Blog

Última llamada para llevar la ciberseguridad al nivel que exige PSD2

El viernes de la pasada semana se cumplió la fecha límite para que los estados Europeos hiciesen entrar en vigor la directiva comunitaria de servicios de pago electrónico. Conocida como “PSD2”, su implementación fue aprobada por el gobierno en noviembre del pasado año y supone un paso adelante en la política comunitaria dirigida a la consecución del mercado único digital.

Pese a haber llegado la citada fecha límite para hacer valer PSD2, el Banco de España decidió aplazar sus efectos inmediatos en bancos, entidades financieras y compañías del país, concediéndoles una prórroga para adaptar su tecnología y procesos al cumplimiento de las nuevas exigencias de la directiva, importantes en lo que atañe al aumento del nivel de ciberseguridad.

La PSD2 hace obligatorio para bancos, entidades financieras y compañías dedicadas al comercio online reforzar los sistemas de autentificación de quienes utilizan sus servicios y plataformas electrónicas de pago. En concreto, especifica que deben disponer de la tecnología necesaria para permitir a sus clientes efectuar una triple verificación de su identidad cuando hagan operaciones. Dicha verificación debe incluir:

  • Algo que tiene el cliente (por ejemplo, su número de D.N.I.).
  • Algo que conoce el cliente (una contraseña privada).
  • Algo que “es” el cliente (huella dactilar, rasgos faciales, voz…).

Además, la nueva directiva sobre servicios de pago de la UE obliga a los bancos a compartir el acceso a los datos financieros de sus clientes con otras empresas y organizaciones. El objetivo que se persigue mediante esta medida es promover la apertura del mercado electrónico de servicios financieros y de pago, facilitando, por ejemplo, el uso de apps para adquirir productos y servicios. Sus repercusiones en el ámbito de la ciberseguridad son por ello importantes.

Mayor apertura y mayor fiscalización del BCE

La apertura supondrá, por ejemplo, que la actividad de los jugadores beneficiados por el acceso a una información tan sensible como la financiera pase a estar bajo la supervisión del Banco de España. Así las cosas, deberán disponer de soluciones de seguridad más robustas y eficientes, capacitadas para prevenir y detectar con solvencia toda clase de ciberataques que puedan implicar el robo de números de cuenta o tarjeta, contraseñas de acceso y otros datos sensibles.

Además, será conveniente que dichas soluciones de ciberseguridad cuenten con herramientas de análisis e investigación capaces de seguir la huella digital de los ataques recibidos, beneficiándose para obtener buenos resultados de las capacidades de automatización que ofrecen el machine learning y la IA. Mejorar la capacidad de previsión y detección de posibles ataques y fraudes así como la reacción ante sus efectos es vital dentro del marco establecido por PSD2. La directiva limita a 50 euros la responsabilidad del cliente en caso de ser víctima de una operación fraudulenta perpetrada por métodos electrónicos, y exige a las entidades proveedoras de dichos servicios que den solución a los casos en un plazo máximo de 15 días.

Un reto para el sector eCommerce,

Si la situación es apremiante y exigente para las entidades más familiarizadas con el uso de tecnologías, como ocurre en el sector bancario y financiero, aún lo es más para los comercios electrónicos, muchos de los cuales aún desconocen el alto nivel de los nuevos estándares de seguridad establecidos por PSD2 que han de cumplir. Según un reciente estudio publicado por Mastercard al respecto, el 75% de los comercios electrónicos de Europa desconoce las implicaciones de la nueva directiva comunitaria de servicios de pago electrónico.

Teniendo en cuenta tanto el contexto descrito como el dato aportado por Mastercard, los eCommerce deben recuperar el tiempo perdido y dotarse de los recursos necesarios para garantizar los niveles de ciberseguridad adecuados a las exigencias europeas, para lo que contar con un socio experto en la materia, como es el caso de Factum, puede resultar vital.

En primer lugar, porque Factum dispone de los conocimientos y la tecnología necesarios para garantizar que los riesgos de ataque a las infraestructuras de TI se mantienen bajo control. Su estrategia de protección se basa en la implementación de medidas técnicas en todos los sistemas que soportan su ciclo de vida, desde los puestos de usuario hasta las redes de comunicaciones, pasando por los servidores de aplicaciones y de bases de datos.

A esto se suma que la experiencia de sus profesionales en consultoría lleva a Factum a poder interpretar, de acuerdo con las necesidades de cada organización, cómo garantizar la seguridad de los datos teniendo en cuenta todas las variables importantes de cada nueva normativa, lo que permite a sus clientes adaptar su nivel de ciberseguridad a los nuevos estándares exigidos por una tan exigente como “PSD2”, en un tiempo récord y con un considerable ahorro de tiempo y costes.