//¿Está su negocio preparado para GDPR y PSD2?

¿Está su negocio preparado para GDPR y PSD2?

En el 2018 habrá muchos cambios regulatorios que afectarán al sector financiero entre ellos el PSD2la Segunda Directiva de Servicios de Pago – y el GDPRReglamento General de Protección de Datos. Ambas regulaciones impactan la forma en que una institución hace negocios, cómo un cliente interactúa con ella y las fuertes multas por incumplimiento. PSD2 propone cambios técnicos a la forma en que los bancos se autentican y otorgan acceso a los clientes. A GDPR le preocupa cómo se gestionan los datos personales de un cliente y establece multas para las empresas (no sólo para los bancos) que no protejan la información personal de hasta un 2% de la facturación de la empresa. En los párrafos siguientes se describirán las consideraciones más críticas para las instituciones financieras, así como la solución propuesta para cumplir con los nuevos requisitos reglamentarios.

  • Se añade la opción de “Firmar ahora”, que agiliza la firma de documentos en la que el propio remitente es uno de los firmantes.
  • Captura de firma por cada vez que el destinatario tiene que firmar los documentos, esta opción se activa bajo petición a eSignLive.
  • A la hora de descargar de documentos, se incorpora la opción “descargar todo” mediante un fichero comprimido .zip
  • Se actualizan los conectores existentes y se añaden otros nuevos como eSignLive para Nintex Sharepoint o eSignLive para Salesforce.

PSD2 Segunda Directiva de Servicios de Pago – obliga a los bancos de todos los estados miembros de la UE a agregar la Autentificación fuerte del Cliente (SCA) de dos factores en todos los accesos remotos de las cuentas de los clientes. Esto incluye la emisión inicial de credenciales y cualquier nueva emisión por pérdida o robo. Bajo la PSD2, los ‘’proveedores de servicios de pago de servicios de cuentas’’ – principalmente bancos – están obligados a otorgar acceso a tres conjuntos de API a fin de otorgar a terceros registrados acceso a sus cuentas (ver diagrama). El cliente autoriza al banco mediante la autenticación de dos factores, ‘’Autenticación fuerte del Cliente’’ (SCA) por PSD2, para otorgar acceso a terceros.

Un diferenciador clave en la regulación PSD2 es el requisito de una autenticación de dos factores diferentes para las APIs abiertas y el proceso de restablecimiento de credenciales. En el proceso de restablecer las credenciales, el cliente tiene que re-identificarse en su banco usando SCeID (verificación de identidad de cliente fuerte) para verificar o re-verificar su identidad.

El proceso de restablecimiento de las credenciales es vital porque cualquier error en él expone a la empresa a multas bajo PSD2 y GDPR. Las multas pueden ascender hasta un 2% de los ingresos anuales, 10 millones de euros, o lo que sea superior, y en algunos casos se puede duplicar dependiendo de las circunstancias.

PSD2 describe SCA como el uso de dos o más credenciales categorizadas como:

  • Conocimiento: algo que conoce el cliente, como contraseña, fecha memorable, etc.
  • Posesión: algo que el cliente tiene, como un móvil o hardware.
  • Inherente: algo que forma parte del cliente, como un biométrico. Nota: la biometría de comportamiento ha sido prohibida como un factor de autenticación.

Estos factores tienen que ser independientes, de modo que, en el caso de una violación de una credencial, no debe causar daño en otras.

  • El cliente hace un pago a distancia – esto puede ser a través del PSD2 API o utilizando una tarjeta.
  • El cliente accede a su cuenta de forma remota o permite a un tercero que lo haga.
  • Cualquier otra situación ocurre cuando deriva en una cuenta basada en fraude, que esto incluye restablecer las credenciales de forma remota.

Es importante tener en cuenta que SCA requiere un conjunto alternativo de credenciales para poder admitir tanto el proceso de emisión como la reemisión.

GDPR es la regulación de protección de datos que entra en vigor para los estados miembros de la Unión Europea en Mayo del 2018. Presenta multas significativas para organizaciones – no sólo instituciones financieras – que incumplen en proteger los datos de los clientes y no notifican rápidamente una violación de datos. Las multas pueden ascender hasta los €20 millones o 4% de los ingresos globales:

Articulo 4(f) de GDPR establece:

‘’ Los datos personales deben de ser procesados de una manera que garantice una seguridad apropiada de los datos personales, incluyendo protección contra procesamiento no autorizado o ilegal contra la pérdida, destrucción o daño accidental, utilizando apropiadas medidas técnicas y organizativas (integridad y confidencialidad)’’

La seguridad de la identificación y autenticación están interconectadas. La Autenticación es tan válida como el proceso establecido para identificar al cliente.

La intención de los requisitos de PSD2 es claramente forzar el mecanismo de reinicio para que sea tan seguro como el método de emisión inicial; si no lo hace, las cuentas de los clientes serán vulnerables a la ingeniería social y los ataques de phising. Todos los métodos de reinicio fuertes deben volver a la identidad inicial del cliente.

Tomando todo esto en cuenta, es importante observar qué soluciones ya han sido implementadas por las instituciones financieras para garantizar un proceso sólido de verificación de identidad del cliente y una posterior autenticación. Las empresas líderes en servicios financieros han implementado Jumio para cumplir con los crecientes requisitos regulatorios y de seguridad y agilidad del mercado.

Jumio, como líder en verificación digital, ofrece las tasas de precisión más altas y más rápidas (segundos en comparación con horas o días de la competencia) en el mercado.

La tecnología de Jumio es especialmente crucial dentro de sectores altamente regulados donde la identificación remota de clientes es el estándar.

Netverify, el servicio de Jumio de identidad segura, utiliza la ID, identidad y verificación de documentación para brindar una solución que establezca una identidad real de un usuario final. La solución incorpora la tecnología más avanzada del mercado, como el reconocimiento facial biométrico, aprendizaje automático y automatización inteligente de procesos (IPA). Netverify TIaaS cumple con KYC (conocer al cliente) y reglamentos contra el blanqueo de capital, todo mientras mejora la experiencia del cliente.

El uso de tecnologías como Branddocs TrustCloud y teniendo en cuenta los requisitos de PSD2 y GDPR habilitarán a las empresas rápidamente a entrar en cumplimiento sin tener que sacrificar la experiencia del usuario ni la seguridad.

Para más información, visite www.branddocs.solutions o contáctenos a través de branddocs@brand-docs.com

Contacta con nosotros

Mª Jesús Hernández

General Director Spain & LATAM

Saioa Echebarria

Executive Director
2017-10-30T11:37:58+00:00 30 octubre, 2017|eSignLive en Español|