AuthoriPay Guide to Strong Customer Authentication and granting access to Third-Party Providers
Autenticación sólida de clientes, vinculación dinámica y
Acceso a proveedores de pago externos
There are 2 significant requirements mandated under PSD2, both of which you may have heard of:
- Autenticación fuerte de clientes (SCA) y enlace dinámico
- Acceso a las cuentas de pago por parte de terceros proveedores de pago (TPP)
Both have a significant impact on Payment Service Providers who offer payment accounts that are accessible online.
Autenticación fuerte de clientes (SCA) y enlace dinámico
While Strong Customer Authentication is widely referenced, its practical application and regulatory requirements are often misunderstood. This section provides a clear overview of what SCA entails and when it must be applied.
¿Cuándo deben utilizarse la autenticación fuerte de clientes y la vinculación dinámica?
Los proveedores de servicios de pago están obligados a aplicar SCA y Dynamic Linking siempre que un cliente acceda a distancia a su cuenta de pago para realizar una de las siguientes operaciones:
- Inicia una instrucción de pago electrónico
- Consultar el saldo y/o el historial de transacciones
- Lleva a cabo cualquier acción que pueda implicar un riesgo de fraude en los pagos u otros abusos
¿Qué es una cuenta de pago?
En la DSP2, una cuenta de pago se define de forma muy sencilla como una cuenta (no necesariamente una cuenta bancaria) que se utiliza para procesar pagos. Con la excepción de los servicios de transferencia de efectivo cara a cara (como Western Union), la mayoría de los proveedores de servicios de pago ofrecerán una cuenta a sus clientes para el procesamiento de pagos y, por lo tanto, entrarán en esta definición.
¿Qué significa acceso remoto?
En el contexto de las SCA, por acceso remoto se entiende el acceso a través de un canal electrónico a distancia, como Internet (mediante un portal en línea) o a través de una aplicación basada en el móvil.
En aras de la claridad, las instrucciones de pago aceptadas por correo electrónico o por teléfono no entran, por el momento, en el ámbito de las rues de la SCA.
¿Y los pagos con tarjeta?
¿Qué es la autenticación robusta de clientes?
Conocimientos
Algo que el cliente sabe
Posesión
Algo que el cliente tiene
Inherencia
Algo que el cliente
Cómo puede afectar a una empresa
Un buen ejemplo de ello son las empresas que ofrecen acceso en línea a través de Internet (por ejemplo, mediante un portal). Normalmente, los clientes facilitarían las siguientes credenciales:
-
Un nombre de usuario, que en la mayoría de los casos es su dirección de correo electrónico; y
-
Una contraseña única.
Aquí tenemos un problema en relación con SCA, porque tal y como están las cosas ambas contarían como algo que el cliente sabe (conocimiento). Por lo tanto, sólo estaríamos utilizando 1 de las credenciales de seguridad requeridas, no 2.
Una forma de hacer que esto cumpla con las nuevas normas sería cambiar la dirección de correo electrónico de ser algo que el cliente sabe, a algo que el cliente tiene (posesión). Para que esto funcione, tendría que demostrar que el cliente tuvo acceso a esta dirección de correo electrónico. Esto podría hacerse utilizando la dirección de correo electrónico junto con una contraseña de un solo uso (OTP).
En este caso, el cliente tendría que introducir su dirección de correo electrónico y una contraseña única. El proveedor de servicios de pago tendría entonces que generar la OTP, a la dirección de correo electrónico para que el cliente la proporcionara posteriormente.
Este es sólo un ejemplo de cómo SCA puede afectar a una empresa y hay muchos otros que tendrían que ser considerados individualmente.
Además de esto, existe el concepto de vinculación dinámica, que debe aplicarse siempre que se inicie un pago electrónico.
¿Qué es el enlace dinámico?
Requisito de enlace dinámico |
Lo que significa en la práctica |
| El ordenante conoce el importe de la operación de pago y el beneficiario; |
En términos básicos, esto significa que, al efectuar un pago, debe mostrarse al ordenante el importe que se envía y el nombre del beneficiario. Por ejemplo, si el cliente está pagando a John Smith 1.000 euros, esto debe ser claramente visible para él. Debe tenerse en cuenta que las normas no establecen cómo debe mostrarse esto al cliente, por lo que existe cierta flexibilidad. |
| El código de autenticación generado es específico del importe de la operación de pago y del beneficiario acordado por el ordenante al iniciar la operación; | Básicamente, esto significa que, al autorizar el pago, debe generar un código de autenticación que sea específico para esta transacción y no pueda utilizarse para ninguna otra. El código generado puede adoptar la forma que desee, siempre que pueda vincularlo al pago específico. |
| El código de autenticación aceptado por el proveedor de servicios de pago corresponde al importe específico original de la operación de pago y a la identidad del beneficiario acordada por el ordenante; |
En pocas palabras, el proveedor de servicios de pago sólo puede utilizar 1 código de autenticación por pago. Dado el número de sistemas que una empresa utiliza para procesar un solo pago, podría ser posible que cada uno de esos sistemas genere su propio código de autorización único. El proveedor de servicios de pago debe elegir sólo 1 para que actúe como código de autorización vinculado dinámicamente. |
| Cualquier modificación del importe / beneficiario conlleva la invalidación del código de autenticación generado; | Si el importe de la transacción o el beneficiario cambian, debe cancelarse el código de autenticación y emitirse uno nuevo que cumpla los requisitos anteriores. |
Acceso a las cuentas de pago por parte de terceros proveedores de pagos
Payment Service Providers who offer payment accounts that are accessible online to payers have to allow regulated Third-Party Payment Providers (TPP’s) to access their customers account, using their SCA credentials.
Poco se sabe de este reglamento en particular, y aquí desglosaremos lo siguiente:
- ¿Qué es un proveedor de pagos de terceros?
- ¿Quién tiene que permitir el acceso a ellos?
- ¿Cuáles son los requisitos específicos?
1. ¿Qué es un proveedor de pagos de terceros (TPP)?
Un TPP es un nuevo tipo de servicio de pago regulado, que se introdujo oficialmente a través de la DSP2 (aunque en realidad ya existían mucho antes). Los TPP pueden dividirse en 2 tipos de servicios:
- Proveedores de servicios de información sobre cuentas (AISP)
- Proveedores de servicios de iniciación de pagos (PISP)
Proveedores de servicios de información sobre cuentas (AISP)
Los AISP utilizarán las credenciales SCA del cliente para acceder a su cuenta y recopilar información sobre transacciones y saldos. Esta información puede utilizarse por diversos motivos, como el análisis de gastos o la visión general de la situación financiera.
Proveedores de servicios de iniciación de pagos (PISP)
Los PISP utilizarán las credenciales SCA del cliente para acceder a su cuenta y ordenar un pago directamente al beneficiario designado por el cliente. Los PISP nunca entrarán en posesión de los fondos.
2. ¿Quién tiene que permitir el acceso a las TPP?
Oficialmente, si usted es un proveedor de servicios de pago con servicio de cuenta (ASPSP) y permite a sus clientes el acceso remoto a su cuenta de pago, también debe permitir el acceso a los TPP.
Para aclarar, un ASPSP es alguien que proporciona y mantiene una cuenta de pago para un ordenante. Si no permite que su cliente realice pagos (por ejemplo, los adquirentes de comerciantes, cuyos clientes reciben pagos pero no los realizan), esta norma no se aplica.
3. ¿Cuáles son los requisitos específicos?
Las empresas no sólo tienen que permitir el acceso a los proveedores de servicios de pago, sino también disponer de procedimientos para comprobar que están regulados. Hay cosas específicas que un proveedor de servicios de pago debe hacer antes de permitir el acceso:
- Verificar las credenciales SCA y emitir un token de acceso
- Comprobar el certificado eIDAS del proveedor TPP
- Comprobar la situación reglamentaria del proveedor de TPP
Las empresas pueden hacerlo utilizando un sistema dedicado (ya sea incorporado o comprado) o simplemente permitiendo que el proveedor de TPP utilice el mismo canal que el cliente. Cuando las empresas utilizan un sistema dedicado, deben informar al regulador y proporcionarle detalles sobre su funcionamiento.
Cómo afecta esto al panorama de los pagos.
Los siguientes diagramas muestran el panorama de los pagos antes y después de la aplicación de las nuevas normas PSD2. Ilustran no solo el impacto que tendrán las nuevas normas, sino también el trabajo necesario para cumplirlas.
¿Qué deben hacer las empresas?
Como consecuencia de estas nuevas normas, las empresas tendrán que analizar los servicios que ofrecen, decidir si entran en el ámbito de aplicación y cuál será su impacto, y a continuación poner en marcha un proyecto para asegurarse de que cumplen la normativa en el plazo previsto.
Hay mucho que considerar y poco tiempo para prepararse. Si desea información más específica y asesoramiento para su empresa, póngase en contacto con nosotros hoy mismo.
Si desea analizar cualquier aspecto de su empresa y las implicaciones de las SCA, consiga hoy mismo una hora de asesoramiento gratuito.
Póngase en contacto
AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.