La nueva directiva sobre servicios de pago (PSD2-Payment Service Directive 2) supone una auténtica revolución en el mundo de los pagos y un reto para el sector bancario europeo.

¿Qué es la PSD2?

La PSD2 es la nueva normativa europea que pretende incrementar la competencia y la seguridad en los pagos electrónicos y busca situar a los consumidores en el centro del negocio, haciéndolos propietarios únicos de sus datos en todo lo referente a los pagos electrónicos.

¿Qué supone para los consumidores?

Que los consumidores sean propietarios de sus datos significará que las entidades financieras tendrán la obligación de ceder la información que dispongan de los consumidores a empresas proveedoras de servicios a terceros de confianza (TTPS-Trusted Third Party Service) a las que, previamente, los propios consumidores hayan autorizado.

Inicialmente, esta obligatoriedad afectará a 2 tipos de operaciones: la iniciación de pagos y la información agregada de movimientos de las cuentas.

Además, la normativa también fija una directrices de seguridad, que se basan en el reglamento delegado del consejo de la unión europeo UE 2018/389, y que pretenden incrementar la confianza de los consumidores en los pagos electrónicos. Es lo que se conoce como “autenticación fuerte de doble factor”, y será de aplicación obligatoria, como muy tarde, el 14 de septiembre de 2019.

¿Qué es la autenticación fuerte de doble factor y cómo funciona?

A grandes rasgos, su definición indica que, para validar un pago electrónico, se tendrán que cumplir simultáneamente 2 o más de los 3 factores posibles de autenticación y que, como mínimo, uno de estos factores no podrá ser ni reutilizable ni reproducible.

Los 3 factores son:

Una cosa que conoce el usuario (por ejemplo, password)
Una cosa que posee el usuario (por ejemplo, teléfono móvil, token)
Una cosa que es el usuario (por ejemplo, huella digital, reconocimiento facial…)

El sistema más extendido para cumplir con el factor de no reutilización ni reproducción es el envío al móvil* de un SMS con una clave de un solo uso (OTP-One Time Password).

La seguridad y la confianza en los pagos electrónicos serán muy superiores. La OTP solo se podrá utilizar una vez, será exclusiva para la operación, tendrá una vigencia temporal muy corta (5 minutos) y los intentos para introducirla no podrán ser superiores a 5. Además, las entidades estarán obligadas a guardar un registro electrónico de las operaciones que permita rastrear las evidencias y pasos seguidos para su validación.

(*) Es importante asegurarse de que nuestra entidad dispone en todo momento de nuestro móvil y que es el correcto, ya que el SMS se enviará al móvil de referencia que nuestra entidad tenga en sus bases de datos.

¿En qué operaciones será obligatoria la autenticación fuerte de doble factor?

Salvo algunas excepciones detalladas en la normativa, la autenticación fuerte de doble factor será obligatoria para todas las operaciones que supongan un movimiento de dinero hacia cuentas de diferente titularidad y cuando se consulten o modifiquen datos personales sensibles.

¿Qué haremos en Caja de Ingenieros?

En Caja de Ingenieros ya utilizamos un sistema de autenticación fuerte de doble factor para algunas operaciones, pero próximamente procederemos a la sustitución de la tarjeta de coordenadas que utilizan actualmente todos nuestros socios y aplicaremos la autenticación fuerte mediante el envío de OTP al móvil para las operaciones que, según la normativa, lo requieran. De esta manera, incrementaremos la seguridad de las operaciones y mejoraremos significativamente la experiencia de usuario.

Reglamento delegado PSD2 – https://www.boe.es/doue/2017/337/L00021-00021.pdf

Directrices EBA – https://www.bde.es/f/webbde/INF/MenuHorizontal/Normativa/guias/EBA-GL-2014-12.pdf

Tags:Banca digital Seguridad Digitalización PSD2

POLÍTICA DE PRIVACIDAD Y DE PROTECCIÓN DE DATOS

Los datos solicitados y recogidos en este servicio web son los necesarios para poder gestionar tus solicitudes a través de los formularios web que se han habilitado. El usuario deberá rellenar los formularios con datos verdaderos, exactos, completos y actualizados. Estos datos proporcionados serán los únicos utilizados para atender tu solicitud, sin enriquecerlos con datos de fuentes externas, y la base legal para su tratamiento será el consentimiento explícito que formaliza clicando la casilla de aceptación en el formulario web, sin la que no es posible enviar su solicitud.

El tratamiento de los datos consistirá en su uso para gestionar tus solicitudes y darles una respuesta. Estos datos serán tratados únicamente y exclusivamente con la finalidad indicada en cada formulario web. A nivel general se puede resumir en que la finalidad será la gestión de la suscripción a la Newsletter del blog de Caja de Ingenieros. En ningún caso se cederán tus datos a terceros excepto por el cumplimiento de las obligaciones legales

El responsable del tratamiento de tus datos personales es la CAIXA DE CREDIT DELS ENGINYERS-CAJA DE CREDITO DE LOS INGENIEROS, S. COOP. DE CTO con domicilio social en Via Laietana nº 39, 08003 de Barcelona.

Caja de Ingenieros ha adoptado los niveles de seguridad de protección de los datos personales exigidos en la legislación vigente de protección de datos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y demás riesgos posibles. Igualmente, Caja de Ingenieros se obliga a cumplir la obligación de secreto respecto de los datos contenidos en el fichero automatizado, establecida en la legislación de protección de datos aplicable.

El Delegado de Protección de Datos es la persona designada para proteger tus datos personales en Caja de Ingenieros y puedes contactar con él, si consideras que no se ha hecho un uso adecuado de tus datos, en la siguiente dirección dpo@caja-ingenieros.es o escribiendo a “DPO – Protección de datos”, Via Laietana, 39, 08003, Barcelona.

Tus datos personales se mantendrán mientras esté vigente la suscripción a la Newsletter, de la que te podrás dar de baja clicando en el enlace que incorpora el correo electrónico que recibirás o ejerciendo tu derecho en la supresión de los datos. Una vez formalizada la baja de la suscripción destruiremos tus datos.

Podrás ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, cuando concurran las circunstancias previstas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril del 2016, así como retirar el consentimiento prestado, sin efectos retroactivos, en cualquier momento.

Para ejercer estos derechos únicamente tienes que solicitarlo presencialmente en una oficina de la entidad, telefónicamente en el servicio de Banca TELEFÓNICA (900 300 321) o mediante una solicitud escrita dirigida a Caja de Ingenieros (Via Laietana, 39, 08003, Barcelona) o a la dirección dpo@caja-ingenieros.es, acompañando una copia de tu DNI o documento equivalente acreditativo de tu identidad.

El ejercicio de estos derechos es gratuito y si consideras que no han sido adecuadamente atendidos, tienes derecho a presentar una reclamación ante una Autoridad de Control, como la Agencia Española de Protección de Datos.

Puedes obtener más información sobre cómo se tratan tus datos personales en: https://www.caixaenginyers.com/es/privacidad.

Referencias Legales

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies de la categoría "Necesarias".
JSESSIONID	sesión	Utilizado para sitios escritos a JSP. Cookies de sesión de plataforma de propósito general que se utilizan para mantener el estado de los usuarios en todas las solicitudes de página.
PHPSESSID	sesión	Esta cookie es originaria de aplicaciones PHP. La cookie se utiliza para almacenar e identificar el identificador de sesión único de los usuarios con el fin de gestionar la sesión de usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 meses	La cookie la define el conector GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie lo instala Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y hacer un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gid	1 día	Esta cookie lo instala Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes utilizan un sitio web y ayuda a crear un informe de análisis de cómo funciona el sitio web. Los datos recopilados incluyen el número de visitantes, la fuente de donde provienen y las páginas visitadas de forma anónima.

PSD2 y la seguridad de los pagos electrónicos

¿Qué es la PSD2?

¿Qué supone para los consumidores?

¿Qué es la autenticación fuerte de doble factor y cómo funciona?

¿En qué operaciones será obligatoria la autenticación fuerte de doble factor?

¿Qué haremos en Caja de Ingenieros?

Cinco beneficios de aplicar la Inteligencia Artificial en el ámbito financiero

La revolución de la banca móvil: finanzas al alcance de tu mano