Certificado con la consideración de cualificado en cumplimento con el Reglamento eIDAS

BIENVENIDO AL NUEVO OPEN BANKING
Para el Cumplimiento ETSI TS 119 495

Un enfoque seguro para la banca del futuro

Cumpla con los requerimientos de seguridad de autenticación y comunicaciones con los certificados cualificados de ANF AC.

Certificados para el cumplimiento PSD2

La Directiva de Servicios de Pago (PSD2) responde al objetivo regulador de permitir el desarrollo y consolidación de servicios de iniciación y agregación de pagos, en un contexto que proporcione a los consumidores una protección adecuada tanto de sus pagos como de la información asociada a sus cuentas. En los Estándares Técnicos de Regulación (RTS) a los que la Directiva PSD2 hace referencia, se establece como obligatorio el uso de certificados cualificados conforme a eIDAS.

Si usted es un Proveedor de Servicios de Pago, asegúrese de disponer de certificados Cualificados conforme a eIDAS.

El mercado de servicios financieros es uno de los mercados más críticos, con amenazas constantes de fraude y riesgo de seguridad. La directiva de servicios de pago (PSD2) está creando un nuevo Mercado de Servicios Financieros Digitales (junto con nuevos actores en el ecosistema).

Todas las empresas que planeen convertirse en un Proveedor de Servicios de Pago (PSP) según la nueva Directiva de servicios de pago (PSD2) deben utilizar certificados electrónicos creados específicamente para PSD2 para salvaguardar la seguridad de la información.

Es importante que estos certificados electrónicos cumplan los requisitos de los Estándares Técnicos Regulatorios (RTS, en inglés Regulatory Technical Standards) de la Autoridad Bancaria Europea para una autenticación fuerte del cliente y comunicaciones comunes seguras, para que todos los Proveedores de Servicios de Pago (PSP) y los usuarios del servicio de pago (PSU) están protegidos cuando realizan negocios en línea.

Dos tipos de certificados cualificados PSD2

Sello electrónico
PSD2

(QC eSeal PSD2)

Ya se puede solicitar su certificado de PSD2 de tipo Sello electrónico en cumplimiento con los Regulatory Technical Standards (RTS) y ETSI TS 110 495.

Autentación website PSD2

(SSL QWAC PSD2)

Ya se puede solicitar su certificado de PSD2 de tipo SSL EV en cumplimiento con los Regulatory Technical Standards (RTS) y ETSI TS 119 495

ANF Autoridad de Certificación

Primera CA Española acreditada para emitir certificados cualificados PSD2.

ANF Autoridad de Certificación es la primera Autoridad de Certificación acreditada en España para emitir certificados del tipo PSD2 como se especifica en las “Regulatory Technical Standards (RTS) de PSD2 para una autenticación sólida del cliente y estándares de comunicación abiertos comunes y seguros”. El RTS requiere el uso de Certificados Cualificados de Sello Electrónico (QC eSeal) y Certificados Cualificados de Autenticación de sitio web (QWAC) emitidos de acuerdo con la norma ETSI TS 119 495.en línea.

¿Por qué escoger a ANF Autoridad de Certificación?

1ª CA Española acreditada para emisión de certificados PSD2

Prestador Cualificado de Servicios de Confianza

Autoridad de Certificación Europea

Años de experiencia nos avalan

Certificado sello electrónico PSD2

950 €

Rol único

1 año

1.750 €

Rol único

2 año

1.150 €

Rol múltiple

1 año

2.250 €

Rol múltiple

2 años

Certificado SSL PSD2

1050 €

Rol único

1 año

2050 €

Rol único

2 años

1350 €

Rol múltiple

1 año

2650 €

Rol múltiple

2 años

Set 2 certificados PSD2 (SSL y Sello electrónico)

1.750 €

Rol único

1 año

2650 €

Rol único

2 años

2.350 €

Rol múltiple

1 año

4450 €

Rol múltiple

2 años

Formulario de Solicitud

Preguntas Frecuentes

1¿En qué consiste la nueva regulación PSD2 y qué oportunidades ofrece?

La Segunda Directiva de Servicios de Pago (PSD2) plantea un nuevo escenario en el sector bancario y de pagos, ya que obliga a las entidades bancarias a otorgar accesos a proveedores externos (Third Party Providers) a las cuentas de sus clientes. PSD2 abre enormes oportunidades, tanto para nuevas entidades y organizaciones que quieran entrar a participar en el sector de la banca y servicios de pago, como para las propias entidades bancarias. La directiva está en conformidad con el espíritu de banca abierta y promueve la competencia. Para que este planteamiento sea posible, la Directiva PSD2 impone requisitos de seguridad muy estrictos en las tecnologías financieras. Uno de los requisitos impuestos por la propia directiva, es la obligación, para las figuras participantes, del uso de certificados cualificados de Sello Electrónico y de Autenticación Web, ambos con carácter PSD2.

2¿Cuáles son los requisitos para los proveedores externos?

Para utilizar la interfaz del banco, los proveedores externos requieren una licencia para los derechos de acceso. Esta licencia es emitida por la Autoridad Nacional Competente (NCA). Una vez otorgado, el proveedor requiere un certificado de autenticación web para asegurar su comunicación. Esto le permite identificarse ante el banco como el titular de una licencia NCA. El banco también puede requerir el uso adicional de un sello electrónico para garantizar la integridad de los datos firmados.

3¿Qué son los certificados cualificados?

Son certificados que cumplen con el Reglamento (UE) No 910/2014 del 23 de Julio de 2014, sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno (eIDAS). Únicamente pueden ser emitidos por Prestadores Cualificados de Servicios de Confianza acreditados para este servicio, como lo es ANF Autoridad de Certificación.

ANF AC, como prestador cualificado, garantiza que sus certificados son cualificados y cumplen con el Reglamento eIDAS.

4¿Por qué es relevante eIDAS (certificados cualificados) para PSD2?

El Artículo 34 de los Regulatory Technical Standards (RTS) para la autenticación fuerte del cliente y las comunicaciones seguras bajo PSD2 indica que se deben usar certificados eIDAS para la identificación de los Prestadores de Servicios de Pago (PSPs), y hace referencia a dos tipos de certificados cualificados existentes:

Certificado cualificado de Sello Electrónico (QSealC)
Certificado cualificado de Autenticación de Página Web (QWAC)

Conteniendo además, los siguientes atributos requeridos por los RTS:

Número de autorización del PSP, emitido por la Autoridad Nacional Competente (NCA)
Rol del PSP
Nombre de la Autoridad Nacional Competente dónde está registrado el PSP.

Lo certificados de tipo PSD2 de ANF Autoridad de Certificación están en total cumplimiento con los RTS y con el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2)

5¿Cuándo es apropiado utilizar cada certificado de PSD2?

Los RTS permiten utilizar certificados cualificados de Sello Electrónico (QSealC) y de Autenticación de Páginas Web (QWAC) para la identificación. Cada certificado está diseñado para cumplir con una función muy específica, en los diferentes protocolos de seguridad marcados por la Directiva.

El uso y manejo de un certificado QsealC o un QWAC, no es una opción arbitraria, sino que depende de la manera en que se usen los certificados en el diseño de la interfaz.

Un certificado QWAC asegura la comunicación entre bancos y proveedores externos en el nivel de transmisión de datos. El servicio de pago lo utiliza para autenticarse como titular de un número de registro NCA en el banco que proporciona la cuenta. El QWAC contiene información sobre la función de la empresa, así como su identificación de registro ante la Autoridad de Supervisión Financiera. Además, los QWAC cifran toda la comunicación entre el banco, el proveedor de servicios de pago y el usuario.

QSEALs asegura los datos en el nivel de aplicación. Esto es especialmente útil para determinar, en caso de daños, quién ha accedido a la API. El QSEAL hace que este proceso sea mucho más fácil. En principio, un banco puede requerir que un proveedor externo use sellos electrónicos cualificados. También documenta todas las solicitudes del proveedor de servicios y protege los datos firmados contra modificaciones.

6¿Qué es el Número o Identificador de Registro?

En todos los sistemas se usan identificadores para identificar de forma única quien es quien en un sistema. En el marco de PSD2, el artículo 34 de los RTS para autenticación fuerte del cliente y comunicaciones comunes y seguras bajo PSD2, deja claro que el número emitido por la Autoridad Nacional Competente (En caso de España, el Banco de España), será el identificador a usar.

7¿Qué es el Rol del Prestador de Servicios de Pago?

Existen 4 posibles roles a incluir en el certificado de PSD2:

Gestor de cuentas (Account Servicing)
Iniciación de pagos(Payment Initiation)
Información sobre cuentas (Account information)
Emisión de instrumentos de pago basados en tarjetas (Issuing of Card-Based Payment Instruments)

8¿Se puede editar el contenido de los certificados?

No existe la posibilidad de editar los campos de un certificado existente. Si se produjera un cambio en la información contenida en el certificado, por ejemplo, el nombre del PSP, el certificado antiguo debe revocarse y emitirse uno nuevo.