Archivo de la categoría: Confianza Digital

Digital por diseño


Va llegando el momento de abandonar el término “transformación digital” que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las “piezas de lego” que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos “en la nube”, los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el “soporte duradero” o la “simetría probatoria” (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con “nodos eIDAS” como el español que se instancia a través del sistema “Cl@ve“.

 

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding


El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente “Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding” orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de “Conoce a tu Cliente”, del que formo parte y del que se puede ver más información en este enlace:

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

  • Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

  • Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

El nodo español #EIDAS de gestión de identidades europeas explicado por Aleida Alcaide


El nodo EIDAS permite el reconocimiento de identidades electrónicas gestionadas en un país para que se puedan hacer efectivas en otro.

Por ejemplo, que un español pueda usar su DNI electrónico en trámites de otros países.

Y a la inversa, que un ciudadano alemán o italiano pueda usar su sistema nacional de identidad digital para trámites en las administraciones españolas.

He tratado estos temas en estos artículos:

En estos dos vídeos podemos disfrutar de una descripción sencilla de su utilidad gracias a Aleida Alcalde

¿Qué es el nodo eIDAS?, ¿qué AAPP tienen que adaptarse a este reglamento?

¿Cómo se conectan los organismos públicos al nodo eIDAS?, ¿habrá sanciones si no se conectan?

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.