Los objetivos de la PSD2
La PSD2 (Payment Services Directive 2) devuelve a los usuarios, propietarios reales de los datos, el derecho a elegir quien debe tener acceso a estos. De esta forma, la nueva normativa regula el acceso a los datos financieros siendo únicamente entidades reguladas quienes podrán acceder a la información siempre y cuando dispongan y puedan demostrar el previo consentimiento del usuario. Uno de los principales objetivos de la PSD2 es la seguridad de los usuarios, por este motivo exige la autenticación reforzada de cliente, el análisis de riesgos, el riesgo de las transacciones y la comunicación mediante canales seguros.
Autenticación reforzada de cliente (SCA)
Para llevar a cabo la autenticación reforzada de cliente (SCA) se emplea una autenticación multi-factor que consiste en la combinación de dos (o más) elementos que tengan una de la siguientes características:
- Conocimiento: Algo que el usuario sabe, como un código, una contraseña o un identificador único.
- Posesión: Algo que el usuario tiene, como puede ser un token, un dispositivo móvil, dni-e, etc.
- Inherencia: Algo que el usuario es, algo característico de la persona por ejemplo la huella, el iris, la voz o el rostro.
Es importante la combinación de estas características. Se deben solicitar dos o más elementos independientes los cuales posean una de las 3 características mencionadas previamente. Cabe destacar que el objetivo de la autenticación multi-factor es que la violación de uno de los factores no comprometa ninguno de los factores restantes. Es vital que el código de autenticación no se envíe o transmita por el mismo canal por el que se inició el proceso de autenticación, es decir, si el usuario inició el acceso por su aplicación móvil que el código de autorización no se envíe a través de la misma aplicación pues si se compromete este canal todo el proceso de autorización sería vulnerable.
PSD2 y GDPR
Así mismo la PSD2 rige el uso de la autenticación reforzada de cliente tanto para autorizar el acceso a los datos como para la realización de transacciones bajo un cierto criterio. Como habitualmente encontramos un trade-off entre la usabilidad y la seguridad, por este mismo motivo se establece dicho criterio. Con el objetivo de minimizar el impacto sobre la experiencia de usuario.
En cuanto a la gestión de los datos, la PSD2 tiene bastantes cosas en común con la GDPR, en ambos casos el usuario debe dar consentimiento explícito para el tratamiento de los datos, así mismo también debe tener el derecho de modificar y revocar el acceso. Coinciden además en la transparencia y, por tanto, en la obligación por parte de los terceros proveedores de servicios a notificar a los usuarios cuando tenga lugar un incidente de seguridad.
Una de las diferencias de la GDPR respecto a la PSD2 es que esta última exige la re-autorización de acceso cada 90 días de forma que si no se realiza esta reautorización el acceso queda revocado pasado este periodo. Esto implica que cuando se da acceso por primera vez a una AISP este solamente puede acceder a la información generada en los últimos 90 días, y para acceder a información anterior se necesitará un nuevo consentimiento explícito por parte del usuario.
Sería ideal la adopción de estándares simples de autorización como puede ser OAuth 2.0 con la extensión del perfil OpenID Connect ya que por medio de este estándar se podría realizar la autorización sin necesidad de que el usuario comunique su credenciales a las empresas prestadora de servicios.
En cuanto a la comunicación segura la PSD2 aplica el mecanismo de autenticación mutua entre las entidades financieras (ASPSP) y las empresas proveedoras de servicios (AISP, PISP) mediante el uso de eIDAS, que se trata de un sistema de reconocimiento europeo de entidades electrónicas de forma que se pueda verificar la autenticidad de ambos extremos de la comunicación.
Con la aplicación todas estas medidas y los respectivos mecanismos la PSD2 pretende mejorar la protección de los usuarios, de las transacciones de pago y la protección anti-fraude. Sin olvidar que todas la entidades definidas por la PSD2: AISP, PISP y ASPSP deben cumplir unos estrictos estándares y controles de seguridad a nivel de arquitectura y de operativa para poder realizar su actividad.
Términos y conceptos a desarrollar en profundidad en los siguientes artículos:
- AISP: Account Information Service Provider
- PISP: Payment Initiation Services Provider
- ASPSP: Account Servicing Payment Service Provider
- SCA: Strong Customer Authentication
- PSD2: Payment Service Directive 2
- GDPR: General Data Protection Regulation
Contáctanos
Si quieres que hablemos sobre como Flanks puede ayudarte, puedes visitar nuestra web para más información o contactar con nosotros por email. Finalmente, si lo que deseas es descubrir como funciona nuestra API de Agregación de Datos Financieros, puedes visitar nuestra plataforma y registrarte para testearla.
Originally published at https://blog.flanks.io on February 6, 2020.
