<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

¿PSD2 es bueno para los bancos y cómo deberían implementarlo los equipos de TI?

Michael O'Dwyer| junio 07 2019

| security, Compliance, Privacy

is-psd2-good-for-banks-and-how-should-it-teams-implement-it

La directiva PSD2 de la UE (una directiva de servicios de pago revisada) tiene como objetivo regular los pagos electrónicos en los países miembros de la UE. No tiene impacto en las transacciones tradicionales basadas en papel.

El objetivo es permitir la banca abierta, donde las transacciones transfronterizas son fáciles de realizar, más baratas e involucran a cualquier número de proveedores de tecnología financiera (piense en billeteras digitales, pasarelas de pago y compras en línea). Cualquier organización involucrada en el proceso, desde los bancos mismos a los proveedores de pagos y servicios de información de cuentas (verificaciones de crédito y procesamiento de datos) debe incorporar una seguridad estricta, transparencia y proteger los derechos de los usuarios. Como se esperaba, los detalles completos de PSD2 están llenos de información legal, pero parece ser un esfuerzo para regular la industria de pagos electrónicos, al menos dentro de la UE.

Sin embargo, en una industria que ya es un objetivo a largo plazo para los ciberdelincuentes, ¿es sabio compartir datos con todos los bancos de la UE y las empresas de tecnología financiera aprobadas? ¿PSD2 cambiará los procesos bancarios para las empresas europeas? ¿Cómo pueden las empresas reducir el riesgo y proteger sus datos financieros y transacciones relacionadas?

Los defensores de la banca abierta creen que una mayor competencia tiene sus beneficios.

“La banca abierta está permitiendo a los nuevos jugadores ofrecer unirse al campo y ofrecer nuevos servicios con el beneficio adicional de fomentar la innovación. Estas mejoras son siempre un paso adelante para la industria y sus usuarios finales ", dijo Don Duncan, ingeniero de seguridad de NuData Security, una compañía de análisis biométricos y de comportamiento con sede en Vancouver.

Otros dicen que es una bolsa mixta y no necesariamente positiva.

“Con la banca abierta, los bancos se enfrentan a una gran interrupción. Si este es un paso positivo realmente depende de cómo reaccione como organización. Debe existir una estrategia corporativa para abordar la banca abierta de la manera correcta ”, dijo Felix Rosbach, gerente de productos de comforte AG, un proveedor global de soluciones de protección de datos empresariales para la economía digital.

Compartir datos y riesgos

Al hacer que las API estén disponibles para las empresas fintech, los bancos están adoptando la tecnología, pero ¿es su mejor interés hacerlo? Como señaló Rosbach, con la implementación de PSD2, los nuevos métodos y servicios de pago están evolucionando en el entorno de pago. Los clientes juzgarán a su banco por la flexibilidad de la adopción de estos nuevos servicios. Por lo tanto, los bancos deberán implementar API y nuevos productos para seguir siendo competitivos. Existe un mayor riesgo al dejar la oferta como está que al habilitar fintechs.

“Los terceros estarán en condiciones de romper la propiedad del cliente de un banco, ya que ya no es el punto central de contacto para el cliente. Los bancos tradicionales corren el riesgo de convertirse en meros servicios públicos. Con eso, los bancos pierden su contacto directo con los consumidores que usan aplicaciones de terceros para administrar sus cuentas o iniciar pagos”, agregó Rosbach.

Transferencia de archivos gestionados

Por supuesto, cuando se comparte el acceso a los datos (independientemente de la adherencia a la seguridad), el riesgo aumenta y los equipos de TI en el sector financiero deben adoptar una seguridad de datos mejorada, especialmente datos financieros y transaccionales. Ya sea que los datos estén en reposo (en almacenamiento) y en movimiento (en su camino a otra ubicación de almacenamiento) a través de API u otro método patentado, solo una solución de transferencia de archivos administrada puede asegurar todos los aspectos del viaje de datos. Además, el protocolo estándar de transferencia de archivos (FTP) no puede cumplir con los estándares y la legislación aplicables. FTP estándar también carece de un camino de auditoría

Integración de tecnología heredada con infraestructura tradicional

Ya sea dentro o fuera del sector financiero, es probable que su organización tenga una relación con más de un proveedor de servicios financieros y con PSD2 alentando la colaboración transfronteriza, estas cifras aumentarán, al menos en un sentido transaccional, como lo son los pagos. Hecho de múltiples fuentes de diferentes países de la UE. Cuando terceros pueden acceder y consultar bases de datos financieras a través de API, ¿existe un riesgo mayor?

“Los terceros no siempre son confiables (incluso si parecen serlo): pueden ser pirateados y, a veces, existe un alto riesgo de que esos terceros sean malos actores. Por lo tanto, es crucial para los bancos: a) implementar procesos de autenticación sólidos yb) proteger los datos de la cuenta de la mejor manera posible, por ejemplo, mediante tokenización ”, dijo Rosbach.

Una observación interesante. Si un tercero es hackeado a través de la API de un banco, ¿quién es responsable?

La banca abierta viene con riesgos de seguridad de TI que no se ven.

“No es solo que los bancos necesitan implementar API que permitan el acceso a una gran cantidad de datos confidenciales de cuentas bancarias, lo cual es algo arriesgado y complicado en sí mismo”, dijo Rosbach, agregando que muchos bancos tienen tecnología heredada implementada. Esto es especialmente cierto para los sistemas centrales como la gestión de transacciones y cuentas.

“Cuando intentas vincular la última tecnología con los sistemas tradicionales, terminas en problemas. Puede intercambiar la aplicación heredada, encontrar middleware o implementar una infraestructura compleja para habilitar esta transformación. La mayoría de los bancos deciden hacer lo último. Ambas opciones tienen grandes riesgos en términos de seguridad, ya que complican la arquitectura existente y abren su sistema a nuevas vulnerabilidades. Ahora comparta este sistema de patchwork, que mantiene el alma de su empresa en términos de datos, con Internet y permita el acceso a terceros. Suena como una pesadilla de ciberseguridad, ¿verdad? Es ", dijo Rosbach de comforte.

Entonces, el riesgo está presente, pero las compañías aún deben decidir si y cómo incorporarán los pagos electrónicos en sus operaciones.

Realizar la diligencia debida

Las compañías involucradas en el procesamiento de pagos o los titulares de datos relacionados deben seguir ciertas reglas, que son resumidas muy bien por Duncan de NuData.

"Cualquier compañía que juegue un papel en la protección de las cuentas de usuario y sus datos, independientemente del paso del proceso o de lo mínimo que parezca, debe asegurarse de que sus servicios se ofrezcan poniendo la seguridad y la privacidad en primer lugar".

“Hoy en día, la tecnología ha evolucionado lo suficiente como para que la seguridad no signifique paredes insuperables, sino herramientas sofisticadas que pueden detectar sin problemas cambios en un sistema de cuentas o entorno. Estas tecnologías incluyen, entre otras, la biometría física y pasiva y la inteligencia de dispositivos mejorada ", agregó Duncan.

Las empresas que buscan proveedores de servicios de fintech para optimizar el procesamiento de pagos o reducir los costos no deben confiar solo en el cumplimiento de las regulaciones como GDPR, señaló Rosbach.

"... el cumplimiento no es igual a la seguridad, así que asegúrese de que estos socios compartan sus políticas de [seguridad y privacidad]. Además, los socios deben poder ofrecer sus servicios de manera sostenible, ya que la implementación generalmente requiere mucho tiempo, especialmente con tecnología heredada del lado de los bancos ” dijo Rosbach.

Por lo tanto, si está ofreciendo una solución de fintech, buscando un socio de fintech u ofreciendo procesamiento de pagos, realice una investigación. Verifique las reseñas de los usuarios (aunque pueden ser falsas), comunicados de prensa (generalmente un sesgo de la compañía) y otra información sobre su lista de proveedores. En muchos casos, las referencias de los contactos de la industria suelen ser más beneficiosas que los informes sesgados. Las páginas de soporte son otra opción. ¿De qué se quejan los usuarios?

En conclusión, las compañías deberían adoptar nuevas tecnologías, pero solo si ofrecen un beneficio real para sus operaciones. Sus datos financieros son valiosos, por lo que elegir quién tiene acceso a ellos vale la pena hacerlos con cuidado. Los pagos electrónicos son necesarios y crecen en volumen cada año.

Me guste o no, y debo admitir que prefiero usar efectivo siempre que sea posible, ya que no hay puntos de datos creados para un análisis más profundo por parte de todos aquellos que me están espiando (una lista interminable de fisgones en línea) ... los pagos electrónicos son útiles.

 “El futuro es sin efectivo. Y eso no es porque el gobierno ya no nos permita usar dinero en efectivo. Es porque es más conveniente. El efectivo no desaparecerá por completo en unos pocos años, pero con más y más sectores de nuestra economía en proceso de transformación digital, las formas digitales de transferir dinero (o, digamos, los activos) serán lo que definirá nuestro futuro. Podría ser banca abierta, también podría ser un libro de contabilidad (precaución: palabra de moda entrante) distribuido con blockchain”, dijo Rosbach.

¿Qué piensas? ¿Es la banca abierta el camino a seguir, a pesar de los riesgos identificados o es mejor seguir con los servicios mejorados de su propio banco de la empresa? ¿O ambos? Independientemente de lo que elija, la privacidad y la protección de los datos es el factor decisivo clave ... ¿Está preparado?

7 Pasos para el cumplimiento de la legislación sobre la protección de datos

Topics: security, Compliance, Privacy

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Michael O'Dwyer

An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.