Nueva normativa más segura en las compras con tarjeta de crédito
Debido a que los bancos, las empresas de tecnología financiera, los comerciantes y los procesadores de pagos en la Unión Europea han tenido dificultades para cumplir con la fecha límite del 14 de septiembre para cumplir con los nuevos requisitos de «autenticación fuerte del cliente» PSD2 para pagos electrónicos, puede llevar un tiempo para que los consumidores europeos noten los cambios de autenticación.
En junio, la Autoridad Bancaria Europea, una agencia reguladora de la UE, dijo que «de manera excepcional» los reguladores nacionales pueden proporcionar un tiempo adicional limitado para la implementación.
Los expertos financieros dicen que los países de toda Europa están retrasando la aplicación
Ethan Teng, jefe de crecimiento de Recurly, una firma de software con sede en California, tuiteó que, independientemente del estado de los esfuerzos de aplicación, los bancos y otros deben continuar los preparativos para el cumplimiento.
Proporcionó un desglose país por país del estado de extender la fecha límite de PSD2, señalando que muchas naciones no han confirmado la duración de la demora.
La Autoridad Bancaria Europea le dice a Information Security Media Group que más adelante, proporcionará más información sobre un cronograma de cumplimiento con el objetivo de «un plazo constante para el final del plan de migración».
Los requisitos
PSD2, la Directiva de servicios de pago revisada para la Unión Europea, está diseñada para aumentar la competencia y participación paneuropea en la industria de pagos.
La sólida disposición de autenticación de clientes de la ley requiere el uso de autenticación multifactor para ayudar a mejorar la seguridad.
El cumplimiento de ese mandato ha resultado difícil por varias razones, dicen los expertos en seguridad, incluido el desarrollo y la implementación de las API necesarias para allanar el camino para el intercambio de datos.
La disposición de PSD2 requiere autenticación utilizando al menos dos de los siguientes tres factores:
- Algo que el titular de la tarjeta «sabe», como una contraseña o un PIN.
- Algo que el titular de la tarjeta «tiene», como un token o un teléfono móvil.
- Algo que «es» el titular de la tarjeta, como una huella digital o una coincidencia de voz.
Los obstáculos para vencer
Los expertos en seguridad dicen que muchos bancos no están listos para cumplir con el fuerte requisito de autenticación de clientes de PSD2 porque se enfrentan desafíos técnicos y operativos, así como restricciones presupuestarias.
«Los cuellos de botella para que los bancos cumplan con los estándares PSD2 son la complejidad de los requisitos debido a los entornos competitivos de terceros, particularmente en el contexto del posible despliegue de API, identidad y seguridad», dice Gavin Littlejohn, presidente de Financial Data.
Michael Lynch, director de estrategia y producto de Deep Labs, una empresa de servicios de TI, dice que muchos bancos europeos y proveedores de servicios de pago carecen de las tecnologías necesarias para cumplir con los requisitos de autenticación.
«El problema es que requiere una comprensión profunda de los componentes técnicos y de seguridad para comprender y diseñar una solución para los requisitos. Los bancos no están preparados para proporcionar una plataforma para el análisis del riesgo de transacción, aprovechando las señales de datos y las nuevas tecnologías como el contexto inteligente de la máquina».
Lynch dice que los bancos que se preparan para cumplir con el nuevo mandato deben realizar múltiples inversiones más allá de las tecnologías de autenticación, como la detección de malware y la comunicación segura a través del cifrado.
Pero uno de los desafíos más importantes, dicen los expertos en seguridad, es establecer las API necesarias para permitir las transacciones de autenticación con procesadores comerciales y empresas fintech.
Littlejohn señala:
«Los bancos, particularmente aquellos con infraestructura más antigua, han tenido dificultades para ejecutar API de alta calidad y totalmente funcionales de acuerdo con el calendario regulatorio.
Al mismo tiempo, los estándares regulatorios y técnicos han dificultado la distinción adecuada entre recursos legalmente requeridos en la API y recursos que las fintech han exigido para que sus servicios sean completamente funcionales, lo que podría ser un cuello de botella para cumplir con la fecha límite».
Cargas Adicionales
Steve Durbin, director gerente del Foro de Seguridad de la Información, dice que el mandato PSD2 «impone una carga adicional a los bancos para compartir información con una amplia gama de organizaciones de terceros que pueden ser nuevos en la industria y sus regulaciones».
Una encuesta reciente realizada a 442 bancos en Alemania, Bélgica, Finlandia, Suecia, España, Dinamarca, Francia, Reino Unido y Noruega por la plataforma sueca de banca abierta Tink, indicó que cerca del 50 por ciento de los bancos aún no habían cumplido con la sólida autenticación del cliente mandato.
Más del 75 por ciento de los comerciantes en la UE desconocen los nuevos requisitos de autenticación, y menos del 5 por ciento de los comerciantes actualmente utilizan el protocolo de mensajería 3D Secure 2.1, uno de los requisitos para ofrecer una autenticación más fuerte.
Superando desafíos
Los expertos en seguridad dicen que aquellos involucrados en pagos electrónicos deben de adoptar una serie de pasos técnicos.
Murdoch dice, por ejemplo, que la vinculación dinámica es esencial, lo que significa que debe haber una forma de rastrear la transacción de pago de extremo a extremo.
Esto es posible mediante la generación de códigos de autenticación sujetos a un conjunto de estrictos requisitos de seguridad.
Lynch dice que otro componente crítico es aumentar la evaluación de riesgos utilizando el aprendizaje automático para respaldar las decisiones en tiempo real.
Un nuevo enfoque para la autenticación
Volkswagen Bank ha implementado tecnología de seguridad avanzada para transacciones móviles para ayudar a cumplir con el requisito de autenticación PSD2, dice Mario Bandau, gerente de proyectos del banco.
El banco está utilizando una solución visual de firma de transacciones. Aplica un criptograma gráfico hecho de puntos de colores para cifrar los detalles de la transacción, que solo puede leer un dispositivo confiable.
«La solución ayuda a los bancos a contrarrestar las adquisiciones de cuentas, así como a los troyanos bancarios, como los ataques en el navegador, estableciendo una conexión segura entre el dispositivo y el banco, y este es un factor adicional de autenticación», dice.
Seguimiento del progreso
En el Reino Unido, los reguladores trabajarán con representantes de la industria para rastrear el progreso hacia el cumplimiento del mandato de autenticación PSD2, dice Jonathan Davidson, director ejecutivo de supervisión en la división minorista y de autorizaciones de la Autoridad de Conducta Financiera.
«La FCA también continuará monitoreando la medida en que los bancos y los proveedores de servicios de pago están cumpliendo con sus expectativas de que consideren el impacto de SCA [autenticación fuerte de clientes] en diferentes grupos de consumidores, y proporcionen medios alternativos de autenticación donde sea necesario». agrega.
Nueva normativa más segura en las compras con tarjeta de crédito