatòria l’autenticació forta de doble factor?

Tret d’algunes excepcions detallades a la normativa, l’autenticació forta de doble factor serà obligatòria per a totes les operacions que suposin un moviment de diners cap a comptes de diferent titularitat i quan es consultin o modifiquin dades personals sensibles.

Què farem a Caixa d’Enginyers?

A Caixa d’Enginyers ja utilitzem un sistema d’autenticació forta de doble factor per a algunes operacions, però properament procedirem a la substitució de la targeta de coordenades que utilitzen actualment tots els nostres socis i aplicarem l’autenticació forta mitjançant l’enviament d’OTP al mòbil per a les operacions que, segons la normativa, ho requereixin. D’aquesta manera, incrementarem la seguretat de les operacions i millorarem significativament l’experiència d’usuari.

 

Leave a Comment

Utilitzant aquest lloc web, estàs acceptant l'ús de cookies Més informació

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close