Archivo de la categoría: PCI DSS

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

  1. Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
  2. Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
  3. Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
  4. Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
  5. Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

  • Datos de identificación de la persona (PID)
  • Declaraciones electrónicas de atributos (EAA / QEAA)
  • Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

  • Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
  • Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
  • Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

  • Certificados electrónicos cualificados para firmas y sellos electrónicos.
  • Sellado de tiempo electrónico cualificado.
  • Notificaciones electrónicas certificadas.
  • Validación y preservación de documentos electrónicos.
  • Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

Auditorias para entidades financieras en el marco de la PSD2

Deja un comentario

PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Ayer tuvo lugar el seminario “Últimos avances en Medios de Pago»

Deja un comentario

Ayer se llevó a cabo una nueva edición del seminario “Últimos avances en Medios de Pago» que concentra en un solo día la información más relevante sobre el funcionamiento de los sistemas de pago en España y en el mundo, tocando las siguientes  áreas de conocimiento:

  • Entidades financieras emisoras y adquirentes
  • Esquemas y Procesadores de Medios de Pago
  • Estructura internacional las redes de pagos
  • Procesamiento de pagos con tarjeta y transacciones en cajeros
  • Pago a distancia
  • Refuerzo electrónico de seguridad en pago presencial
  • Firma electrónica
  • Comercio electrónico
  • Pago móvil
  • NFC
  • Identificación de incumbentes y nuevos players en el sector de medios de pago

Interesantes los comentarios de los asistentes, que vienen frecuentemente con retos relevantes para sus negocios, que en muchas ocasiones pueden encarrilar.

Por mi parte, reconozco que también aprendo de las cuestiones que se suscitan, dado el alto nivel de muchos de los asistentes.

Uno de los temas que se suscitaron fue la forma de conseguir la lista de entidades auditadas bajo las especificaciones PCI DSS. Aquí está la lista de VISA y aquí la de MasterCard.

Este seminario lo organizó Atenea Interactiva, y parece que va a organizar otro a principios de 2013. También está disponible en modalidad «in-company» y lo he impartido en esa modalidad para BBVA.

Otros seminarios que imparte Atenea son:

Intereconomía Conferencias y su seminario «Novedades en el mercado de medios de pago»

Deja un comentario

Prácticamente coincidiendo con el anuncio del seminario de Atenea Interactiva Ultimos avances de Medios de Pago se ha producido el del seminario Novedades en el mercado de Medios de Pago, de Intereconomía Conferencias.

Aunque los dos seminarios se celebrarán en fechas próximas, hay algunas diferencias de enfoque que permiten que un asistente a uno de ellos pueda tener interés en el otro.

El seminario de Intereconomía Conferencias convoca como ponentes a personas relevantes del mundo de los medios de pago que contarán qué actividades desarrollan las instituciones que representan y a qué estrategias obedecen:

D. Alberto Pérez Lafuente
Director de Proyectos de innovación
BANKINTER

Dña. Alicia Calvo
Directora de innovación
ORANGE

D. Luis Miegimolle
Responsable de Medios de Pago
DEUSTCHE BANK

D. Fernando Albert
Director Comercial España
VISA EUROPE

D. Jorge Moreno
Jefe de Producto, Crédito e Innovación para España y Portugal
MASTERCARD EUROPE

D. Ignasi Martín
Director de Área Banca Electrónica
CATALUNYA CAIXA

D. Eric Vernhes
Business Unit Director. Payment & Transport
OBERTHUR TECNOLOGIES IBERICA

D. Arturo Valdivieso
Director de Operaciones y Tecnología de Mastercard para España y Portugal
MASTERCARD EUROPE

Dña. María Lorenzo
Directora de Medios de Pago
BANCO POPULAR

Aunque no cabe duda del interés que despiertan los temas que tratarán, sus mensajes están dirigidos a especialistas del sector de medios de pago, por lo que se presuponen ciertos conocimientos previos.

Por ese motivo, quienes nos los tengan agradecerán el enfoque de recorrido temático planteado en el seminario de Atenea Interactiva, que impartiré yo mismo, aunque contaré con la introducción de Oski Goldfryd, Director de FinancialTech Magazine. El Seminario  Ultimos avances de Medios de Pago  no presupone conocimientos previos del sector, más allá de los que todos podemos tener como usuarios de tarjetas y cajeros y como compradores que pagan con tarjeta.

Quienes asistan la seminario de Intereconomía Conferencias todavía pueden completar la información que les falte asistiendo al seminario de Atenea Interactiva, ya que se celebra el 24 de noviembre de 2011, unos días después del anterior.

En cuanto a los precios, el de Intereconomía Conferencias cuesta 980,00 € + 18% IVA y el de Atenea Interactiva cuesta 450 € + 18% IVA

Chip-and-PIN in VISA USA relaxes PCI DSS requirements

1 respuesta

Seen in SC Magazine

Author: Dan Kaplan

February 10, 2011

New Visa program could grow momentum for chip-and-PIN

A new Visa program that will exempt some European merchants from having to adhere to payment card security standards may spur the adoption of chip-and-PIN technology in the United States, according to a security analyst.

The program, announced Wednesday, 9-feb2011, eliminates the requirement for non-U.S. merchants to annually validate their compliance with the Payment Card Industry Data Security Standard (PCI DSS) if at least 75 percent of their Visa transactions originate from chip-enabled terminals.

The merchant would still be obligated to prove PCI compliance in relation to other transactions, such as MasterCard.

«I predicted this,» Avivah Litan, vice president and distinguished analyst at Gartner, told SCMagazineUS.com this week. «As payment card technology gets more secure, then there’s less of a need to secure the merchant sites. It’s redundant. Just secure the payment systems.»

To qualify, retailers must outfit their locations with terminals that accept «contact or dual contact and contactless» chips, according to Visa.

EMV, more commonly referred to as chip-and-PIN, is a payment technology largely used in the U.K., Spain, France, Germany  and in other european countries. It involves recognizing unique microchips embedded in credit and debit cards to validate that they are legitimate, and it has been credited with the declining fraud rates overseas.

Some firms in the United States, including mighty Walmartare exploring the benefits of the technology, which has been held up here largely because of costs and incentive.

But the new Visa program may encourage more U.S. merchants to swap out their existing card readers if that means they too would be able to avoid the cost of PCI compliance.

«This may push the U.S. into it,» Litan said. «Now it’s a business case for merchants to start taking chip cards. It’s a good incentive.»

In October, the PCI Security Security Standards Council, tasked with managing the PCI DSS, released aguidance document for those organizations considering migrating their terminals to EMV.

Of course, for EMV to become a reality in the United States, banks must be willing to issue new cards containing chips. Yet, according to Visa, new debit card regulations that would cap the amount that card issuers can charge merchants when cards are swiped may curtail’ banks interest  – even though financial institutions, not merchants, are typically the ones that must reimburse consumers for incidents of fraud.

A recent study from the Boston Consulting Group estimated that card issuers could be on the hook for $25 billion in annual costs due to these stricter regulations, known as the Durbin Amendment because it is principally sponsored by Democratic Sen. Richard Durbin of Illinois.

“With such a dramatic potential for revenue loss, financial institutions will likely curtail investments in future innovations,» said Bill Sheedy, Visa’s group executive for the Americas.

Doug Johson, vice president of risk management policy the American Bankers Association (ABA), an industry trade group, agreed with Sheedy’s assessment.

«It demonstrates once again the folly and unintended consquences to mandate price controls within any environment,» Johnson told SCMagazineUS.com on Thursday.

That is not to say, though, that the ABA is opposed to EMV, said Johnson, adding that the association supports the development of security technology and is closely monitoring retail adoption of chip-enabled terminals.

«It’s not under our control to force,» said Johnson, who predicted that market forces may «leapfrog» EMV altogether and embrace some other technology, such as a cell phone payment system.

Johnson said that while banks would stand to save on some fraud-related reimbursements if EMV were to gain steam, illegal activity would still persist.

«All we’re doing is moving the fraud to somewhere where EMV is not in place, and we still take the loss,» he said.

Custodia digital: la protección de la integridad

Deja un comentario

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

Las tres redes españolas de tarjetas de crédito premiadas internacionalmente

Deja un comentario

Noticia del 6 de mayo de 2009.

Las redes de tarjetas españolas ServiRed, Sistema 4B y Euro 6000 recibieron el premio a la “Mejor Iniciativa sobre Riesgo/Seguridad” durante la reunión de miembros que Visa Europe organiza cada dos años y cuya edición más reciente se acaba de celebrar en Berlín

Las tres redes de tarjetas españolas han trabajado en estrecha colaboración para crear el SNCP (Sistema Nacional de Cifrado de Pistas), una innovadora solución técnica que permite a los comercios acometer a la vez el cumplimiento con la normativa PCI DSS y a la migración a chip EMV, con el consiguiente ahorro de costes.

La implantación de los requisitos de seguridad PCI-DSS en toda la infraestructura de pagos con tarjeta (que tiene el objetivo de asegurar la confidencialidad de los datos y de protegerlos de cualquier manipulación fraudulenta) puede suponer un doble desafío: no sólo a nivel de las tres redes de tarjetas (ServiRed, Sistema 4B y Euro 6000) y los tres centros procesadores (SERMEPA, REDY y CECA) sino también para aquellos comercios que son propietarios de sus sistemas de aceptación de tarjetas, que gestionan su propios terminales punto de venta.

La solución SNCP permite la encriptación de los datos desde su captura en el PIN-pad del punto de venta hasta que éstos son recibidos por el adquirente o procesador, con lo cual se asegura la encriptación “extremo a extremo” de todos los datos sensibles de la tarjeta, a excepción de los dígitos del BIN, que indican el número de identificación del banco. El adquirente o procesador es el que se encarga de descifrar los datos con claves criptográficas custodiadas exclusivamente por el propio adquirente o procesador, que son desconocidas para el comercio. La mayoría de los grandes establecimientos han completado el proceso de certificación y ya están empezando a desplegar la SNCP en sus puntos de venta.

Los ganadores de los premios de Visa Europe han sido anunciados en la reunión de miembros “Insights 09” organizada por Visa Europe en Berlín a finales de abril. Distintos participantes en la industria de los medios de pago de toda Europa presentaron más de 130 candidaturas a los citados premios.

Los Premios que concede Visa Europe en cada edición a las entidades financieras miembro de la asociación, se organizan en siete diferentes categorías. Bancos y cajas compiten tanto con proyectos desarrollados para el sector de los sistemas de pago, como con proyectos de patrocinio y responsabilidad social corporativa.

Stanley Skoglund, Vice Presidente Senior de Cumplimento de Normativas de Visa Europe, señala “Desde el principio confiamos en esta iniciativa y hemos apoyado a las tres redes españolas con el objetivo de certificar la solución SNCP. Visa Europe y las tres redes españolas ha considerado siempre como una prioridad este tipo de soluciones técnicas con el fin de garantizar la seguridad de las transacciones de tarjetas para los comercios, los consumidores y las entidades financieras.”

Declaración de Luis Furnells , Consejero Delegado, ServiRed

«Estamos muy satisfechos tanto con el reconocimiento de Visa Europa a nuestro trabajo y a nuestro valor añadido, como con el apoyo recibido de Visa durante todo el desarrollo del proyecto. Los tres sistemas de pago españoles, reconociendo los retos específicos del mercado español, unimos fuerzas para ayudar al sector del comercio y desarrollar una solución técnica de encriptación «extremo a extremo» que permite, al mismo tiempo y con ahorros significativos: i) reducir el riesgo de compromiso de datos de tarjeta, en el caso de ataques informáticos a los sistemas y a las bases de datos de los comercios y ii) migrar a EMV la infraestructura de aceptación de tarjetas que es propiedad de dichos comercios.»

Declaración de Alfonso de la Viuda – Director General, Sistema 4B

“Este premio es el resultado de una cooperación muy exitosa de los Group Members españoles de Visa y un afán por mejorar la seguridad en nuestra industria, en un compromiso compartido con nuestras entidades miembro y sus clientes comerciantes”

Declaración de Santiago Ballesteros, Director General, Euro 6000

«Estoy encantado con el reconocimiento de Visa Europe a nuestra SNCP. Espero que Visa promueva la utilización de SNCP como estándar mundial de «cifrado de extremo a extremo» que resuelva definitivamente los riesgos de fraude por compromiso de datos de tarjetas.»

Referencia en Inglés

ServiRed, Sistema 4B and Euro 6000, Spain SNCP (standardised solution to cipher track data) programme

Objective

The Spanish PCI DSS implementation programme (whereby sensitive account data is protected from potential compromise) faced a range of challenges: not only does the market comprise of three card networks (ServiRed, Sistema 4B and Euro 6000) and three processing centres, but the larger merchants (who own their own EPOS systems) are simultaneously connected to all three processors. The successful implementation of PCI DSS would therefore have to be a closely co-ordinated, multi-party endeavour which took full account of many different stakeholders – including merchants, processors, and the entire vendor community.

Outcome

The three card networks worked closely together to create the SNCP programme – an innovative technical solution which enables large merchants to simultaneously undertake both PCI DSS compliance and EMV chip migration, with significant cost savings. It represents an end-to-end encryption solution that can be implemented whenever a systems change needs to be undertaken. Once deployed it means that all account data other than the bank identification number (BIN) is fully encrypted across the entire transaction flow from the PIN-pad to the processor/acquirer, where it is decrypted with keys only known to the processor/acquirer. The majority of large merchants have completed the certification process and are starting to implement it across their outlets.

CIT 2009

Deja un comentario

bolacit2009El CIT (Congreso Internacional de Tarjetas) es la cita anual imprescindible del sector financiero de Medios de Pago y el de otros entornos civiles y militares en los que se utilizan tarjetas (transporte, fidelización, sanidad,…).

Se celebra en Madrid y este año, la edición doudécima,  tiene lugar el 10 y 11 de Marzo de 2009, en el mismo lugar que en las pasadas ediciones: el Palacio Municipal de Congresos Campo de las Naciones.

Hay un sitio web específico para este evento y un blog que permite una comunicación más informal con el sector de Smart Cards, Identificación y Medios de Pago.

El Congreso se describe en este folleto CIT 2009, y las sesiones libres de Expo CIT en el folleto Expo CIT 2009.

Servired y Sistema 4B podrían fusionar sus procesadores

3 respuestas

El desarrollo del SCF (SEPA Card Famework) impone que las empresas de gestión de medios de pago segreguen sus actividades de procesamiento de las relativas a la gestión de las marcas, a las que ahora se denomina actividades de «esquema» de medios de pago.

Por su estructura de varias empresas el entorno SEMP-Servired-SERMEPA lo tuvo fácil. La denominación SERMEPA quedó para la procesadora y Servired Sociedad Española de Medios de Pago, fue la denominación para el Esquema.

Sistema 4B tuvo que escindir su actividad procesadora, con la denominación «Redes y Procesos» .

Ahora las entidades procesadoras inician conversaciones para valorar su posible fusión, lo que podría redundar en sustanciosos ahorros de costes, y en lograr un volumen de operaciones que situaría a la nueva sociedad como líder europea. Lo cual implica su capacidad para absorber las actividades de procesamiento de esquemas de otros paises. En definitiva el posicionamiento como uno de los grandes campeones europeos en procesamiento de medios de pago.

Esta iniciativa es una consecuencia lógica de las presiones derivadas de SEPA y del posicionamiento de España como uno de los países líderes mundiales en gestión de medios de pago. Solo es cuestión de tiempo que las Cajas de Ahorro valoren la importancia de este movimiento y se sumen al carro. En este caso, con el valor añadido de su credibilidad para atraer a otras cajas de ahorro europeas.

Estamos en los albores de una nueva etapa en los que el procesador español (si al final consigue unificar todas las iniciativas) podría llegar a ser uno de los pocos líderes mundiales de esta actividad.

La noticia se ha publicado en el web de Sermepa, y de ella se ha hecho eco el diario El Pais

Servired y 4B fusionan sus sistemas de proceso de datos

Las dos redes suman el 85% del mercado de tarjetas

Í. BARRÓN – Madrid – 15/10/2008

Seguirán como marcas independientes, por el momento, pero estudian unir la parte más cara de su negocio: los sistemas de procesos, es decir, los ordenadores, que son más costosos que la plantilla. El objetivo es ganar tamaño y competitividad frente a la dura competencia europea, que amenaza con implantarse en España en los próximos años.

Las empresas procesadoras de medios de pago Sermepa (que emite tarjetas Servired) y Redes y Procesos (tarjetas 4B) han acordado «iniciar negociaciones» para la integración de sus actividades. Si este proceso concluye en una fusión, como parece probable, las entidades que forman parte de Servired serán las que dominen la nueva compañía, ya que esta sociedad tiene más del 60% del mercado. En Servired están el BBVA, La Caixa, Caja Madrid, Bancaja, Banco Sabadell, Bankinter, Caja España y Caja Laboral Popular, entre otros. Redes y Procesos, con el 25% del mercado, está formado por todas las entidades del grupo Santander, el grupo Banco Popular, Guipuzcoano, Pastor, Banco Gallego y Banca March.

Esta operación podría dejar arrinconado al sistema de las cajas de ahorros, Euro 6000, que sólo tiene el 15% del mercado. La marcha de las grandes cajas del sistema de la Confederación de Cajas de Ahorros (CECA) abrió una de las mayores crisis de esta institución. Con el paso del tiempo, se comprueba que las consecuencias de la marcha de La Caixa, Caja Madrid, Bancaja y Caixa Catalunya, entre otras, ha tenido consecuencias muy relevantes. Euro 6000 está buscando alianzas con operadores europeos, como First Data, así como posibles alianzas con cajas, para garantizar su supervivencia.

El objetivo de esta posible fusión, explican, es que ambas consideran que «juntas garantizarían el tamaño y la competitividad suficientes para ser uno de los líderes del sector en Europa».

De hecho, la Comisión Europea y el Banco Central Europeo (BCE) han alentado las fusiones en el sector de los medios de pago, preocupados por el excesivo número de pequeñas empresas procesadoras que hay en la Unión Europea (UE) y por su incapacidad de competir en tamaño con los grandes operadores. No hay que olvidar que en alguno de los principales países de Europa ya cuentan con un solo operador.

Y, por otro lado, con la integración se respondería a la necesidad de «mantener a España como referencia en la industria de los servicios bancarios europeos». También hace referencia a «situarse en la mejor posición competitiva posible para hacer frente a los retos y aprovechar las ventajas del nuevo marco definido por la implantación de la Zona Única de Medios de Pago (SEPA)», explica la nota.

La nota de prensa:

Sermepa y Redes y Procesos acuedan estudiar su fusión

Las empresas procesadoras de medios de pago Sermepa S.A. y Redes y Procesos S.A. estudian un proceso de fusión. Ambas compañías han acordado “el inicio y el desarrollo de contactos y, en su caso, negociaciones, para determinar la viabilidad, interés y condiciones de un proceso de integración de su actividad de procesamiento”.

Si el proceso concluye en una fusión, ésta se sometería, con las preceptivas autorizaciones previas de las autoridades competentes, a su aprobación por los respectivos órganos de gobierno.

El objetivo de este movimiento responde tanto a la necesidad de mantener a España como referencia en la industria de los servicios bancarios europeos, como a la de situarse en la mejor posición competitiva posible para hacer frente a los retos y aprovechar las ventajas del nuevo marco definido por la implantación de la Single Euro Payments Area (SEPA)

La Comisión Europea y el Banco Central Europeo han manifestado su preocupación por el excesivo número de pequeñas sociedades de proceso existentes en la Unión Europea, incapaces, por separado, de competir en tamaño con los grandes operadores y han alentado procesos de concentración en el sector de los medios de pago. Esta preocupación ha sido rápidamente contestada por algunos países europeos en los que se constatan antecedentes que han sido formalmente autorizados por las autoridades de competencia, entre ellos, la fusión de SIA/SSB en Italia o la que dio lugar a VocaLink en el Reino Unido.

En este entorno, las entidades bancarias accionistas de Sermepa y Redes y Procesos consideran que juntas garantizarían el tamaño y la competitividad suficientes para ser uno de los líderes del sector en Europa.

Su integración, eventualmente por la vía de fusión, en un sector en el que las economías de escala resultan fundamentales, responde a una lógica económica y a una recomendable estrategia para la industria. Las entidades aseguran que de su integración se derivaran beneficios, no sólo para las sociedades que se fusionen y sus socios, sino para la industria de los medios de pago en general, para sus usuarios y para el conjunto de los consumidores.

El presidente de Sermepa, José Manuel Gabeiras, ha manifestado tras el acuerdo que “gracias al nuevo entorno europeo podremos realizar una operación planteada y deseada históricamente por los distintos actores del sector”

En el mismo tono, el presidente de Redes y Procesos, Jesús Arellano, afirmaba que “con esta operación, nuestra posición competitiva pasará a ser mucho más significativa y fuerte en Europa”

Sermepa procesó durante el año 2007 un total de 1.950 millones de transacciones on-line y, como empresa de desarrollo tecnológico, proporciona soluciones para la industria de medios de pago de países como Andorra, Méjico, Perú, Brasil, Argentina, Venezuela y Estados Unidos.

Redes y Procesos, por su parte, procesó durante el año 2007 un total de 1.510 millones de transacciones on line, gestionando 12.680 cajeros automáticos y 458.000 terminales punto de venta.

HSM y UPT en PCI-DSS

Deja un comentario

Con estas nuevas siglas, PCI Security Standards Council refuerza la seguridad de la información para el pago con tarjetas agregando dispositivos de pago adicionales a las normas existentes

Además de los requisitos de seguridad para los dispositivos de introducción de PIN (PIN Entry Devices) ahora se añaden terminales de pago no atendidas (UPT, Unattended Payment Terminal) y módulos de seguridad (HSM, Hardware Security Devices

El PCI Security Standards Council, un organismo global de normas abiertas que gestiona las Normas de seguridad de la información de la industria de pagos con tarjeta (DSS, Data Security Standard) requisitos de seguridad para los dispositivos de entrada de PIN (PED, PIN Entry Devices), así como para la norma de seguridad de la información para las aplicaciones de pago (PA-DSS, Payment Application Data Security Standard), ha anunciado la inclusión de dos nuevos tipos de dispositivos en la industria de pagos para el programa PED. Los terminales de pago no atendidos (UPTs) y los módulos de seguridad del hardware (HSMs)  ahora pueden someterse a pruebas rigurosas y un programa de certificación para garantizar que cumplan con las normas de la industria para garantizar la confidencialidad de los datos sensibles en el pago con tarjeta durante cualquier punto de la transacción.

El Consejo también conservará una lista de UPTs y HSMs aprobados, aportará documentación y formación para los laboratorios que evalúen estos dispositivos y será una fuente única de información para los proveedores de dispositivos y sus clientes.

Los requisitos de seguridad PED están diseñados para garantizar la seguridad de las transacciones globales basadas en el número de identificación personal (PIN) y se aplican a dispositivos que aceptan la introducción de un PIN.

Hasta ahora, los requisitos se centraban en los dispositivos de los puntos de venta tradicionales que operan en un ambiente que es atendido por un comerciante, cajero o vendedor.

Los UPTs son dispositivos de pago no atendidos que incluyen máquinas de autoservicio expendedoras de tickets, kioscos, expendedoras de combustible y máquinas expendedoras automáticas.

Los fabricantes producen los PIN pads cifradores (EPPs, encrypting PIN pads) que se encuentran en los UPTs y los someten a evaluación por los laboratorios aprobados, y las marcas de las tarjetas de pago requieren el uso de EPPs aprobados por PCI SSC. Tener nuevos requisitos de prueba normalizados UPT facilitará la protección de los participantes en la industria de tarjetas de pago.

Los HSMs son dispositivos criptográficos seguros que se pueden usar para la traducción de PINs, personalización de tarjetas, comercio electrónico o para la protección de datos y no incluye ningún tipo de interfaz con el titular de la tarjeta. Agregar los UPTs y HSMs en los requisitos de prueba de seguridad PCI SSC hace posible que el Consejo brinde a los laboratorios de prueba un proceso de evaluación más eficiente para lograr la conformidad de estos dispositivos criptográficos.

“Los dispositivos de entrada de PIN exceden las típicas terminales POS con las que todos estamos familiarizados y que continuamente estamos expandiendo en más y más zonas”, afirmó Bob Russo, gerente general de PCI Security Standards Council. “Cualquier dispositivo que procesa números de identificación personal es un eslabón importante en la cadena de transacción. Al incluir tanto UPTs como HSMs en los Requisitos de Seguridad PED, el Consejo está reafirmando su compromiso para desarrollar normas adicionales que cumplan con las necesidades de la industria y que garanticen seguridad y protección continuas a los consumidores”.

Además de las marcas de tarjetas fundadoras, el Consejo consta de una variedad de organizaciones en la industria de pagos que tienen la oportunidad de contribuir con el desarrollo y mejora continua de las normas PCI. Se estimula a los fabricantes de UPTs y HSMs a que se unan al Consejo como Organización Participante. Aquellos que se unan tendrán la oportunidad de revisar y aportar su opinión sobre los requisitos y procesos preliminares para probar y certificar que los dispositivos UPT y HSM son seguros y protegidos. El Consejo emitirá un conjunto final de requisitos y documentación a fines de 2008.

El PCI Security Standards Council nació de la iniciativa de las marcas de las tarjetas de pago más importantes como American Express, Discover Financial Services, JCB, Mastercard Worldwide y Visa International para proporcionar un foro transparente en el que todos los interesados dispongan de información adecuada en relación con los continuos desarrollos, mejoras y la distribución de la norma de seguridad de la información (DSS), los requisitos de seguridad para el dispositivo de entrada de PIN (PED) y la norma de seguridad de la información para las aplicaciones de pago (PA-DSS). Los comerciantes, bancos, procesadores y proveedores de puntos de venta son constantemente invitados a unirse como Organizaciones Participantes