Artículo de opinión de CA Resumen de directrices de la ABE y cómo puede ayudar CA Para: Emisores de tarjetas de pago De: El equipo de producto de pagos digitales de CA Technologies Asunto: Cumplimiento de las directrices de la ABE y de la Directiva sobre seguridad de pago de la UE para una autenticación segura Fecha: 3 de febrero de 2015 1 La Autoridad Bancaria Europea (ABE) ha publicado recientemente las Directrices definitivas sobre la seguridad de los pagos por Internet , en las que se destacan los estándares de seguridad mínimos de comercio por Internet que deberán implementar los emisores de tarjetas antes del 1 de agosto de 2015. Estas directrices se basan en la normativa establecida mediante la Directiva sobre seguridad de pago (DSP) de la UE e incorporará la próxima Directiva sobre servicios de pago (DSP 2) cuando se publique para garantizar el cumplimiento continuo de las normas relativas a la seguridad de los pagos por Internet en los 28 Estados miembros de la UE. Lo que supone, en definitiva, para los emisores de tarjetas es que deben implementar métodos de autenticación de Las 14 directrices específicas de la ABE se resumen según se indica alta seguridad y de varios factores con el fin de permitir el empleo de tarjetas en a continuación: Internet antes del 1 de agosto de 2015. 1. La importancia de la lucha contra las pérdidas por fraude queda enfatizada por el aumento de los fraudes de tarjetas no presenciales en un 21,2 % en 2012 con 2 respecto a 2011 . Para ayudar en la lucha contra el fraude de pago, los requisitos 3 principales de la ABE se centran en una autenticación segura de los usuarios y en el objetivo de aumentar la confianza de los consumidores en los servicios de pago por Internet. Las directrices de la ABE indican a los emisores las prácticas recomendadas. Si estos las siguen, podrán proteger los datos de los consumidores y garantizar que el pago lo inicie el usuario legítimo y no un timador. Las directrices 4, 5, 7, 8, 9, 10 y 13 suponen un análisis específico en cuanto a la implementación de una solución de autenticación de múltiples factores. Entre estas recomendaciones se incluyen las siguientes: Implementación de una solución de autenticación de titulares de tarjetas, como 3D Secure (3DS), para el uso de Internet Incorporación de múltiples capas de seguridad de “defensa en profundidad” Empleo de tecnología de detección y prevención de fraudes para identificar transacciones sospechosas Garantía de que se activa una solución de autenticación segura para casos de tarjetas no presenciales de riesgo elevado 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. Implementación y revisión periódica de una política de seguridad formal Realización y documentación de evaluaciones de riesgos exhaustivas Garantía de un control, una gestión y un seguimiento coherentes e integrados de los incidentes de seguridad Incorporación de múltiples capas de sistemas de seguridad Implantación de procesos que garanticen que se realice un seguimiento adecuado de todas las transacciones Identificación de clientes y confirmación de su intención de realizar pagos por Internet Protección de los pagos por Internet, así como acceso a los datos de pago confidenciales mediante una autenticación segura de clientes3 Garantía de que el registro y el aprovisionamiento de autenticaciones de clientes se llevan a cabo de forma segura Limitación del número de intentos de autenticación o inicio de sesión, así como de la duración de la sesión Empleo de herramientas de control de transacciones para evitar, detectar y bloquear pagos fraudulentos, así como análisis y evaluación específicos de las transacciones de alto riesgo antes de realizarlas Protección de datos de pago confidenciales durante su almacenamiento, procesamiento y transmisión Asistencia y asesoramiento a clientes, así como comunicación de la autenticidad de los mensajes recibidos Establecimiento de límites para el pago por Internet y ofrecimiento de opciones a los clientes para limitar aún más el riesgo, incluidos servicios de gestión de perfiles y alertas Confirmación del inicio del pago y ofrecimiento de información “a su debido tiempo” a los clientes para comprobar si el pago es legítimo En realidad, los emisores de tarjetas de crédito deben equilibrar la necesidad de ofrecer pagos seguros por Internet y proteger los datos de los titulares de las tarjetas con el mantenimiento de una experiencia sencilla para el titular de la tarjeta. CA Technologies ofrece soluciones de software completas que permiten a los emisores cumplir y superar algunas de las directrices de la ABE y estar preparados para las probablemente más estrictas regulaciones de DSP 2 y lograr así experiencias de pago por Internet seguras y sencillas para los consumidores. Para obtener información más detallada, consulte el apéndice A. Cómo los productos de seguridad de pago de CA Technologies cumplen los requisitos de la ABE Como proveedor líder de soluciones de seguridad de pago por Internet, CA Technologies es el partner ideal para los emisores que deseen cumplir sin problemas el plazo del 1 de agosto de 2015. Al implementar un servicio de seguridad de pago en la nube fácilmente personalizable de CA Technologies, los emisores pueden sentar unas sólidas bases de pagos con tarjetas no presenciales, crear una experiencia de usuario sencilla y cumplir los requisitos establecidos en las directrices de autenticación sólida de la ABE. CA Transaction Manager, nuestro servicio 3DS, se emplea en más de 13.500 carteras con más de 150 millones de titulares de tarjetas activos en todo el mundo.4 Cada día más emisores deciden optar por CA Transaction Manager porque permite ofrecer una experiencia de compra en línea dinámica y personalizada. Además, como nuestro equipo de productos de seguridad de pago ha estado involucrado en el Copyright © 2015 CA. Todos los derechos reservados. Todas las marcas y nombres, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. Artículo de opinión de CA Technologies desarrollo de la tecnología 3-D Secure (3DS) desde el establecimiento inicial del protocolo seguro, CA Technologies puede ofrecer una compatibilidad completa de 3DS con los programas de autenticación de titulares de tarjetas Verified by VISA®, MasterCard® SecureCode, JCB J/Secure™, American Express SafeKey® y Discover/Diners ProtectBuySM. CA Risk Analytics es un servicio de autenticación en la nube “sin intervención” que emplea reglas dinámicas y modelos predictivos estadísticos avanzados para evaluar el riesgo potencial de cada transacción y denegar, alertar, aceptar o solicitar una autenticación adicional de forma inmediata para cada transacción según corresponda. No se produce ninguna interrupción explícita para el titular de la tarjeta durante el proceso de comprobación a no ser que se active una verificación adicional en función de los resultados de la puntuación. CA Strong Authentication ofrece una autenticación sencilla, intuitiva y dinámica que se adhiere a la definición de la ABE en cuanto a autenticación segura de clientes. CA Strong Authentication se puede ofrecer in situ o como servicio en la nube, y envía al titular de la tarjeta una alerta para que confirme que se trata de una transacción válida. Al emplear una “notificación de dos vías” las transacciones identificadas como potencialmente fraudulentas se podrán validar de inmediato por parte de los titulares de las tarjetas mediante la finalización de la transacción, o bien identificarse como fraudulentas. Esta solución de autenticación versátil permite el empleo de múltiples modos de autenticación, incluida una credencial electrónica de dos factores, contraseña de un solo uso enviada por SMS o servicio de voz, aplicación de contraseñas de un solo uso mediante dispositivos móviles, notificación de dos vías y otras opciones con múltiples factores. ¿Qué supone esto para los clientes de seguridad de pago de CA Technologies? El aumento de la sofisticación de los piratas informáticos unido al deseo de ofrecer a los clientes una experiencia mejorada ya ha hecho que una gran cantidad de clientes de CA Technologies haya elegido nuestras soluciones. Confiamos en que los usuarios actuales de nuestras soluciones de comercio electrónico no tendrán que realizar grandes esfuerzos para cumplir con todos los aspectos de definición de autenticación segura de la ABE. Los clientes pueden mejorar rápidamente sus productos con nuestra colaboración, pero a continuación destacamos algunos de los aspectos básicos. Nos comprometemos a trabajar estrechamente con los clientes y partners de CA para ofrecer soluciones completas que aumenten la fidelidad de los clientes, mejoren los ingresos y garanticen el cumplimiento de los mayores estándares de seguridad que requieren las regulaciones actuales y futuras. Y ahora, ¿qué? No deje que el plazo de implementación del 1 de agosto 2015 le coja desprevenido, llámenos hoy mismo. Podemos asesorarle sobre qué productos de seguridad de pago de CA Technologies pueden adaptarse a sus necesidades y trabajar con usted para implementar las mejores opciones de autenticación segura mientras se prepara para la fecha límite de la normativa. Obtenga más información sobre los productos de seguridad en el pago de CA Technologies en www.ca.com/es/products/payment-security o envíe un mensaje de correo electrónico a [email protected] para ponerse en contacto con un experto en productos. Los clientes de CA Technologies pueden ponerse en contacto con el representante de cuenta para obtener una evaluación detallada sobre cómo nuestras soluciones de seguridad en el pago cumplen las directrices de la ABE en cuanto a seguridad en los pagos por Internet y las normas de la Directiva sobre seguridad de pago (DSP) de la UE. 1 Consulte http://www.eba.europa.eu/documents/10180/1004450/EBA_2015_ES+Guidelines+on+Internet+Payments.pdf/44d07cf8-1721-4407-94a6-3a8c256149fa Consulte http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf En lo referente a las directrices de la ABE, la autenticación segura de clientes se define como un procedimiento basado en el uso de dos o más de los elementos siguientes (categorizados como conocimiento, propiedad e inherencia): i) algo que solo sabe el usuario, como contraseña estática, código, número de identificación personal; ii) algo que solo posee el usuario, como token, tarjeta inteligente, teléfono móvil; y iii) algo inherente al usuario, como una característica biométrica (por ejemplo, una huella dactilar). Además, los elementos seleccionados deben ser independientes entre sí, es decir, que la vulneración de uno de ellos no ponga en riesgo los demás. Al menos uno de los elementos no debería poderse reutilizar ni duplicar (excepto el inherente), y ni tampoco sustraerse de forma inadvertida a través de Internet. El procedimiento de autenticación segura deberá diseñarse de tal manera que proteja la confidencialidad de los datos de autenticación. 4 Fuente: datos de CA Technologies correspondientes al 4.o trimestre de 2004. 2 3 Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella. 2 Artículo de opinión de CA Technologies Apéndice A: Directriz de la ABE 1 2 3 Implementación y revisión periódica de una política de seguridad formal Realización y documentación de evaluaciones de riesgos exhaustivas Garantía de un control, una gestión y un seguimiento coherentes e integrados de los incidentes de seguridad 4 Incorporación de múltiples capas de sistemas de seguridad 5 Implantación de procesos que garanticen que se realice un seguimiento adecuado de todas las transacciones 6 Identificación de clientes y confirmación de su intención de realizar pagos por Internet 7 8 9 10 Protección de los pagos por Internet, así como acceso a los datos de pago confidenciales mediante una autenticación 3 segura de clientes Garantía de que el registro y el aprovisionamiento de autenticaciones de clientes se llevan a cabo de forma segura Limitación del número de intentos de autenticación o inicio de sesión, así como de la duración de la sesión Empleo de herramientas de control de transacciones para evitar, detectar y bloquear pagos fraudulentos, así como análisis y evaluación específicos de las transacciones de alto riesgo antes de realizarlas 11 Protección de datos de pago confidenciales durante su almacenamiento, procesamiento y transmisión 12 Asistencia y asesoramiento a clientes, así como comunicación de la autenticidad de los mensajes recibidos 13 Establecimiento de límites para el pago por Internet y ofrecimiento de opciones a los clientes para limitar aún más el riesgo, incluidos servicios de gestión de perfiles y alertas 14 Confirmación del inicio del pago y ofrecimiento de información “a su debido tiempo” a los clientes para comprobar si el pago es legítimo Solución Aplicación de la solución de seguridad en el pago de CA Technologies Política de banca interna Gracias a CA Risk Analytics, los emisores pueden personalizar dinámicamente los ajustes de las políticas de fraudes y riesgos según las políticas de cada institución financiera. Los emisores pueden emplear los datos de autenticación de CA Risk Analytics para aumentar las evaluaciones de riesgos. Política de banca interna Política de banca interna Solución de SIEM CA Transaction Manager CA Risk Analytics y CA Strong Authentication La combinación de estos productos permitirá que cumpla los requisitos de autenticación segura y control de las transacciones para lograr una “defensa en profundidad” en las transacciones de pago por Internet. CA Transaction Manager CA Risk Analytics CA Transaction Manager incluye 3D Secure para poder autentificar cada transacción. CA Risk Analytics ofrece información de autenticación adicional y un seguimiento de control de cada transacción. Las funciones de gestión de casos ofrecen datos “verdaderos” sobre fraudes. Política de banca interna CA Transaction Manager CA Strong Authentication CA Privileged Identity Manager (PIM) CA Strong Authentication CA Strong Authentication CA Single Sign-on (SSO) CA Risk Analytics Política de banca interna Los productos de CA realizan esto con los datos que gestionamos Política de banca interna CA Transaction Manager CA Risk Analytics CA Strong Authentication CA Transaction Manager incluye 3D Secure para poder autentificar cada transacción. CA Strong Authentication ofrece numerosas opciones de autenticación de factores múltiples, como contraseñas de un solo uso mediante SMS, contraseñas de un solo uso mediante aplicaciones para dispositivos móviles, notificaciones de dos vías y contraseñas imposibles de infringir tanto para pagos en Internet como para acceder a datos de pago confidenciales. CA PIM ofrece controles completos de accesos de usuarios, gestión de contraseñas de cuentas compartidas, vinculación de autenticaciones y generación de informes sobre las actividades de los usuarios tanto en entornos físicos como virtuales para usuarios con privilegios. Ofrece un registro seguro, FYP y flujos de trabajo de desaprovisionamiento. Gracias a CA Strong Authentication, los emisores pueden seleccionar un límite para los intentos de autenticación. CA SSO puede incluir inicios de sesión desde múltiples canales. CA Risk Analytics ofrece un análisis en tiempo real de cada transacción, aplica avanzados modelos de autenticación 3D Secure y genera una puntuación que identifica tanto las transacciones legítimas como las de alto riesgo. Las reglas dinámicas le permiten aplicar políticas empresariales personalizadas. CA Technologies hace que los centros de datos de soluciones de comercio electrónico sean seguros, cumplan los requisitos de la industria de tarjetas de pago (PCI por sus siglas en inglés) y aprueben la auditoría SSAE 16 para que los datos transmitidos durante el proceso de autenticación mantengan protegida la información del titular de la tarjeta. CA Transaction Manager y CA Risk Analytics son compatibles con gestores de servicio de clientes (CSM por sus siglas en inglés) para determinar cuándo se produce una transacción potencialmente fraudulenta. En caso de que así sea, los CSM pueden transmitir dicha información al cliente. CA Risk Analytics puede analizar una transacción y determinar su nivel de riesgo. Puede enviar una alerta a los clientes, solicitar una autenticación más precisa o denegar la transacción en función de la política de la entidad bancaria. CA Strong Authentication puede enviar una contraseña de un solo uso mediante SMS, correo electrónico o servicio de voz, o bien iniciar una notificación de cliente de dos vías para que el cliente pueda responder de inmediato para continuar la transacción. Política de banca interna Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella. 3 Artículo de opinión de CA Technologies 1 Directrices definitivas sobre la seguridad de los pagos por Internet de la Autoridad Bancaria Europea Comunicado de prensa Londres (Reino Unido) Fecha de publicación 19/12/2014 | ABE/GL/2014/12 La Autoridad Bancaria Europea (ABE) ha publicado hoy sus directrices definitivas sobre la seguridad de los pagos por Internet, en las que establece los requisitos de seguridad mínimos que deberán implementar los proveedores de servicios de pago de la UE antes del 1 de agosto de 2015. La ABE ha mostrado preocupación por el aumento de los fraudes relacionados con los pagos por Internet, por lo que ha decidido que es necesaria la implementación de una estructura más segura para los pagos por Internet en la UE. Estas directrices se basan en el trabajo técnico llevado a cabo por el Foro Europeo sobre la Seguridad de los Pagos Minoristas (SecuRe Pay). Entre las diversas medidas propuestas para lograr pagos más eficaces y seguros en la UE, las directrices de la ABE requieren en particular que los proveedores de servicios de pago (PSP) lleven a cabo una autenticación segura de los clientes para verificar su identidad antes de proceder al pago en línea, que es una de las medidas clave para evitar el fraude en Internet, ya sea en el caso de servicios bancarios o pagos mediante tarjetas por Internet. Estas directrices, que se basan en el trabajo técnico llevado a cabo por SecuRe Pay (un foro de cooperación voluntaria que reúne a los bancos centrales y a los supervisores de los proveedores de servicios de pago), serán aplicables a todos los PSP de la UE de manera coherente a partir de agosto de 2015. La ABE ha decidido publicar estas directrices debido a que ha detectado un creciente número de fraudes en los pagos por Internet. Las cifras paneuropeas más recientes muestran que solo el fraude en pagos por Internet mediante tarjetas ocasionó unas pérdidas de 794 millones de euros en 2012 (un aumento del 21,2 % con respecto al año anterior). Había que ofrecer una respuesta en forma de normativa de manera rápida y coherente mientras se esperan los resultados de la revisión de la directiva de servicios de pago, cuyo objetivo es crear unas normas de pago en la UE que resulten más seguras, competitivas y sencillas. Geoffroy Goffinet, de la unidad de protección del consumidor de la ABE, explicó que: “las directrices de la ABE sobre pagos por Internet ofrecen una base legal para alcanzar un nivel similar en todos los PSP de la UE. A través de este trabajo, la ABE pretende fomentar el desarrollo del comercio electrónico en la UE al tiempo que garantiza a los consumidores una protección adecuada”. Los PSP también tendrán que ofrecer asistencia y asesoramiento a los clientes en relación con el empleo seguro de los servicios de pago por Internet. En especial, tendrán que activar programas de concienciación de los clientes para asegurarse de que los usuarios comprenden los riesgos y las prácticas recomendadas en cuanto a los pagos por Internet. En relación con la protección de los datos de los consumidores, las directrices prevén que los PSP que ofrezcan servicios de pago mediante tarjeta a comerciantes electrónicos les recomendarán que no almacenen información de pago confidencial o les solicitarán que adopten las medidas necesarias para proteger dicha información. Los PSP también tendrán que llevar a cabo comprobaciones periódicas y, en caso de que descubran que un comerciante electrónico que gestiona información de pago confidencial no dispone de las medidas de seguridad necesarias, deberán emprender las acciones necesarias para hacerlo cumplir como obligación contractual o rescindir el contrato. Se espera que todas las autoridades competentes de la UE apliquen estas directrices mediante su incorporación en las prácticas de supervisión y la modificación del marco legal o los procesos de supervisión según proceda. Nota para los editores Estas directrices ofrecerán una base legal sólida para la seguridad de los pagos por Internet de todos los Estados miembros de la UE durante unos años, mientras se termina de redactar la revisión de la Directiva sobre servicios de pago (conocida como DSP 2). En octubre de 2014 se realizó una consulta sobre la implementación de estas directrices. Este trabajo de la ABE es el resultado de una colaboración con el Banco Central Europeo (BCE) para aumentar la seguridad de los pagos minoristas y se desarrolló según las recomendaciones realizadas en enero de 2013 por el Foro Europeo sobre la Seguridad de los Pagos Minoristas (SecuRe Pay). SecuRe Pay se creó en 2011 como una cooperación voluntaria entre supervisores de proveedores de servicios de pago (PSP) y controladores de sistemas de pago e instrumentos/esquemas de pago de la UE/zona económica europea con el objetivo de facilitar la transmisión de información y la comprensión de la seguridad de los instrumentos y los servicios de pago electrónico. Contactos de prensa: Sra. Franca Rosa Congiu Correo electrónico: [email protected] - Tel.: +44 (0) 207 382 1772 Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella. 4