Archivo de la categoría: Medios de Pago

Normativa relativa a la gestión de entidades de pago y entidades de dinero electrónico

El dia 4 de diciembre de 2020 se ha publicado en el BOE la Circular 5/2020, de 25 de noviembre, del Banco de España, a entidades de pago y a entidades de dinero electrónico, sobre normas de información financiera pública y reservada, y modelos de estados financieros, y que modifica la Circular 6/2001, de 29 de octubre, sobre titulares de establecimientos de cambio de moneda, y la Circular 4/2017, de 27 de noviembre, a entidades de crédito, sobre normas de información financiera pública y reservada, y modelos de estados financieros.

Entre otras, esta circular se relaciona con las siguientes normas:

Orden ECE/1263/2019, de 26 de diciembre, sobre transparencia de las condiciones y requisitos de información aplicables a los servicios de pago y por la que se modifica la Orden ECO/734/2004, de 11 de marzo, sobre los departamentos y servicios de atención al cliente y el defensor del cliente de las entidades financieras, y la Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios.
Real Decreto 736/2019, de 20 de diciembre, de régimen jurídico de los servicios de pago y de las entidades de pago y por el que se modifican el Real Decreto 778/2012, de 4 de mayo, de régimen jurídico de las entidades de dinero electrónico, y el Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública.
Real Decreto 309/2020, de 11 de febrero, sobre el régimen jurídico de los establecimientos financieros de crédito y por el que se modifica el Reglamento del Registro Mercantil, aprobado por el Real Decreto 1784/1996, de 19 de julio, y el Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito

Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (Texto pertinente a efectos del EEE)

TPP, AISP, PISP, ASPSP – Términos de PSD2 y eIdAS

Deja un comentario

La entrada en vigor de la Segunda Directiva de Pagos (PSD2) recogida en la legislación española en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, permite el desarrollo de nuevos servicios financieros en Europa e impulsa un nuevo marco de competencia.

Aparecen nuevos términos, que conviene conocer en inglés y en español para entender mejor el nuevo contexto competitivo marcado por el «Open Banking».

Término	Descripción
AIS	Account Information Services. Servicios de Información de Cuentas. Servicios accesibles mediante API (Application Program Interface) para los TPP (Third Party Provider) Prestadores Financieros en los que obtener información de los usuarios de servicios de pago.
AISP	Account Information Service Provider. Proveedor de servicios de información sobre cuenta. Prestador Financiero que obtiene información de varias entidades en nombre de un usuario de servicios de pago y se las presenta de forma consolidada.
API	Application Programming Interface. Interfaz de Programación de Aplicación. Una API proporciona a una entidad una forma sistemática de obtener información o iniciar acciones en otra entidad. Mediante parámetros y opciones pueden programarse diferentes servicios a terceros.
ASPSP	Account Servicing Payment Service Provider. Proveedor de servicios de pago gestor de cuenta. Una entidad financiera en la que un usuario de servicios de pago tiene cuentas a cuya información un Prestador Financiero puede acceder en su nombre o en la puede iniciar una transferencia.
Autenticacion	El proceso de confirmar la identidad de un Prestador Financiero o de un usuario de servicios de pago. Existen pautas como SCA – Strong Customer Authentication (Autenticación Reforzada de Cliente) o mecanismos como los certificados eIdAS para garantizar la correcta identificación.
Autorización	El proceso de confirmar la funcionalidad permitida según las credenciales de un Prestador Financiero o de un usuario de servicios de pago. Inicialmente la funcionalidad se limita a acceder a información de cuentas o iniciar transferencias, según el tipo de prestador (AISP o PISP).
Consentimiento	El acuerdo por el que el usuario de servicios de pago otorga al Prestador la posibilidad de acceder a su información bancaria o iniciar transferencias.
eIdAS	Reglamento UE 910/2014 que regula, entre otros aspectos los requisitos de expedición de certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores. Los certificados los expiden QTSPs – Qualified Trust Service providers, Prestadores cualificados de servicios electrónicos de confianza
NCA	National Competent Authority. Autoridad Nacional Competente. Organismo regulador o supervisor de entidades financieras que autoriza a un Prestador Financiero a operar en el nuevo marco de servicios financieros PSD2 cuando cumpla ciertos requisitos. En España, es el Banco de España.
PIS	Payment Initiation Services. Servicios de iniciación del pagos. Servicios de transferencia bancaria gestionados por un Prestador Financiero en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta.
PIIS	Payment Issuer Instrument Service. Servicio asociado a medio de pago para solicitar por API la autorización de pago con tarjeta indicando el importe (comprueba la validez de la tarjeta y la disponibilidad del importe).
PISP	Payment Initiation Service Provider. Proveedor de servicios de iniciación de pago. Prestador Financiero de servicios de transferencia bancaria gestionados en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta. Puede requerirse por parte del ASPSP la confirmación del usuario.
PSU	Payment Service User. Usuario de servicios de pago.
QTSP	Qualified Trust Service Provider. Prestadores cualificados de servicios electrónicos de confianza. Expiden certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores Financieros. Los certificados permiten identificar a los Prestadores Financieros cuando usan las APIs de otras entidades en entornos de Producción.
SCA	Strong Customer Authentication. Autenticación Reforzada de Cliente. Proceso de confirmar la identidad del usuario. Normalmente se usan dos o más factores de autenticación: «Algo que sabes» «Algo que tienes» «Algo que te caracteriza»
Sandbox	Experimentos con gaseosa. Zona de pruebas. El término en inglés Sandbox se refiere a una zona de juegos para niños en la que no estropean nada ni se hacen daño. Se amplía a usos profesionales en los que se prueban desarrollos con funcionalidades similares a las del entorno real antes del paso a producción.
TPP	Third Party Provider. Prestador Financiero. AISP o PISP. Actúa en nombre de un usuario de servicios de pago accediendo a su información bancaria en otra entidad o iniciando una transferencia. Requiere una licencia por parte de una NCA y puede operar en otros países en virtud del concepto de «pasaporte» haciendo uso de certificados eIdAS.

Prestador-Financiero

Resuelto uno de los frenos a los certificados cualificados de PSD2

1 respuesta

EIDAS-CAB-forum El CAB Forum ha aprobado una modificación del documento «Extended Validation Guidelines» para permitir incluir guiones en el campo organizationIdentifier (OID 2.5.4.97) de los certificados EV (Extended Validation), con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC compatibles con EV para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

Emisores: Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

El Reglamento de la Unión Europea Nº 910/2014 (eIDAS) define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado «Cualificado». Este reglamento especifica en el Anexo IV los requisitos específicos para «Certificados cualificados para la autenticación de sitios web», incluida la declaración de que el certificado contendrá: «para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar «números de registro» en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma X.520 dentro del nombre distinguido del sujeto el propósito de servir como «identificación de una organización diferente del nombre de la organización». Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como «otra información desambiguadora».
Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS «será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]».
ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Cualificado estén en línea con las pautas de Extended Validation de CA / B Forum.
Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, VAT, PSD) que brindan una seguridad razonable de acuerdo con las «EV Guidelines«. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum. Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
Al tomar conciencia de que la interpretación del CA / B Forum de los «Requisitos de EV» en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
Los procedimientos para la validación del atributo deben estar claramente establecidos.
Puede haber otros usos del campo organizationIdentifier en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier por diferentes emisores y usuarios. Hay muchas «PKI» diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay «conflicto» al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
Este uso de organizationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
Algunos miembros del CA / B Forum tienen interés en incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido explícitam como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo «nombre del sujeto». Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como «SINGLE VALUE».

Los cambios aprobados, que se reflejarán el documento «EV Guidelines» son:

Agregar a la sección 4 las siguientes definiciones:
“Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. «
Cambiar el título de la Sección 9.2 para indicar»Campos de Nombre Distinguido del Sujeto» (Subject Distinguished Name Fields).
Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
Insertar una nueva sección 9.2.8:
“9.2.8. Campo identificador de organización del sujeto
** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
** Requerido / Opcional **: Opcional
** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
* Identificador de esquema de registro de 3 caracteres;
* Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
* Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
* un guión (signo menos) «-» (0x2D (ASCII), U + 002D (UTF-8));
* Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia. Ejemplos:
* NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
* NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
* VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
* PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas («Guidelines»).

La CA DEBE:
1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. «
Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
“9.8. Extensiones de Certificado
Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como «Requerido». Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como «Requerido» en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
** Campo del certificado: ** _subjectAltName: dNSName_
** Requerido / Opcional: ** Requerido
** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
** Requerido / Opcional **: Opcional (pero ver más abajo)
** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:
```
id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
{ joint-iso-itu-t(2) international-organizations(23) 
ca-browser-forum(140) certificate-extensions(3) 
cabf-organization-identifier(1) }

ext-CABFOrganizationIdentifier EXTENSION ::= 
{ SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
id-CABFOrganizationIdentifier }

CABFOrganizationIdentifier ::= SEQUENCE {

registrationSchemeIdentifier   PrintableString (SIZE(3)),

registrationCountry            PrintableString (SIZE(2)),

registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),

registrationReference          UTF8String

}
```
donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 «.
Añadir nuevo Apéndice H – Esquemas de registro
“Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización «.

Magnetic Secure Transmission (MST)

2 respuestas

La Transmisión Magnética Segura (en inglés Magnetic Secure Transmission, MST) es una tecnología adoptada en ciertos teléfonos móviles como algunos SAMSUNG que emite una señal magnética que imita la que generaría una banda magnética de una tarjeta de pago tradicional al deslizarse sobre el cabezal lector del TPV.

Cuando se usan medios de pago configurados en teléfonos móviles con tecnología MST, el teléfono envía una señal magnética al lector de tarjetas del terminal de pago lo que simula el deslizamiento de la banda magnética de una tarjeta en el cabezal de lectura.

De esta forma se pueden usar Terminales Punto de Venta (en inglés, Point Of Sale, POS) antiguos y modernos (ya que todos los TPV soportan la tecnología de banda magnética aunque puedan dar soporte a otras, como las tarjetas chip o NFC) y no hace falta actualizar el hardware o el software del terminal con tecnologías específicas.

La tecnología MST es válida para casi todos los terminales de pago del munco equipados con lector de tarjetas, si bien algunos terminales de pago pueden requerir actualizaciones de software, para dar soporte a la funcionalidad más avanzada de la tecnología.

Para usarlo, hay que seleccionar la tarjeta a emular en la aplicación de pagos del teléfono móvil y acercar el móvil a unos 2 centímetros del punto en el que el TPV equipa el cabezal de lectura (hacia la mitad del recorrido de la ranura por la que se desliza habitualmente la tarjeta de crédito).

La información de la transacción y los datos de identificación del pago se mantienen en secreto, securizados con el uso de tokenización.

El uso de la tecnología MST es más seguro que el de una tarjeta de pago tradicional y de un nivel de seguridad equivalente a la de una operación de pago con tecnología de comunicaciones de campo cercano (en inglés, Near Field Communication, NFC).

Hablando de pagos móviles en ElevenPaths Talks

Deja un comentario

11paths-julianinza Quiero agradecer a Jorge Rivera y Pablo San Emeterio su invitación a participar en esta charla de ElevenPaths Talks sobre medios de pago móviles «PinPay y seguridad en micro pagos»

¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Aprende con nuestros expertos!

Recordando viejos tiempos en Mobipay, hablando de perfeccionamiento de contratos, identificación, EIDAS, Confianza Digital, PSD2.

Reflexionando sobre nuevos medios de pago basados en móvil, NFC, tarjetas, TPV,
protocolo MST de Samsung Pay para simular banda magnética con móviles concretos que soporten la tecnología. Consenso, Bizum,

Este es el video:

Hoy hablaré de PSD2 en el 1er encuentro de Compliance de RSI

Deja un comentario

Rural de Servicios Informáticos me ha invitado a dar una charla sobre PSD2 (Segunda Directiva de Pagos) en su primer encuentro de compliance en el que se van a dar unas charlas y debates muy interesantes.

11.30 – 12.00 // Entrega de acreditaciones y café
12.00 – 12.15 // BIENVENIDA > RSI
12.15 – 12.35 // Visión global de conformidad y compliance en el negocio > RSI
12.35 – 12.55 // Metodología de conformidad y compliance > AUREN
12.55 – 13.15 // Supervisión de proveedores y cadena de suministro > LEET SECURITY
13.15 – 13.35 // Gobierno del Dato >IBM
13.35 – 13.55 // Nuevo reglamento europeo GDPR > Syntagma
13.55- 14.15 // Cloud y Outsourcing > Banco de España
14.15 – 14.55 // Mesa de Debate: GDPR y Gobierno del Dato > BDE, IBM, CCI, RSI, UNACC – Modera RSI
14.55 – 16.00 // Ágape y Networking.
16.00 – 16.40 // Mesa de Debate: Transparencia y Compliance > ( DRS, EADTRUST, AENOR, AECR, CONTINUAM – Modera RSI)
16.40- 17.00 // PSD2 > EADTRUST
17.00 – 17.20 // PCI DSS V3.2 > S21SEC
17.20 – 17.40 // Directiva NIS > RSI
17.40 – 18.00 // Prevención Riesgos Penales > Despacho Rodrigo Salmerón.
18.00 – 18.20 // Herramienta de Gestión > AUDISEC
18.20- 18.30 // CIERRE > RSI

DÓNDE? En DOCALIA. P.E VALDELACASA. Avda. Peñalara, 35. Alcobendas

Los ponentes:

ALFONSO PASTOR

Leet Security

Socio Director Sales & Mktng.

Más de 25 años de trayectoria profesional en servicios y tecnologías de la información, en sistemas financieros y telecomunicaciones. Ingeniero Aeronáutico por la Universidad Politécnica de Madrid.

Con dilatada experiencia en la dirección comercial y de unidades de negocio, en compañías multinacionales de servicios de telecomunicaciones, BT y KPN. Cuenta con notables casos de éxito en la concepción, lanzamiento y desarrollo comercial de nuevos servicios siguiendo la evolución tecnológica y regulatoria, para dar cobertura a las nuevas necesidades y propiciando el crecimiento del mercado.

ALEXIS ALONSO

S21SEC

Actualmente Alexis Alonso es Responsable de Medios de Pago de S21SEC, anteriormente ha trabajado en Iberdrola como miembro del equipo de cumplimiento de LOPD, posteriormente formó parte de KPMG como White Hat Hacker.

Entró en S21SEC como parte del equipo de consultoría y compliance para emprender la aventura de ser Responsable de Seguridad y Compliance de varias plataformas de pago. Cuenta, por lo tanto, con más de 10 años de experiencia en el ámbito de la seguridad y en particular 8 años enfocado a los ámbitos de entornos financieros y medios de pago.

PABLO GARCÍA MEXÍA, J.D., PH.D.

Syntagma

Co-fundador del centro de estudios Syntagma.org. Of Counsel en la firma internacional de abogados Ashurst LLP. Letrado de las Cortes Generales. Doctor en Derecho (apto cum laude, Universidad Complutense de Madrid).

Ha actuado como Árbitro del Banco Mundial (CIADI). Y como Profesor visitante del College of William & Mary (Virginia, EE.UU.). Director de la Revista de Privacidad y Derecho Digital.

Miembro del grupo de líderes en innovación en habla hispana «Los 100 de COTEC». Miembro de las Directivas de Internet Society-Capítulo español y del Foro de la Sociedad Civil. Ha trabajado como consultor internacional para Naciones Unidas y Unión Europea. Ha sido Director de Recursos Humanos y Seguridad del Senado, Secretario General de la Asamblea de Madrid y Director de Relaciones Internacionales del Congreso de los Diputados. Amplió estudios en la Harvard Law School, la IE Business School, la University of Kent at Canterbury y la Universidad CEU-San Pablo. Es autor de ocho libros (en español o inglés) y director de otros cuatro sobre diversos temas legales y referidos a Internet, así como de más de 40 artículos en revistas y otras obras especializadas. Asiduo conferenciante en múltiples foros internacionales y españoles; articulista en diversos medios de comunicación de amplia difusión. Está en posesión de la Cruz de oficial de la Orden de Isabel la Católica.

www.pablogmexia.net

PEDRO PABLO LÓPEZ

RSI

Es Gerente GRC & PIC (Gobierno, Riesgos, Compliance & Protección, Infraestructuras y Continuidad Global) de Rural Servicios Informáticos. Su trayectoria se resumen en más de 30 años trabajando en los Servicios Informáticos: ENTEL, CITIBANK, BANCO SANTANDER Y RSI.

Miembro fundador de Instituto Continuidad Negocio Español (CONTINUAM) y del Observatorio de Seguridad Integral, Gestión de Emergencias y Continuidad Operativa (SIGECO), actual Presidente de ambas asociaciones desde 2015. Participa en Comisión de Regulación AUTELSI, Comisión CON (Riesgos) ISACA, Comisión Seguridad y Fraude y Comisión de Continuidad de CCI, Comisión Seguridad AEB, Comisión Seguridad CEIM, Grupo CISO UNICO BANK, miembro de CECON, y otras Comisiones y Grupos de Trabajo de Normalización AENOR y Comité de Seguridad y Continuidad de REDSYS.

DANIEL MARTINEZ BATANERO

RSI

Actualmente Chieff Data Officer y Director de Smart Data en RSI. Anteriormente Director General de Telecomunicaciones y Nuevas Tecnologías y CIO del gobierno de CLM, Director Internacional de Planificación Estratégica, Control Presupuestario y Oficina de Proyectos de IT de AXA para la región de Sur de Europa, Mediterráneo y Latinoamérica, Director de Corebanking y Secretario Gral. del Consejo de RSI.

Previamente Director de Planificación y Control. Licenciado en Matemáticas con un MBA Internacional por la Universidad Autónoma de Madrid y un Postgrado ?Strategic Business Partnering? por la Universidad Bell Labs de AT&T en Hilversum (Holanda). TEDx Speaker ?Innovación y Tecnología? 2013. Participante, junto con 50 CIO?s mundiales (cinco de ellos españoles), en el libro blanco ?Las TIC en 2026?, una aproximación visionaria del futuro de la mano de las tecnologías.

JULIÁN INZA

EADTrust

Actualmente soy Presidente de EADTrust, European Agency of Digital Trust, Prestador de Servicios de Confianza Digital registrado en el censo administrado por el MInisterio de Energía, Turismo y Agenda Digital. Colaboro con diferentes instituciones como experto en administración electrónica y diplomática digital. Soy también auditor certificado CISA.

Me considero pionero de la certificación digital: Impulsé la primera autoridad de certificación de España, en Banesto en 1995, y posteriormente he sido Director General de Camerfirma, Director Gerente de FESTE (Fundación para el Estudio de la Seguridad de las Telecomunicaciones) y Presidente de AECODI (Asociación del Sector de la Certificación Digital).

En banca he desempeñado responsabilidades como Senior Vicepresident de Mobipay International (CIO, CISO, responsable de Sistemas de Información, Innovación, Tecnología y Seguridad), Director de Estrategia Tecnológica en Banesto (hoy integrado en Santander) y Director de Redes Distribuidas en Banesto EFT.

JOSÉ DE RAFAEL GAVALDA

TCI / Business Ethics & Compliance

Actualmente es socio de TCI (Transparencia Corporativa Internacional) y owner de Business Ethics and Compliance. Sus últimos 5 años los ha dedicado al estudio e investigación de los asuntos relacionados con Transparencia, Compliance y Corrupción desde una perspectiva de los valores éticos de las personas. Ha colaborado con expertos de varias universidades en trabajos relacionados con la ética y la moral. Es presidente de RIGHT PERSON FOUNDATION.

En 1989 entro a formar parte de la consultora Anderse Consulting hoy conocida como Accenture. Desarrollo proyectos con financiación multilateral (Banco Mundial y Banco Interamericano de Desarrollo) basados en la modernización de varias administraciones públicas en Latinoamérica. Tuvo que enfrentarse a episodios de corrupción que le acreditan un buen conocimiento de lo que son las malas prácticas así como sus consecuencias.

Desde el año 2000 al 2011 fue Director General de la AEC (Asociación Española de Empresas de Consultoría) en donde tuvo la oportunidad de vivir muy cerca, la difícil gestión de más de 90.000 consultores. Desarrollo una intensa actividad en beneficio de todas las empresas de consultoria. Es economista, posee un máster en gestión gerencial y es Diplomado por el Centro Superior de Estudios de la Defensa Nacional- 1999. Curso Monográfico ?La Defensa Común Europea?.

CRISTINA FREIJANES

UNACC

Licenciada en Derecho (especialidad económica) por la Universidad de Deusto. Su trayectoria en la Unacc comienza en 2007, donde ha ejercido como asesora jurídica y defensora del cliente y del partícipe, hasta su nombramiento en 2015 como Secretaria General, cargo que desempeña en la actualidad.

Previamente, entre 2003 y 2007, trabajó en la asesoría jurídica de RGA. En conjunto, más de 10 años en el sector de las cooperativas de crédito. Desde 2015, es además miembro del Comité Consultivo de la CNMV.

MANUEL CARPIO

Continuam

Actualmente es consultor independiente sobre Ciberseguridad, Privacidad y Continuidad de Negocio. Este año ha fundado, junto con otros profesionales del sector de la seguridad, la compañía INTELSYNET.

Anteriormente ocupó el puesto de Director Corporativo de Seguridad de la Información y Prevención del Fraude. Secretario del Comité de Seguridad de Telefónica. Es auditor certificado de sistemas de información (ISACA) y Co-fundador del GTS (Grupo de Trabajo en Seguridad, que agrupa a las 15 principales empresas del IBEX35) y de CECONTEL (Consorcio Español para la continuidad de negocio en las Telecomunicaciones).

JOSE MIGUEL DEL RÍO

Banco de España

Auditor informático de la Dirección General de Supervisión del Banco de España, al que se incorporó hace 25 años, tras trabajar anteriormente otros 15 en otra entidad financiera española de primer nivel. Desde hace tres es el responsable del Grupo 3 del Departamento de Inspección IV en dicha Dirección General.

Es auditor CISA y participa en distintos grupos de trabajo en el MUS (Mecanismo Único de Supervisión) y en el grupo interno de Fintech del Banco de España.

JOSÉ MANUEL BARRIOS FERNÁNDEZ

Auren

Gerente de Auren en el Área de Consultoría – División de Seguridad de la Información Es Ingeniero en Informática en la Universidad Politécnica de Valencia y posee las certificaciones CISA, ISO 27001 Lead Auditor, ISO 20000 Lead Auditor, entre otras y es Perito Judicial en Sistemas de Información. Es formador en varios Colegios Profesionales (COIICV, COIT).

Cuenta con más de 14 años de experiencia en el campo de los Sistemas de Información y Comunicaciones, específicamente en Auditorias Informáticas y asesoramiento en seguridad de la información. Experto en Control Interno TIC, Seguridad de Firma Electrónica y entornos PKI, Ciberseguridad Auditorías informáticas, Auditoría de procesos, Data Analytics, Protección de Datos y Continuidad de Negocio.

ANTONIO QUEVEDO

Audisec

Antonio Quevedo es el CEO y fundador de Audisec, Seguridad de la Información S.L. empresa con más de 10 años de trayectoria en el mundo de la consultoría y desarrolladora de GlobalSUITE. Tiene 43 años, está casado y es padre de tres hijos. Es Licenciado en Derecho por la Universidad de Castilla La Mancha con una mención especial como mejor expediente académico reconocido con un premio especial, Máster en Derecho de las Telecomunicación y Tecnologías de la Información por la Universidad Carlos III de Madrid, PPD por la Escuela de Negocios IESE de Madrid y posee múltiples reconocimientos y titulaciones adicionales como CISA, Lead Auditor, CDPP, etc.

Asimismo, imparte formación, escribe en numerosas revistas y ha publicado artículos siempre con un denominador común, su pasión por la tecnología y la organización empresarial. Estas dos facetas son quizás las que le llevaron a crear Audisec y el software GlobalSUITE, ayudar a las empresas a que sus procesos de mejora organizacional se lleven a cabo de manera rigurosa, eficiente y mantenible. Esta faceta profesional se compagina con la familiar donde su mujer y sus tres hijos, además del Padel,su deporte favorito, hacen de contrapeso.»

ALBERTO SAINZ DE LOS TERREROS HERNÁEZ

AECR

DIRECTOR DE ASESORÍA JURÍDICA Asesoramiento legal general en todo tipo de cuestiones (principalmente de Derecho mercantil y bancario) para temas relacionados con el Grupo Caja Rural y todas las cajas asociadas. Coordinación de los aspectos legales de todo tipo de proyectos relativos a las cajas asociadas. Asesoramiento legal general a la Asociación y los miembros de su Junta Directiva. Vicesecretario de la Junta Directiva de la Asociación. Representante de la patronal del sector (UNACC) en determinados grupos de trabajo de la European Association of Cooperative Banks.

JULIA URÍO

IBM

Existe un nuevo entorno de análisis basado en nuevas fuentes de datos, capacidades de cloud y cognitivas y capacidades de autoservicio para usuarios de empresa. No olvidar que la calidad de los datos y la gobernanza de la información es el factor clave de éxito para garantizar las metas de negocio y el cumplimiento de los requisitos legales como GDPR, Basile

Diebold Nixdorf se estrena en la Bolsa de Nueva York

1 respuesta

Ayer 17 de enero de 2017 fue el día en que la empresa Diebold Nixdorf empezó a cotizar como tal en la Bolsa de Nueva York, tras el proceso de fusión de las dos entidades de procedencia Diebold y Wincor Nixdorf.

diebold-nixdorf-nyse

Me produce cierta satisfacción ver que se preserva la referencia a Nixdorf, empresa en la que trabajé hasta su fusión con la división de informática de Siemens (también trabajé en la empresa fusionada).

Yo fuí el último empleado que contrató Nixdorf España antes de la fusión, con un gran reto por delante: el despliegue de la infraestructura de Ofimática y Comunicaciones del nuevo edificio de Tres Cantos, en construcción en aquel momento. Agradezco a Francisco Antón el haber confiado en mi para aquel reto.

Preservar esta referencia es preservar una marca que se identificaba con la calidad y el buen servicio, algo en lo que los empleados de Nixdorf estábamos muy motivados, y siempre nos recordaba Francisco Robert.

Y es preservar el recuerdo de Heinz Nixdorf, que fundó Nixdorf Computer AG en 1952. Una de las empresas señeras de informática europeas.

Tras aquella fusión, Siemens Nixdorf Retail and Banking Systems GmbH fue adquirida el 1 de octubre de 1999 por Kohlberg Kravis Roberts y Goldman Sachs Capital Partners y pasó a denominarse Wincor Nixdorf, y salió a Bolsa en 2004.

Ya he publicado un par de referencias al proceso de fusión entre Diebold y Wincor Nixdorf:

Comisiones bancarias en los cajeros automáticos

Deja un comentario

Desde el 1 de enero de 2016 las comisiones que cobran las entidades financieras en los cajeros automáticos ha cambiado y ya no dependen de la red a la que pertenece la entidad que emite la tarjeta o a la que se asocia la entidad que instala el cajero.

De hecho, este argumento es esencial para demostrar la competencia entre entidades de cara a la CNMC en la iniciativa de fusión de redes y de esquemas de medios de pago recientemente aprobada por los consejos de Euro 6000, Sistema 4B y Servired, que defiende que la fusión reducirá los costes a las entidades y podría facilitar la reducción de comisiones y la mejora del servicio.

Independientemente de la red de cajeros, la entidad propietaria del cajero cobra a la entidad que emite la tarjeta, y es esta la que decide si repercute la comisión al titular de la tarjeta o no lo hace.

Hasta marzo de 2015, las entidades financieras se cobraban entre sí unas comisiones definidas en el marco de la red de medios de pago a la que pertenecían, Euro 6000, Sistema 4B y Servired, y eran relativamente bajas (entre 0,45€ y 0,75€ por operación).

Por aquel entonces, era la entidad emisora de la tarjeta y no la entidad propietaria del cajero la que decidía si le trasladaba o no a su cliente esas comisiones. En muchos casos, ocurría incluso que la entidad emisora de la tarjeta cobraba a su propio cliente una cantidad superior a la que le había cobrado a ella la entidad propietaria del cajero.

En abril de 2015, CaixaBank empezó a cobrar 2 euros unilateralmente a los clientes de otras entidades que sacaban efectivo en sus cajeros. Otras entidades, como BBVA, y Santander anunciaron que harían lo mismo. Esto hacía que el consumidor se encontrara con que, en ocasiones, tenía que pagar dos comisiones: la que empezaron a cobrar algunos bancos por usar su cajero sin ser cliente y la que existía de siempre, la llamada tasa de intercambio que se cobraban los bancos entre sí para cubrir los costes del servicio -y que de media era de 0,6 euros por operación-, que normalmente se traspasaba al consumidor.

Esta situación perjudicaba a los usuarios de las entidades con menos red de cajeros, como por ejemplo ING, Arquia, o Targo Bank que podían sacar dinero gratis porque, aunque esta entidad pagaba al resto de los bancos la tasa de intercambio, no se la repercutía a sus clientes.

Ante la doble comisión generada por la decisión unilateral de algunas entidades financieras, y el revuelo social generado, que llevó a los tribunales a las entidades impulsoras de las iniciativas de doble cobro, el Ministerio de Economía aprobó el Real Decreto-Ley 11/2015, por el que se creó un sistema nuevo que reguló un aspecto de las comisiones que no había necesitado regulación hasta ese momento.

Con esta norma:

Cada entidad decide qué comisión cobrará por el uso de sus cajeros.
Esta nueva comisión no se la cobrará directamente al usuario, sino a la entidad emisora de la tarjeta.
La entidad emisora de la tarjeta decide si se la repercute al titular de la tarjeta o no. Total o parcialmente.
En caso de que decida repercutirla al usuario, no podrá cobrarle más de lo que le haya cobrado el banco propietario del cajero.

Poco después de aprobar el decreto, el subsecretario de Economía y Competitividad, Miguel Temboury, calificaba de “desorbitado” cobrar 2 euros por usar un cajero, algo que no tenía justificación a su entender, pero que sigue haciendo la Caixa.

En lo que todas las entidades coinciden, por ahora, es en que ninguna cobrará a sus prpios clientes por retirar efectivo de sus cajeros en modalidad de débito.

Por otra parte, la mayoría ha decidido repercutir a sus clientes la comisión que les cobre el banco propietario del cajero en su totalidad, aunque algunas la seguirán asumiendo en determinados casos.

El cliente conocerá de antemano el posible coste de la operación, ya que aparecerá un mensaje en la pantalla del cajero, y podrá cancelar la retirada de efectivo si no está dispuesto a asumir la comisión.

El contexto actual de comisiones es el siguiente:

CaixaBank (unos 9.600 cajeros propios)

Cobrará 2 euros por el uso de sus cajeros al resto de entidades.

Si un cliente suyo saca dinero de un cajero de cualquier otra entidad, CaixaBank le repercutirá el 100% de lo que le cobre ese banco.

BBVA, Catalunya Banc y Uno-e (7.176 cajeros)

Cobrará 1,87 euros por el uso de sus cajeros al resto de entidades.

Si un cliente suyo saca dinero de un cajero de cualquier otra entidad, BBVA le repercutirá el 100% de lo que le cobre ese banco.

Santander (casi 5.000 cajeros)

Cobrará 1,85 euros por el uso de sus cajeros al resto de entidades.

Si un cliente suyo saca dinero de un cajero de cualquier otra entidad, Santander le repercutirá el 100% de lo que le cobre ese banco. Por ahora, la entidad que preside Ana Botín no contempla acuerdos bilaterales con otros bancos.

Bankia (más de 5.500 cajeros)

La entidad nacionalizada cobrará 0,98 euros por el uso de sus cajeros al resto de entidades financieras.

A un cliente que saque dinero de un cajero de Banco Sabadell o de la red Euro 6000 -que incluye a Kutxabank, Ibercaja, Grupo Liberbank, BMN, Abanca, Unicaja, Caja España-Duero, CajaSur, Caixa Ontinyent, Colonya Caixa Pollença y Cecabank-, Bankia le repercutirá una comisión de 0,65 euros.

Cada mes serán gratuitas las cuatro primeras extracciones en los cajeros de Sabadell o red Euro 6000 si el cliente de Bankia tiene «ingresos domiciliados».

Si es cliente de Bankia y saca dinero de cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre dicha entidad.

Grupo Banco Popular: Popular, Pastor y Targobank (2.712 cajeros)

Cobrará por el uso de sus cajeros 1,5 euros a los otros bancos.

Si tiene una tarjeta de este grupo y retira efectivo de un cajero de Laboral Kutxa, Grupo Caja Rural, Bankinter y Cajamar, se cobrarán 0,65 euros de comisión.

Sacar dinero en cualquier otra entidad costará al cliente del grupo toda la comisión que le cobre el propietario del cajero.

Banco Sabadell (3.246 cajeros)

Cobrará por el uso de sus cajeros 1,8 euros a los otros bancos.

Si es cliente y retira efectivo de un cajero de Bankia o de la red Euro 6000 -que incluye a Kutxabank, Ibercaja, Grupo Liberbank, BMN, Abanca, Unicaja, Caja España-Duero, CajaSur, Caixa Ontinyent, Colonya Caixa Pollença y Cecabank-, el Banco Sabadell le repercutirá una comisión de 0,65 euros. El banco no aplicará ningún coste a los clientes con más vinculación (el 85% de la operativa).

Si saca dinero de cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre dicha entidad.

ING (103 cajeros)

Cobrará a las otras entidades 0,5 euros por cada cliente que use sus cajeros. Considera que esa comisión responde a los costes reales de la operación y califica de “desorbitadas” comisiones de 2 euros.

Los clientes de ING Direct pueden sacar dinero sin pagar comisiones en los cajeros de Banca March y del Grupo Banco Popular (Popular, Pastor y TargoBank) de todo el país.

También será gratis retirar efectivo de los cajeros de Bankia y Bankinter de todo el territorio nacional, siempre y cuando se saquen más de 90 euros. Si la cantidad es inferior, ING le repercutirá la comisión correspondiente en su totalidad (0,98 euros en el caso de Bankia y 1 euro en el de Bankinter).

Si un cliente saca dinero en cualquier otro banco fuera de la Comunidad de Madrid, tampoco pagará comisiones siempre y cuando retire más de 200 euros. Si saca menos de esa cifra, ING le repercutirá de forma íntegra la comisión que le cobre el propietario del cajero.

Evo Banco (52 cajeros)

Cobrará 0,65 euros por el uso de sus cajeros al resto de bancos.

No trasladará a sus clientes la comisión le que cobren el resto de bancos siempre y cuando se retiren más de 120 euros.

En caso de que un cliente saque menos de esa cantidad, Evo Banco tampoco le cobrará comisión si lo hace en uno de los cajeros del Grupo Banco Popular (Popular, Pastor y Targo Bank) y los pertenecientes a las entidades Euro 6000 -que incluye a Kutxabank, Ibercaja, Grupo Liberbank, BMN, Abanca, Unicaja, Caja España-Duero, CajaSur, Caixa Ontinyent, Colonya Caixa Pollença y Cecabank-.

Repercutirá a su cliente de forma íntegra la comisión que le cobre el propietario del cajero cuando retire menos de 120 euros en el resto de entidades del país.

Bankinter (algo menos de 400 cajeros)

Cobrará entre 0,65 y 0,8 euros -en función de lo pactado- a Grupo Banco Popular, Cajamar, Laboral Kutxa, Grupo Caja Rural, Deutsche Bank y Banca March. Al resto de entidades, la cantidad será de 1 euro.

Sus clientes pueden retirar dinero de manera gratuita en los cajeros de Grupo Banco Popular, Cajamar, Laboral Kutxa, Grupo Caja Rural, Deutsche Bank y Banca March. La entidad ha decidido asumir los entre 0,65 y 0,8 euros de comisión que debe pagar a estos bancos.

A un cliente que saque dinero en cualquier otra entidad se le repercutirá el 100% de lo que le cobre dicha entidad.

Abanca (1.034 cajeros)

Cobrará 0,45 euros a las entidades de la red Euro 6000 y 0,65 euros a Bankia y Sabadell. Al resto de bancos, 1,95 euros.

Un cliente de Abanca fuera de Galicia puede sacar dinero gratuitamente de las demás entidades de la red Euro 6000, de Bankia y de Banco Sabadell, con un límite de hasta cinco operaciones al mes.

Si se supera este límite, el cliente abonará 0,45 euros por operación en los cajeros de Euro 6000 y 0,65 euros en los de Bankia y Banco Sabadell. “Estos importes se corresponden estrictamente con los costes del servicio y no suponen margen alguno para las entidades”, dice la entidad.

Dentro de Galicia se cobrarán esas mismas comisiones a los clientes que retiren efectivo del resto de la red Euro 6000, Bankia y Sabadell.

Para el resto de entidades, Abanca repercutirá a su cliente la comisión cobrada por el propietario del cajero.

Laboral Kutxa (613 cajeros)

Cobrará a las entidades 1,5 euros por el uso de sus cajeros.

A sus clientes que saque dinero en un cajero del Grupo Banco Popular, Bankinter, Cajamar y Cajas Rurales les cobrará 0,65 euros.

Si se saca dinero en cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre esa entidad.

Kutxabank y Cajasur (2.039 cajeros)

Cobrará a las entidades 1,9 euros por usar sus cajeros.

Kutxabank no cobrará a sus clientes de fuera del País Vasco por sacar dinero a débito en los cajeros de la red Euro 6000, de Bankia y de Banco Sabadell de sus respectivas comunidades autónomas, siempre y cuando no realicen más de tres operaciones de extracción al mes.

Si se superan estas tres operaciones, el banco cobrará 0,45 euros a sus clientes de fuera del País Vasco por retirar dinero de cajeros de la red Euro 6000. El coste será de 0,65 euros si la extracción se efectúa en las máquinas de Bankia y Banco Sabadell.

Se cobrarán esas mismas comisiones a los clientes que retiren efectivo del resto de la red Euro 6000, Bankia y Sabadell dentro del País Vasco. Kutxabank asegura que no hay municipio en Euskadi que no tenga un cajero de su propiedad y que, donde no existe un cajero de su propiedad es porque no hay ninguno.

Si saca dinero en cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre dicha entidad.

Grupo Unicaja Banco: Unicaja y EspañaDuero (1.600 cajeros)

Cobrará a las entidades 2 euros por usar sus cajeros. Si la tarjeta es de la red Euro 6000, la comisión que se aplica a la entidad emisora de la tarjeta es de 0,45 euros; si está emitida por Bankia o Sabadell, cobrará 0,65 euros.

Sus clientes podrán sacar gratis cuatro veces al mes en cualquier cajero de la red Euro 6000, Bankia y Banco Sabadell, menos en las provincias de León, Zamora, Palencia, Valladolid, Salamanca, Soria, Cáceres y Málaga (en las que tienen mayor presencia de cajeros). A partir de la quinta operación, el coste será de 0,45 euros en la red Euro 6000 y 0,65 euros en cajeros de Bankia y Sabadell.

Si saca dinero en cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre dicha entidad.

Liberbank (1.340 cajeros)

Cobrará a las entidades 2 euros por usar sus cajeros, salvo a las adscritas a Euro 6000 (que pagarán 0,45 euros) y a Bankia y Sabadell (0,65 euros).

No repercutirá a sus clientes las comisiones al sacar en cajeros de Bankia, Banco Sabadell y Euro 6000, siempre que extraigan más de 100 euros. No cobrará en ningún caso a sus clientes titulares de las tarjetas jóvenes denominadas ‘Max Junior’ y ‘Max Joven’.

Si son menos de 100 euros, el coste de la operación será de 0,45 euros en la red Euro 6000 y de 0,65 euros en cajeros de Bankia y Sabadell.

Para el resto de entidades, repercutirá a su cliente de íntegramente la comisión.

Ibercaja (1.551 cajeros)

Ibercaja cobrará a las entidades 1,8 euros por usar sus cajeros, salvo a las adscritas a Euro 6000 (pagarán 0,45 euros) y a Bankia y Sabadell (0,65 euros).

Cobrará a sus clientes por sacar en las entidades de la red Euro 6000 -que incluye también a Kutxabank, Grupo Liberbank, BMN, Abanca, Unicaja, Caja España-Duero, CajaSur, Caixa Ontinyent, Colonya Caixa Pollença y Cecabank-, una comisión de 0,45 euros. En el caso de Bankia y Banco Sabadell serán 0,65 euros.

Para el resto de entidades, repercutirá a su cliente de íntegramente la comisión.

BMN (1.256 cajeros)

Cobrará a las entidades 1,8 euros por usar sus cajeros, salvo a las adscritas a Euro 6000 (pagarán 0,45 euros) y a Bankia y Sabadell (0,65 euros).

Cobrará a sus clientes por sacar en las entidades de la red Euro 6000 -que incluye también a Kutxabank, Grupo Liberbank, Ibercaja, Abanca, Unicaja, Caja España-Duero, CajaSur, Caixa Ontinyent, Colonya Caixa Pollença y Cecabank-, una comisión de 0,45 euros. En el caso de Bankia y Banco Sabadell serán 0,65 euros. Cuenta con condiciones especiales para los clientes de la Tarifa Plana Mediterránea.

Para el resto de entidades, repercutirá a su cliente de íntegramente la comisión.

Cajamar (1.300 cajeros)

Cobrará a las entidades 1,5 euros por usar sus cajeros, salvo a Bankinter, Grupo Banco Popular, Banca Pueyo, Banco Caminos y todas las cajas rurales y cooperativas de crédito españolas, a las que cobrará 0,65 euros.

Cobrará a sus clientes, como norma general, 0,65 euros si sacan dinero de un cajero de Bankinter, Grupo Banco Popular, Banca Pueyo, Banco Caminos y todas las cajas rurales y cooperativas de crédito españolas. En los territorios donde Cajamar no tenga una red de cajeros consolidada, y siempre en esas entidades con las que ha llegado un acuerdo, las cuatro primeras retiradas de efectivo de cada mes serán gratuitas.

Para el resto de entidades, repercutirá a su cliente de íntegramente la comisión.

Banca March (alrededor de 500 cajeros propios)

La entidad no ha facilitado a RTVE.es datos sobre cuánto cobrará a las entidades por usar sus cajeros.

Sus clientes pueden retirar dinero de manera gratuita en los cajeros de Grupo Banco Popular, ING Direct, Bankinter y Deutsche Bank de la Península. La entidad asume la comisión que debe pagar a estos bancos.

En Baleares y Canarias, solo será gratuito retirar efectivo en los cajeros de Banca March.

Si saca dinero en cualquier otra entidad, el banco le repercutirá el 100% de lo que le cobre dicha entidad.

Grupo Cajas Rurales (alrededor de 2.700 cajeros)

Las cajas rurales (del grupo gestionado por Rural Servicios informáticos, gestión separada a las del Grupo Cajamar) tienen alrededor de 2.700 cajeros en los que sus clientes pueden retirar dinero sin comisiones. Además, los clientes de las Cajas Rurales pueden realizar retiradas de dinero de forma gratuita en cajeros del Grupo Banco Popular, Grupo Cajamar, Laboral Kutxa y Bankinter (donde las entidades del Grupo Caja Rural no tengan presencia).

Banco Mediolanum

Mantiene su política de retirada gratuita de efectivo en todos los cajeros hasta un máximo de 52 retiradas anuales.

PSD2, Thrid Party Payment Service Providers, directiva antiblanqueo y #eIdAS

Deja un comentario

El 23 de diciembre de 2015, se publicó en el Diario Oficial de la Unión Europea la nueva Directiva UE 2015/2366 de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (PSD2, por sus siglas en inglés), tras el acuerdo alcanzado con el Parlamento Europeo en los trílogos en mayo de 2015. La PSD2 conlleva cambios fundamentales en la industria de pagos al dar a los proveedores de servicios de pago terceros (TPP, por las siglas en inglés de Thrid Party Payment Service Providers) acceso a la infraestructura de los bancos.

Según la PSD2, los TPP (proveedores de servicios de pago terceros, básicamente, servicios iniciadores de pagos «payment initiation services – PIS» y agregadores de información «account information services – AIS«). ), deberán tener acceso a las cuentas de clientes bancarios a través de mecanismos de programación (APIS y Servicios Web), lo que les permitirá ofrecer sus servicios como extensiones de la funcionalidad que ofrecen las propias entidades financieras, haciendo uso de la infraestructura de los bancos, a petición de sus clientes que sean también clientes de estos bancos.

Todavía están pendiente de clarificación aspectos de la relación entre los bancos y los TPP, pues el texto determina explícitamente que no se requerirá un contrato entre las partes, pero los bancos deberán proporcionar el acceso a terceros sin discriminación, una vez autorizados por el cliente. Por tanto, los TPP se beneficiarían de la infraestructura de pagos de los bancos sin contraprestaciones, al tiempo que ofrecen servicios que mejoran la oferta que los clientes reciben de sus entidades. El resultado puede suponer una simbiosis en algunos casos, pero las entidades temen que se trate más frecuentemente de un actividad parásita que saque provecho de la infraestructura que a ellas les suponen costes, sin contribuir a su sostenimiento.

Ya están surgiendo las primeras soluciones técnicas del sector a través de las API (Interfaz de Programación de Aplicaciones), aunque no hay unos estándares fijos que garanticen la interoperabilidad.

La Autoridad Bancaria Europea (ABE, EBA por sus siglas en inglés: European Banking Authority) se ha comprometido a proporcionar directrices y establecer estándares técnicos relacionados con la autorización de entidades de pago, protocolos de seguridad y comunicación entre las partes, así como relaciones empresariales y cuestiones de responsabilidad.

Para septiembre de 2018, la ABE actualizará las guías que ha publicado recientemente sobre la seguridad de los pagos en Internet (guías que se desarrollaron antes de la PSD2 y que se aplican a partir del 1 de agosto de 2015), ampliando su alcance a las nuevas entidades y cubriendo los nuevos requerimientos de la PSD2.

La autorización como entidad de pagos, otorgada por las autoridades competentes del estado miembro de origen, permitirá la provisión de servicios de pago en toda la Unión Europea, en virtud del «Pasaporte Comunitario«.

En lo que respecta a la supervisión, en la práctica las entidades de pago están sujetas a la supervisión tanto de las autoridades competentes del país de origen como las del país en el que pretende prestar servicios, pues la directiva permite a estas últimas exigir informes periódicos sobre las actividades llevadas a cabo en su territorio.

En caso de incumplimiento normativo, será responsabilidad de los organismos supervisores del país de origen la adopción de las medidas apropiadas, incluidas las sancionadoras, aunque también los del país de prestación de servicios pueden adoptar medidas cautelares en situaciones perentorias.

Dado el régimen de cooperación entre los organismos de supervisión nacionales, el correcto funcionamiento del mercado único para los pagos electrónicos dependerá de cómo se desarrolle esa cooperación. Las directrices y estándares de la ABE jugarán un papel fundamental a este respecto.

En España, el Banco de España y el Ministerio de Economía no acaban de ponerse de acuerdo sobre la forma de gestionar la adopción de directrices que en bastante casos tendrán carácter técnico.

Lo que sí parece que está fuera de toda duda, es que los servicios de gestión de identidades y los conexos Servicios Electrónicos de Confianza definidos en el Reglamento UE 910/2014 (EIDAS) serán de importancia capital en el marco de los servicios Thrid Party Payment Service Providers, tal como evidencia un documento de trabajo publicado el 8 de diciembre de 2015 por la EBA, sobre los futuros desarrollos técnicos previstos en la PSD2, en relación con la autenticación fuerte de clientes («Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentication and secure communication under the revised Payment Services Directive -PSD2-«).

La necesidad de autenticación fuerte de clientes que resuelve EIDAS también queda patente en la Directiva UE 2015/849 de 20 de mayo de 2015 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo publicada el 5 de junio del 2015 en el Diario Oficial de la Unión Europea.

De momento los desarrollos sobre sistemas de identificación mediante videoconferencia han quedado expéditos para el sector financiero por la Autorización de procedimientos de identificación no presencial mediante videoconferencia del SEPBLAC, que como servicios proporcionados por terceros caen directamente en la categoría de los sistemas sometidos a la supervisión de la SESIAD (Secretaria de Estado de Sociedad de la Información y Agenda Digital) del MINETAD (Ministerio de Energía, Turismo y Agenda Digital).

La esperada publicación de una nueva Ley que derogue la Ley 59/2003 sobre firma electrónica contemplará la normativa nacional sobre sistemas de identificación mediante videoconferencia y otros que el Reglamento UE 910/2014 menciona en su artículo 24.

En efecto, en este artículo se indica que «Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

Y entre las formas de verificar la identidad, se admite que esta verificación puede hacerse utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Algunos de los aspectos que podría cubrir la nueva Ley de Servicios de Confianza Digital (si se confirma un mayor uso del término «digital» en detrimento del término «electrónico«) se dejan entrever en la reciente consulta realizada por el MINETAD, y reflejados en este documento: Ley de servicios de confianza digital

Los consejos de Servired, Sistema 4B y Euro 6000 dan el sí definitivo a su fusión

Deja un comentario

Noticia publicada en Cinco Días, por Ángeles Gonzalo Alconada

Hace justo un año que los tres sistemas de medios de pago, Servired, Sistema 4B y Euro 6000, comenzaban a hablar de su fusión. En junio se confirmó el acercamiento de los representantes de las tres redes con ciertas reticencias de los de Euro 6000 y este mes de diciembre de 2016 los consejos de los tres sistemas han aprobado ya definitivamente su integración (el 21 de diciembre fue el de Euro 6000). El objetivo es operar ya como una sola sociedad en algún momento del primer trimestre de 2017. Faltan aún las autorizaciones oficiales de la CNMC, del Ministerio de Economía y del Banco de España, aunque inicialmente parece que serán positivas.

Los tres sistemas de pago están ya únicamente a la espera de las autorizaciones de las autoridades para dar por cerrada su fusión y crear una única marca en 2017.

Esta operación les permitiría posicionarse como uno de los principales sistemas de pago de Europa, algo que según todas las fuentes consultadas supondría dar un salto cuantitativo y cualitativo que les permitiría sumar más peso ante posibles negociaciones sobre esta actividad ante otras plataformas similares del continente, e iniciar proyectos de carácter europeo extendiendo sus servicios a otros países.

A lo largo de este mes de diciembre, Servired, Sistema 4B y Euro 6000 han sometido a sus respectivos consejos de administración la fusión de las tres sistemas y la respuesta ha sido positiva. De esta forma, a partir del primer trimestre de 2017 podrían dejar de existir estas tres conocidas plataformas para crear una única red de medios de pagos como existe en el resto de los países de Europa.

Los primeros acercamientos se produjeron hace un año, inicialmente por las entidadess que integran Servired y las que pertenecen a Sistema 4B. Pero ambos grupos invitaron también a Euro 6000, el sistema de medios de pagos de las antiguas cajas de ahorros, que todavía opera como una asociación en la que se incluyen ofertas para los clientes de sus tarjetas.

Varios socios de Euro 6000 fueron reacios inicialmente a esta unión, pero el pasado 21 de diciembre sus miembros dieron el sí a la operación impulsada por el Banco de España y el Banco Central Europeo (BCE), como ya hicieron en el caso de la plataforma de pagos por móvil Bizum en la que participan prácticamente todos los bancos españoles.

La nueva sociedad se repartirá en un 66% aproximadamente para los socios de Servired (sus principales accionistas son BBVA, CaixaBank, Bankia y Sabadell), mientras que el 20% será para los representantes de 4B (integrado por Santander, Popular y Banca March), y el 14% para los de Euro 6000 (en el que se encuentran Unicaja, Ibercaja, Kutxabank, BMN, Liberbank, Evo Banco y Abanca). La determinación de los consejeros de la nueva sociedad fusionada estará en función del número de tarjetas emitidas por cada entidad.

La integración de estos esquemas de medios de pago tiene ahora más sentido que hace ocho años, cuando 4B y Servired ya intentaron su unión. La política de comisiones por sacar dinero en los cajeros ajenos, que además se encuentran reguladas, han desactivado casi por completo las ventajas que suponía para el cliente operar en los terminales de un mismo sistema.

Pese a la prevista próxima creación de esta sociedad, todavía quedan pendientes las autorizaciones de la Comisión de Mercados y de la Competencia (CNMC), del Banco de España y del Ministerio de Economía, aunque se espera que no haya ningún problema, más cuando el supervisor bancario es partidario de la existencia de un único medio de pagos en España.

Se espera que la operación implique un recorte del 35% de la plantilla de las tres empresas fusionadas (unos 25 puestos de trabajo) a través de fórmulas como prejubilaciones para suavizar el impacto social, según han indicado fuentes próximas a la negociación.

Aunque se espera que las tres redes operen como una sola sociedad en algún momento del primer trimestre de 2017, la fusión no estará plenamente operativa hasta el tercer trimestre debido a la necesidad de sacar de la sociedad algunos activos de las entidades bancarias afectadas que quedarán fuera del perímetro incluido en la operación de fusión.

La nueva sociedad contaría con cerca de 63.900 cajeros automáticos, procedentes de Sistema, 4B (12.752 cajeros), Servired (33.100 cajeros) y Euro 6000 (18.098 cajeros).

El número de tarjetas gestionadas ascendería a 71,8 millones de unidades entre crédito y débito, procedentes de Sistema, 4B (20 millones de tarjetas), Servired (42 millones de plásticos) y Euro 6000 (9,77 millones de soportes).

KPMG, N+1 y Boston Consulting han realizado el plan de viabilidad de la nueva sociedad en un este estudio, entregado a los bancos a finales de octubre.