CA Viewpoint - CA Technologies

Anuncio
Artículo de opinión de CA
Resumen de directrices de la ABE y cómo puede ayudar CA
Para:
Emisores de tarjetas de pago
De:
El equipo de producto de pagos digitales de CA Technologies
Asunto: Cumplimiento de las directrices de la ABE y de la Directiva sobre seguridad de pago de la UE para una
autenticación segura
Fecha: 3 de febrero de 2015
1
La Autoridad Bancaria Europea (ABE) ha publicado recientemente las Directrices definitivas sobre la seguridad de los pagos por Internet ,
en las que se destacan los estándares de seguridad mínimos de comercio por Internet que deberán implementar los emisores de tarjetas
antes del 1 de agosto de 2015. Estas directrices se basan en la normativa establecida mediante la Directiva sobre seguridad de pago (DSP)
de la UE e incorporará la próxima Directiva sobre servicios de pago (DSP 2) cuando se publique para garantizar el cumplimiento continuo
de las normas relativas a la seguridad de los pagos por Internet en los 28 Estados miembros de la UE. Lo que supone, en definitiva, para
los emisores de tarjetas es que deben implementar métodos de autenticación de
Las 14 directrices específicas de la ABE se resumen según se indica
alta seguridad y de varios factores con el fin de permitir el empleo de tarjetas en
a continuación:
Internet antes del 1 de agosto de 2015.
1.
La importancia de la lucha contra las pérdidas por fraude queda enfatizada por
el aumento de los fraudes de tarjetas no presenciales en un 21,2 % en 2012 con
2
respecto a 2011 . Para ayudar en la lucha contra el fraude de pago, los requisitos
3
principales de la ABE se centran en una autenticación segura de los usuarios
y en el objetivo de aumentar la confianza de los consumidores en los servicios
de pago por Internet. Las directrices de la ABE indican a los emisores las
prácticas recomendadas. Si estos las siguen, podrán proteger los datos de los
consumidores y garantizar que el pago lo inicie el usuario legítimo y no
un timador. Las directrices 4, 5, 7, 8, 9, 10 y 13 suponen un análisis específico
en cuanto a la implementación de una solución de autenticación de múltiples
factores. Entre estas recomendaciones se incluyen las siguientes:




Implementación de una solución de autenticación de titulares de
tarjetas, como 3D Secure (3DS), para el uso de Internet
Incorporación de múltiples capas de seguridad de “defensa en
profundidad”
Empleo de tecnología de detección y prevención de fraudes para
identificar transacciones sospechosas
Garantía de que se activa una solución de autenticación segura para
casos de tarjetas no presenciales de riesgo elevado
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Implementación y revisión periódica de una política de seguridad
formal
Realización y documentación de evaluaciones de riesgos exhaustivas
Garantía de un control, una gestión y un seguimiento coherentes
e integrados de los incidentes de seguridad
Incorporación de múltiples capas de sistemas de seguridad
Implantación de procesos que garanticen que se realice un
seguimiento adecuado de todas las transacciones
Identificación de clientes y confirmación de su intención de realizar
pagos por Internet
Protección de los pagos por Internet, así como acceso a los datos de
pago confidenciales mediante una autenticación segura de clientes3
Garantía de que el registro y el aprovisionamiento de autenticaciones
de clientes se llevan a cabo de forma segura
Limitación del número de intentos de autenticación o inicio de sesión,
así como de la duración de la sesión
Empleo de herramientas de control de transacciones para evitar,
detectar y bloquear pagos fraudulentos, así como análisis y evaluación
específicos de las transacciones de alto riesgo antes de realizarlas
Protección de datos de pago confidenciales durante su
almacenamiento, procesamiento y transmisión
Asistencia y asesoramiento a clientes, así como comunicación de la
autenticidad de los mensajes recibidos
Establecimiento de límites para el pago por Internet y ofrecimiento
de opciones a los clientes para limitar aún más el riesgo, incluidos
servicios de gestión de perfiles y alertas
Confirmación del inicio del pago y ofrecimiento de información “a su
debido tiempo” a los clientes para comprobar si el pago es legítimo
En realidad, los emisores de tarjetas de crédito deben equilibrar la necesidad de
ofrecer pagos seguros por Internet y proteger los datos de los titulares de las tarjetas con el mantenimiento de una experiencia sencilla
para el titular de la tarjeta. CA Technologies ofrece soluciones de software completas que permiten a los emisores cumplir y superar
algunas de las directrices de la ABE y estar preparados para las probablemente más estrictas regulaciones de DSP 2 y lograr así
experiencias de pago por Internet seguras y sencillas para los consumidores. Para obtener información más detallada, consulte el
apéndice A.
Cómo los productos de seguridad de pago de CA Technologies cumplen los requisitos de la ABE
Como proveedor líder de soluciones de seguridad de pago por Internet, CA Technologies es el partner ideal para los emisores que
deseen cumplir sin problemas el plazo del 1 de agosto de 2015. Al implementar un servicio de seguridad de pago en la nube fácilmente
personalizable de CA Technologies, los emisores pueden sentar unas sólidas bases de pagos con tarjetas no presenciales, crear una
experiencia de usuario sencilla y cumplir los requisitos establecidos en las directrices de autenticación sólida de la ABE.
CA Transaction Manager, nuestro servicio 3DS, se emplea en más de 13.500 carteras con más de 150 millones de titulares de tarjetas
activos en todo el mundo.4 Cada día más emisores deciden optar por CA Transaction Manager porque permite ofrecer una experiencia de
compra en línea dinámica y personalizada. Además, como nuestro equipo de productos de seguridad de pago ha estado involucrado en el
Copyright © 2015 CA. Todos los derechos reservados. Todas las marcas y nombres, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus
respectivas empresas.
Artículo de opinión de CA Technologies
desarrollo de la tecnología 3-D Secure (3DS) desde el establecimiento inicial del protocolo seguro, CA Technologies puede ofrecer una
compatibilidad completa de 3DS con los programas de autenticación de titulares de tarjetas Verified by VISA®, MasterCard® SecureCode,
JCB J/Secure™, American Express SafeKey® y Discover/Diners ProtectBuySM.
CA Risk Analytics es un servicio de autenticación en la nube “sin intervención” que emplea reglas dinámicas y modelos predictivos
estadísticos avanzados para evaluar el riesgo potencial de cada transacción y denegar, alertar, aceptar o solicitar una autenticación
adicional de forma inmediata para cada transacción según corresponda. No se produce ninguna interrupción explícita para el titular de la
tarjeta durante el proceso de comprobación a no ser que se active una verificación adicional en función de los resultados de la
puntuación.
CA Strong Authentication ofrece una autenticación sencilla, intuitiva y dinámica que se adhiere a la definición de la ABE en cuanto a
autenticación segura de clientes. CA Strong Authentication se puede ofrecer in situ o como servicio en la nube, y envía al titular de la
tarjeta una alerta para que confirme que se trata de una transacción válida. Al emplear una “notificación de dos vías” las transacciones
identificadas como potencialmente fraudulentas se podrán validar de inmediato por parte de los titulares de las tarjetas mediante la
finalización de la transacción, o bien identificarse como fraudulentas. Esta solución de autenticación versátil permite el empleo de
múltiples modos de autenticación, incluida una credencial electrónica de dos factores, contraseña de un solo uso enviada por SMS o
servicio de voz, aplicación de contraseñas de un solo uso mediante dispositivos móviles, notificación de dos vías y otras opciones con
múltiples factores.
¿Qué supone esto para los clientes de seguridad de pago de CA Technologies?
El aumento de la sofisticación de los piratas informáticos unido al deseo de ofrecer a los clientes una experiencia mejorada ya ha hecho
que una gran cantidad de clientes de CA Technologies haya elegido nuestras soluciones. Confiamos en que los usuarios actuales de
nuestras soluciones de comercio electrónico no tendrán que realizar grandes esfuerzos para cumplir con todos los aspectos de definición
de autenticación segura de la ABE. Los clientes pueden mejorar rápidamente sus productos con nuestra colaboración, pero a continuación
destacamos algunos de los aspectos básicos.
Nos comprometemos a trabajar estrechamente con los clientes y partners de CA para ofrecer soluciones completas que aumenten la
fidelidad de los clientes, mejoren los ingresos y garanticen el cumplimiento de los mayores estándares de seguridad que requieren las
regulaciones actuales y futuras.
Y ahora, ¿qué?
No deje que el plazo de implementación del 1 de agosto 2015 le coja desprevenido, llámenos hoy mismo. Podemos asesorarle sobre qué
productos de seguridad de pago de CA Technologies pueden adaptarse a sus necesidades y trabajar con usted para implementar las
mejores opciones de autenticación segura mientras se prepara para la fecha límite de la normativa.
Obtenga más información sobre los productos de seguridad en el pago de CA Technologies en www.ca.com/es/products/payment-security
o envíe un mensaje de correo electrónico a paymentsecurity@ca.com para ponerse en contacto con un experto en productos. Los clientes de
CA Technologies pueden ponerse en contacto con el representante de cuenta para obtener una evaluación detallada sobre cómo nuestras
soluciones de seguridad en el pago cumplen las directrices de la ABE en cuanto a seguridad en los pagos por Internet y las normas de la
Directiva sobre seguridad de pago (DSP) de la UE.
1
Consulte http://www.eba.europa.eu/documents/10180/1004450/EBA_2015_ES+Guidelines+on+Internet+Payments.pdf/44d07cf8-1721-4407-94a6-3a8c256149fa
Consulte http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf
En lo referente a las directrices de la ABE, la autenticación segura de clientes se define como un procedimiento basado en el uso de dos o más de los elementos siguientes (categorizados
como conocimiento, propiedad e inherencia): i) algo que solo sabe el usuario, como contraseña estática, código, número de identificación personal; ii) algo que solo posee el usuario, como
token, tarjeta inteligente, teléfono móvil; y iii) algo inherente al usuario, como una característica biométrica (por ejemplo, una huella dactilar). Además, los elementos seleccionados deben ser
independientes entre sí, es decir, que la vulneración de uno de ellos no ponga en riesgo los demás. Al menos uno de los elementos no debería poderse reutilizar ni duplicar (excepto el
inherente), y ni tampoco sustraerse de forma inadvertida a través de Internet. El procedimiento de autenticación segura deberá diseñarse de tal manera que proteja la confidencialidad de los
datos de autenticación.
4
Fuente: datos de CA Technologies correspondientes al 4.o trimestre de 2004.
2
3
Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o
se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella.
2
Artículo de opinión de CA Technologies
Apéndice A:
Directriz de la ABE
1
2
3
Implementación y revisión periódica de una
política de seguridad formal
Realización y documentación de evaluaciones
de riesgos exhaustivas
Garantía de un control, una gestión y un
seguimiento coherentes e integrados de los
incidentes de seguridad
4
Incorporación de múltiples capas de sistemas
de seguridad
5
Implantación de procesos que garanticen que
se realice un seguimiento adecuado de todas
las transacciones
6
Identificación de clientes y confirmación de
su intención de realizar pagos por Internet
7
8
9
10
Protección de los pagos por Internet, así
como acceso a los datos de pago
confidenciales mediante una autenticación
3
segura de clientes
Garantía de que el registro y el
aprovisionamiento de autenticaciones de
clientes se llevan a cabo de forma segura
Limitación del número de intentos de
autenticación o inicio de sesión, así como de
la duración de la sesión
Empleo de herramientas de control de
transacciones para evitar, detectar y bloquear
pagos fraudulentos, así como análisis
y evaluación específicos de las transacciones
de alto riesgo antes de realizarlas
11
Protección de datos de pago confidenciales
durante su almacenamiento, procesamiento
y transmisión
12
Asistencia y asesoramiento a clientes, así
como comunicación de la autenticidad de los
mensajes recibidos
13
Establecimiento de límites para el pago por
Internet y ofrecimiento de opciones a los
clientes para limitar aún más el riesgo,
incluidos servicios de gestión de perfiles
y alertas
14
Confirmación del inicio del pago y
ofrecimiento de información “a su debido
tiempo” a los clientes para comprobar si el
pago es legítimo
Solución
Aplicación de la solución de seguridad en el pago de
CA Technologies
Política de banca interna
Gracias a CA Risk Analytics, los emisores pueden personalizar dinámicamente
los ajustes de las políticas de fraudes y riesgos según las políticas de cada
institución financiera.
Los emisores pueden emplear los datos de autenticación de CA Risk Analytics
para aumentar las evaluaciones de riesgos.
Política de banca interna
Política de banca interna
Solución de SIEM
CA Transaction Manager
CA Risk Analytics y
CA Strong Authentication
La combinación de estos productos permitirá que cumpla los requisitos de
autenticación segura y control de las transacciones para lograr una “defensa
en profundidad” en las transacciones de pago por Internet.
CA Transaction Manager
CA Risk Analytics
CA Transaction Manager incluye 3D Secure para poder autentificar cada
transacción. CA Risk Analytics ofrece información de autenticación
adicional y un seguimiento de control de cada transacción. Las funciones
de gestión de casos ofrecen datos “verdaderos” sobre fraudes.
Política de banca interna
CA Transaction Manager
CA Strong Authentication
CA Privileged Identity
Manager (PIM)
CA Strong Authentication
CA Strong Authentication
CA Single Sign-on (SSO)
CA Risk Analytics
Política de banca interna
Los productos de CA realizan
esto con los datos que
gestionamos
Política de banca interna
CA Transaction Manager
CA Risk Analytics
CA Strong Authentication
CA Transaction Manager incluye 3D Secure para poder autentificar cada
transacción. CA Strong Authentication ofrece numerosas opciones de
autenticación de factores múltiples, como contraseñas de un solo uso
mediante SMS, contraseñas de un solo uso mediante aplicaciones para
dispositivos móviles, notificaciones de dos vías y contraseñas imposibles
de infringir tanto para pagos en Internet como para acceder a datos de pago
confidenciales. CA PIM ofrece controles completos de accesos de usuarios,
gestión de contraseñas de cuentas compartidas, vinculación de
autenticaciones y generación de informes sobre las actividades de los
usuarios tanto en entornos físicos como virtuales para usuarios con
privilegios.
Ofrece un registro seguro, FYP y flujos de trabajo de desaprovisionamiento.
Gracias a CA Strong Authentication, los emisores pueden seleccionar un límite
para los intentos de autenticación. CA SSO puede incluir inicios de sesión
desde múltiples canales.
CA Risk Analytics ofrece un análisis en tiempo real de cada transacción, aplica
avanzados modelos de autenticación 3D Secure y genera una puntuación que
identifica tanto las transacciones legítimas como las de alto riesgo. Las reglas
dinámicas le permiten aplicar políticas empresariales personalizadas.
CA Technologies hace que los centros de datos de soluciones de comercio
electrónico sean seguros, cumplan los requisitos de la industria de tarjetas
de pago (PCI por sus siglas en inglés) y aprueben la auditoría SSAE 16 para que
los datos transmitidos durante el proceso de autenticación mantengan
protegida la información del titular de la tarjeta.
CA Transaction Manager y CA Risk Analytics son compatibles con gestores de
servicio de clientes (CSM por sus siglas en inglés) para determinar cuándo se
produce una transacción potencialmente fraudulenta. En caso de que así sea,
los CSM pueden transmitir dicha información al cliente.
CA Risk Analytics puede analizar una transacción y determinar su nivel de
riesgo. Puede enviar una alerta a los clientes, solicitar una autenticación más
precisa o denegar la transacción en función de la política de la entidad
bancaria. CA Strong Authentication puede enviar una contraseña de un solo
uso mediante SMS, correo electrónico o servicio de voz, o bien iniciar una
notificación de cliente de dos vías para que el cliente pueda responder de
inmediato para continuar la transacción.
Política de banca interna
Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o
se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella.
3
Artículo de opinión de CA Technologies
1
Directrices definitivas sobre la seguridad de los pagos por Internet de la
Autoridad Bancaria Europea
Comunicado de prensa
Londres (Reino Unido)
Fecha de publicación 19/12/2014 | ABE/GL/2014/12
La Autoridad Bancaria Europea (ABE) ha publicado hoy sus directrices definitivas sobre la seguridad de los pagos por Internet, en las que
establece los requisitos de seguridad mínimos que deberán implementar los proveedores de servicios de pago de la UE antes del 1 de agosto de
2015. La ABE ha mostrado preocupación por el aumento de los fraudes relacionados con los pagos por Internet, por lo que ha decidido que es
necesaria la implementación de una estructura más segura para los pagos por Internet en la UE. Estas directrices se basan en el trabajo técnico
llevado a cabo por el Foro Europeo sobre la Seguridad de los Pagos Minoristas (SecuRe Pay).
Entre las diversas medidas propuestas para lograr pagos más eficaces y seguros en la UE, las directrices de la ABE requieren en particular que los
proveedores de servicios de pago (PSP) lleven a cabo una autenticación segura de los clientes para verificar su identidad antes de proceder al pago en línea,
que es una de las medidas clave para evitar el fraude en Internet, ya sea en el caso de servicios bancarios o pagos mediante tarjetas por Internet. Estas
directrices, que se basan en el trabajo técnico llevado a cabo por SecuRe Pay (un foro de cooperación voluntaria que reúne a los bancos centrales y a los
supervisores de los proveedores de servicios de pago), serán aplicables a todos los PSP de la UE de manera coherente a partir de agosto de 2015.
La ABE ha decidido publicar estas directrices debido a que ha detectado un creciente número de fraudes en los pagos por Internet. Las cifras paneuropeas
más recientes muestran que solo el fraude en pagos por Internet mediante tarjetas ocasionó unas pérdidas de 794 millones de euros en 2012 (un aumento
del 21,2 % con respecto al año anterior). Había que ofrecer una respuesta en forma de normativa de manera rápida y coherente mientras se esperan los
resultados de la revisión de la directiva de servicios de pago, cuyo objetivo es crear unas normas de pago en la UE que resulten más seguras, competitivas
y sencillas.
Geoffroy Goffinet, de la unidad de protección del consumidor de la ABE, explicó que: “las directrices de la ABE sobre pagos por Internet ofrecen una
base legal para alcanzar un nivel similar en todos los PSP de la UE. A través de este trabajo, la ABE pretende fomentar el desarrollo del comercio
electrónico en la UE al tiempo que garantiza a los consumidores una protección adecuada”.
Los PSP también tendrán que ofrecer asistencia y asesoramiento a los clientes en relación con el empleo seguro de los servicios de pago por Internet.
En especial, tendrán que activar programas de concienciación de los clientes para asegurarse de que los usuarios comprenden los riesgos y las prácticas
recomendadas en cuanto a los pagos por Internet.
En relación con la protección de los datos de los consumidores, las directrices prevén que los PSP que ofrezcan servicios de pago mediante tarjeta
a comerciantes electrónicos les recomendarán que no almacenen información de pago confidencial o les solicitarán que adopten las medidas necesarias
para proteger dicha información. Los PSP también tendrán que llevar a cabo comprobaciones periódicas y, en caso de que descubran que un comerciante
electrónico que gestiona información de pago confidencial no dispone de las medidas de seguridad necesarias, deberán emprender las acciones necesarias
para hacerlo cumplir como obligación contractual o rescindir el contrato.
Se espera que todas las autoridades competentes de la UE apliquen estas directrices mediante su incorporación en las prácticas de supervisión
y la modificación del marco legal o los procesos de supervisión según proceda.
Nota para los editores
Estas directrices ofrecerán una base legal sólida para la seguridad de los pagos por Internet de todos los Estados miembros de la UE durante unos años,
mientras se termina de redactar la revisión de la Directiva sobre servicios de pago (conocida como DSP 2). En octubre de 2014 se realizó una consulta
sobre la implementación de estas directrices.
Este trabajo de la ABE es el resultado de una colaboración con el Banco Central Europeo (BCE) para aumentar la seguridad de los pagos minoristas y se
desarrolló según las recomendaciones realizadas en enero de 2013 por el Foro Europeo sobre la Seguridad de los Pagos Minoristas (SecuRe Pay). SecuRe
Pay se creó en 2011 como una cooperación voluntaria entre supervisores de proveedores de servicios de pago (PSP) y controladores de sistemas de pago
e instrumentos/esquemas de pago de la UE/zona económica europea con el objetivo de facilitar la transmisión de información y la comprensión de la
seguridad de los instrumentos y los servicios de pago electrónico.
Contactos de prensa:
Sra. Franca Rosa Congiu
Correo electrónico: press@eba.europa.eu - Tel.: +44 (0) 207 382 1772
Copyright © 2015 CA. Todos los derechos reservados. El material que se incluye en este documento es meramente informativo. Ninguna parte del contenido de este documento se ofrece o
se puede considerar de forma razonable como asesoramiento jurídico. No actúe en virtud de la información contenida en este documento ni se base en ella.
4
Descargar