Recomendaciones para la seguridad de los pagos por Internet

El Foro Europeo sobre Seguridad de los Pequeños Pagos, formado por los supervisores de los Proveedores de Servicios de Pago (PSP) y los responsables de la vigilancia, recopiló en el año 2012 una serie de recomendaciones consultadas por 17 países de la Unión Europea, con objetivo de mejorar el conocimiento y puesta en común de cuestiones relacionadas con la seguridad de los servicios e instrumentos pago electrónico.

El Banco Central Europeo (BCE) publicó estas recomendaciones en enero de 2013, dentro del documento «Recommendations for the security of internet payments» y pidió a los PSP y a las autoridades competentes, la aplicación de estos requisitos mínimos antes del 1 de febrero de 2015, ofreciendo a las autoridades nacionales establecer un período de transición más corto. EN el caso de España, el Banco de España se fijó se fijó el pasado 30 de Septiembre como fecha límite para cumplir este hito.

Las recomendaciones se dividen en tres grandes áreas;

  • Controles generales y entorno de seguridad de las plataformas que soporta los servicios de pago.
  • Controles específicos y medidas de seguridad para los pagos por internet
  • Concienciación, educación y comunicaciones con los clientes.

A su vez, éstas áreas se estructuran en un total de 51 consideraciones clave y 12 mejores prácticas.

Las recomendaciones finales, las principales consideraciones y las buenas prácticas son aplicables para los servicios de pago por Internet, como:

  • Ejecución de pagos con tarjeta a través de Internet, incluyendo pagos con tarjetas virtuales, registro de datos relacionados a la tarjeta de pago para su empleo en soluciones tipo monedero;
  • Realización de transferencias de crédito a través de Internet;
  • Emisión y modificación de mandatos electrónicos (e-mandatos) de débito directo; y
  • Transferencias de dinero electrónico (e-money) entre dos cuentas de dinero electrónico a través de Internet.

En definitiva, estas recomendaciones se aplican para todas las transferencias de crédito realizadas a través de los portales web de cada entidad, los servicios prestados como banco adquiriente para comercios electrónicos y las tarjetas emitidas como emisor de medios de pago.

SIn embargo, quedan fuera del alcance de estas recomendaciones, de manera explícita, los siguientes servicios de pago por Internet:

  1. Servicios como e-brokerage provistos desde las páginas web de las entidades.
  2. Pagos cuya instrucción se realiza por correo ordinario, banca telefónica, correo de voz o con tecnologías SMS.
  3. Transferencias de crédito donde un tercero accede a las cuenteas de pago del cliente.
  4. Transacciones de pagos realizados mediante redes dedicadas empresariales.
  5. Pagos con tarjetas utilizando tarjetas anónimas, no recargables o tarjetas prepago donde no haya relación entre el emisor y el titular de la tarjeta.
  6. Transacciones de clearing y settlement.
  7. Pagos desde móvil no realizados a través del navegador.

Ésta última es una de las que mayor controversia ha generado, puesto que las aplicaciones de banca a distancia para smartphone, suelen ser un frontend -basado en el navegador- y que hace además uso de los servicios web compartidos con las páginas de las entidades.

Los grandes retos para las entidades se centran en cumplir con las recomendaciones relativas a autenticación, donde los nuevos requisitos tanto en el acceso datos como en el inicio de pagos, requieren el uso de autenticación fuerte. Para que este proceso de autenticación sea considerado válido, ha de llevarse a cabo siguiendo los siguientes preceptos:

  • Usar dos mecanismos de diferente naturaleza, bien sea conocimiento, posesión o inherencia;
  • Que al menos uno de ellos sea reutilizable.

En la práctica esto implica la necesidad de migrar a sistemas tipo OTP (one time password), tokens con claves generadas o incluso calculadoras criptográficas.

Otra de las medidas a tener en cuenta se refiere a la parte de acceso a datos. Tradicionalmente, las entidades que han hecho uso de mecanismos fuertes de autenticación, lo han hecho para iniciar transferencias u órdenes de pagos. Con las nuevas recomendaciones, el acceso a los datos de pago también ha de estar securizado, por lo que se plantean dos posibilidades: autenticar fuertemente de manera previa al acceso a cualquier dato o, en su defecto, enmascarar información considerada como sensible.

Otras recomendaciones que se hacen son:

  • Establecer mecanismos de seguimiento de las operaciones diseñados para prevenir, detectar y bloquear operaciones de pago fraudulentas;
  • Introducir varios niveles de seguridad para reducir los riesgos identificados;
  • Facilitar asistencia y orientación a los clientes acerca de buenas prácticas de seguridad en Internet y seguimiento de las operaciones.

Todo esto sin menoscabo para las medidas exigibles a los comercios a los que se preste servicio como banco adquiriente, los cuales deberán aplicar medidas análogas en el caso de almacenar, tratar o procesar información de clientes.

Las recomendaciones recogidas para la lucha contra el fraude abarcan tanto en las operaciones de pago por Internet como en el acceso a datos confidenciales de pagos. El objetivo final es asegurar que la persona que inicia el pago es un usuario legítimo.

La finalidad última es aumentar la confianza de los consumidores en los servicios de pago por Internet. En este sentido, es necesario tomar consciencia de que un elevado nivel de seguridad en los pagos incrementa, a su vez, la complejidad para los usuarios. Este cambio del panorama de los pagos a través de Internet puede producirse a corto plazo o por el contrario habrá que esperar a la PSD2, directiva que revisa los servicios de pago, para ver cambios significativos.

Autores: Pedro Feu, Manager en el área de IT Advisory de KPMG en España y Francisco Esteban, miembro del equipo de IT Advisory de KPMG en España.