Un enfoque seguro para la banca del futuro

La Segunda Directiva de Servicios de Pago (PSD2) plantea un nuevo escenario en el sector bancario y de pagos, ya que obliga a las entidades bancarias a otorgar accesos a proveedores externos (Third Party Providers) a las cuentas de sus clientes. PSD2 abre enormes oportunidades, tanto para nuevas entidades y organizaciones que quieran entrar a participar en el sector de la banca y servicios de pago, como para las propias entidades bancarias. La directiva está en conformidad con el espíritu de banca abierta y promueve la competencia. Para que este planteamiento sea posible, la Directiva PSD2 impone requisitos de seguridad muy estrictos en las tecnologías financieras. Uno de los requisitos impuestos por la propia directiva, es la obligación, para las figuras participantes, del uso de certificados cualificados de Sello Electrónico y de Autenticación Web, ambos con carácter PSD2.

Para utilizar la interfaz del banco, los proveedores externos requieren una licencia para los derechos de acceso. Esta licencia es emitida por la Autoridad Nacional Competente (NCA). Una vez otorgado, el proveedor requiere un certificado de autenticación web para asegurar su comunicación. Esto le permite identificarse ante el banco como el titular de una licencia NCA. El banco también puede requerir el uso adicional de un sello electrónico para garantizar la integridad de los datos firmados.

Son certificados que cumplen con el Reglamento (UE) No 910/2014 del 23 de Julio de 2014, sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno (eIDAS). Únicamente pueden ser emitidos por Prestadores Cualificados de Servicios de Confianza acreditados para este servicio, como lo es ANF Autoridad de Certificación.

ANF AC, como prestador cualificado, garantiza que sus certificados son cualificados y cumplen con el Reglamento eIDAS.

El Artículo 34 de los Regulatory Technical Standards (RTS) para la autenticación fuerte del cliente y las comunicaciones seguras bajo PSD2 indica que se deben usar certificados eIDAS para la identificación de los Prestadores de Servicios de Pago (PSPs), y hace referencia a dos tipos de certificados cualificados existentes:

• Certificado cualificado de Sello Electrónico (QSealC)
• Certificado cualificado de Autenticación de Página Web (QWAC)

Conteniendo además, los siguientes atributos requeridos por los RTS:

• Número de autorización del PSP, emitido por la Autoridad Nacional Competente (NCA)
• Rol del PSP
• Nombre de la Autoridad Nacional Competente dónde está registrado el PSP.

Lo certificados de tipo PSD2 de ANF Autoridad de Certificación están en total cumplimiento con los RTS y con el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2)

Los RTS permiten utilizar certificados cualificados de Sello Electrónico (QSealC) y de Autenticación de Páginas Web (QWAC) para la identificación. Cada certificado está diseñado para cumplir con una función muy específica, en los diferentes protocolos de seguridad marcados por la Directiva.

El uso y manejo de un certificado QsealC o un QWAC, no es una opción arbitraria, sino que depende de la manera en que se usen los certificados en el diseño de la interfaz.

Un certificado QWAC asegura la comunicación entre bancos y proveedores externos en el nivel de transmisión de datos. El servicio de pago lo utiliza para autenticarse como titular de un número de registro NCA en el banco que proporciona la cuenta. El QWAC contiene información sobre la función de la empresa, así como su identificación de registro ante la Autoridad de Supervisión Financiera. Además, los QWAC cifran toda la comunicación entre el banco, el proveedor de servicios de pago y el usuario.

QSEALs asegura los datos en el nivel de aplicación. Esto es especialmente útil para determinar, en caso de daños, quién ha accedido a la API. El QSEAL hace que este proceso sea mucho más fácil. En principio, un banco puede requerir que un proveedor externo use sellos electrónicos cualificados. También documenta todas las solicitudes del proveedor de servicios y protege los datos firmados contra modificaciones.

En todos los sistemas se usan identificadores para identificar de forma única quien es quien en un sistema. En el marco de PSD2, el artículo 34 de los RTS para autenticación fuerte del cliente y comunicaciones comunes y seguras bajo PSD2, deja claro que el número emitido por la Autoridad Nacional Competente (En caso de España, el Banco de España), será el identificador a usar.

Existen 4 posibles roles a incluir en el certificado de PSD2:

• Gestor de cuentas (Account Servicing)
• Iniciación de pagos(Payment Initiation)
• Información sobre cuentas (Account information)
• Emisión de instrumentos de pago basados en tarjetas (Issuing of Card-Based Payment Instruments)

No existe la posibilidad de editar los campos de un certificado existente. Si se produjera un cambio en la información contenida en el certificado, por ejemplo, el nombre del PSP, el certificado antiguo debe revocarse y emitirse uno nuevo.