Decorative
Glosario
Tabla de contenido
Enlace de encabezado de texto

Cumplimiento de PSD2

PSD2 (Directiva de Servicios de Pago) es una normativa revisada de la UE que ha transformado la seguridad de los pagos en línea y el acceso a los datos.

Su objetivo principal fue crear un mercado de pagos más eficiente e integrado y dar a los consumidores un mayor control sobre sus datos. Al promover la competencia y la innovación en la industria FinTech, la PSD2 garantiza una economía digital más segura y dinámica.

Si bien PSD2 es una directiva europea, afecta a empresas de todo el mundo. Con el gobierno y la seguridad de los datos en el centro de PSD2, compañías como Cyera son clave para ayudar a las organizaciones a cumplir y generar confianza entre sus consumidores.

¿Qué es PSD2 y por qué se introdujo?

La PSD1 se introdujo en 2007 para armonizar los servicios de pago en la UE y hacer más eficientes las transacciones transfronterizas. Sin embargo, el sector de pagos se digitalizó rápidamente y la PSD1 dejó de ser suficiente para mantenerse al día con los cambios.

La PSD2, introducida en 2016 y aplicada a partir de enero de 2018, modernizó estas reglas para alinearlas con la era digital.

Los objetivos clave de PSD2 son:

  • Brindar a los consumidores mayor control sobre sus datos financieros personales y protecciones más sólidas contra transacciones no autorizadas y comisiones bancarias.
  • Mejora la seguridad de los datos mediante la Autenticación Reforzada de Clientes (SCA).
  • Habilita las prácticas de banca abierta con servicios de terceros
  • Fomentar la innovación y la competencia permitiendo que proveedores externos accedan a la infraestructura bancaria.
  • Estandariza las regulaciones de pago en toda la UE, haciendo que los pagos transfronterizos sean simples y eficientes.

Aunque la PSD2 es una regulación de la UE, ha tenido un efecto dominó a nivel global. Cualquier empresa que procese pagos con miembros de la UE o maneje datos financieros de la UE debe cumplirla.

Los requisitos fundamentales para el cumplimiento de PSD2

La PSD2 incorpora varios requisitos obligatorios para cualquier proveedor de servicios de pago que opere dentro de la UE.

Autenticación Reforzada de Clientes

SCA requiere que las pasarelas de pago les pidan a sus usuarios verificar su identidad usando al menos dos factores independientes, a menudo llamados autenticación de dos factores o multifactor.

Los proveedores deben solicitar al menos dos de los siguientes:

  • Algo que el usuario sabe, como una contraseña o los protocolos 3D Secure 2
  • Algo que tienen, como un teléfono con verificación por SMS
  • Algo que son, como datos biométricos tales como huellas dactilares o reconocimiento facial

Banca abierta y acceso de terceros (TPP)

Se exige a los bancos que abran sus API para permitir que proveedores terceros autorizados accedan a su infraestructura financiera (con consentimiento).

Por ejemplo, los proveedores de servicios de información de cuentas (AISP) pueden usar las API para acceder a los detalles de las cuentas, y los proveedores de servicios de iniciación de pagos (PISP) pueden iniciar pagos en nombre de un usuario.

Esto habilita servicios como la iniciación de pagos y la agregación de cuentas por parte de las empresas FinTech. 

Transparencia de datos y claridad en las tarifas

Todos los servicios y productos financieros ahora deben presentar información transparente sobre las comisiones por transacción y las tasas de conversión de divisas.

Ahora están prohibidos los recargos para cosas como la emisión de boletos, los servicios de entrega y los viajes, así como para las tarjetas de crédito y débito de consumidores de la UE.

Además, los acuerdos con los usuarios deben ser claros y fáciles de entender para los consumidores.

Gestión de Quejas y Derechos del Consumidor

Ahora se requiere que las empresas resuelvan problemas de manera oportuna y regulada. Debe haber procedimientos transparentes para manejar quejas, con opciones accesibles de resolución de disputas disponibles.

Las empresas deben mantener registros de cumplimiento detallados para demostrar su apego.

¿Quiénes deben cumplir con PSD2?

Muchas empresas globales suponen erróneamente que la PSD2 solo aplica a los países ubicados dentro del Área Económica Europea (EEA). Sin embargo, no es así. 

Básicamente, PSD2 abarca todo lo siguiente:

  • Empresas que procesan pagos dentro de la UE.
  • Empresas globales con usuarios u operaciones basados en la UE.
  • Fintechs, proveedores de pagos, mercados en línea y plataformas de comercio electrónico.
  • Incluso las empresas con sede en EE. UU. deben cumplir si manejan datos de consumidores de la UE.

Por ejemplo, una empresa de comercio electrónico de Estados Unidos que vende productos al mercado alemán debe implementar el cumplimiento de la PSD2 para esas transacciones.

Cómo afecta la PSD2 a las empresas

La PSD2 puede afectar las operaciones diarias de una empresa de varias maneras:

  • Mejoras de seguridad: Las empresas deben implementar SCA para proteger los datos de inicio de sesión y de las transacciones de los clientes. Por lo general, esto requiere software y procedimientos actualizados.
  • Inversiones en infraestructura: Las empresas deben crear API o actualizar las existentes, así como implementar gateways seguros. También deben implementar sistemas para rastrear y reportar el cumplimiento en tiempo real.
  • Cambios en la experiencia del cliente: Los pasos adicionales de autenticación pueden generar fricción para los clientes, por lo que es posible que las páginas de pago deban ajustarse para garantizar una buena experiencia del cliente.
  • Cambios estratégicos: Los bancos tradicionales deben adaptarse a un ecosistema más abierto y quizá necesiten colaborar con, o competir contra, las FinTech.

Aunque estas cambios pueden parecer inconvenientes para una empresa, los resultados ya están marcando una diferencia significativa.

Si bien Estados Unidos sigue registrando los niveles más altos de pérdidas relacionadas con el fraude, la UE (gracias a la implementación de la PSD2) ha reducido las suyas en 40% - 60%.

Desafíos comunes para lograr el cumplimiento

Al implementar el cumplimiento de PSD2, las empresas financieras pueden enfrentar obstáculos significativos que abarcan las áreas técnicas, regulatorias y operativas.

Los temas más desafiantes giran en torno a:

  • Sistemas heredados que no se integran bien con las API modernas.
  • Equilibrar la experiencia del usuario con las mejoras de seguridad, que pueden impactar las tasas de conversión.
  • La manera correcta de educar a los consumidores sobre los nuevos procedimientos de autenticación.
  • Supervisar el riesgo de proveedores externos (TPP), realizar la debida diligencia y garantizar el manejo correcto de los datos.
  • Aumento de los costos de cumplimiento, especialmente para organizaciones pequeñas o medianas.

Mejores prácticas para mantener el cumplimiento

Si aún no cumples con PSD2, aquí tienes una lista de verificación de lo que debes hacer:

  • Adopta herramientas de autenticación contextuales y de comportamiento para SCA.
  • Incorpora biometría conductual para reducir la fricción para los clientes sin comprometer la seguridad.
  • Proporciona puertas de enlace de API para proveedores externos que puedan ajustar las medidas de seguridad en tiempo real y que usen una arquitectura de confianza cero.
  • Tokeniza o anonimiza los datos sensibles de los clientes para minimizar su exposición.
  • Configura sistemas de monitoreo continuo para la gestión y el análisis de riesgos. Por ejemplo, Cyera proporcionará visibilidad completa de la clasificación de datos y señalará automáticamente cualquier riesgo.
  • Revela claramente todas las comisiones por transacción, las tasas de conversión y los términos para el usuario a los consumidores.
  • Audita periódicamente a los socios y las integraciones de terceros.
  • Regístrate ante las autoridades regulatorias correspondientes y mantente al día con los requisitos cambiantes de PSD2.
  • Educa a los usuarios mediante una incorporación centrada en la UX.
  • Capacita al personal sobre las obligaciones de PSD2.

Prepararse para PSD3 y las futuras regulaciones de pagos

La PSD2 ciertamente no es la última iteración de este marco regulatorio. La PSD3 y las nuevas Regulaciones de Servicios de Pago están a la vuelta de la esquina, y debes estar preparado.

Para prepararte para estos cambios, un marco ágil y de cumplimiento es esencial.

Aquí es donde Cyera puede intervenir y convertirse en su socio a largo plazo para abordar estos requisitos en evolución. Gracias a su tecnología adaptable, Cyera prepara su negocio para el futuro al proporcionar marcos flexibles, gobierno de datos en tiempo real y automatización que escala conforme a sus requisitos.

Usar un sistema como Cyera transforma a tu organización de un cumplimiento reactivo a una resiliencia proactiva que puede adaptarse rápidamente a entornos regulatorios cambiantes.

Implicaciones globales: la PSD2 fuera de la UE

No podemos enfatizarlo lo suficiente: incluso si tu organización no está geográficamente ubicada dentro del EEE, tú debes aun así cumplir con PSD2 si haces negocios con consumidores en esta parte del mundo.

Los ciudadanos de la UE compran a nivel global, y si tu sitio o app les da servicio, debes cumplir.

Además de brindar un mal servicio a tus clientes, las implicaciones de incumplir pueden ser graves. Te expones a multas, interrupciones en los pagos y, eventualmente, daño reputacional por ser una empresa poco confiable.

Alinear tu negocio con las mejores prácticas globales es la mejor manera de adelantarte a la competencia y protegerte de las repercusiones por el incumplimiento normativo.

Cómo Cyera respalda el cumplimiento de PSD2

Para darle a tu organización la mejor ventaja inicial, es fundamental invertir en tecnología moderna que pueda manejar y mantenerse al día con los cambios frecuentes en torno a PSD2.

Cyera es tu aliado para hacer que esto suceda. Su innovadora tecnología puede:

  • Clasifica, supervisa y gobierna datos financieros sensibles en tiempo real en entornos de nube, locales e híbridos.
  • Supervisa continuamente el acceso a datos de terceros y los flujos de API.
  • Automatiza las verificaciones de cumplimiento y envía alertas sobre posibles infracciones antes de que escalen.
  • Proporciona controles ágiles para entornos regulatorios cambiantes.
  • Educa a las partes interesadas con tableros accesibles e ideas analíticas profundas.

En última instancia, Cyera te ayuda a crear una estrategia adaptable y a largo plazo para el cumplimiento y la innovación, sin importar los cambios que ocurran en otras partes del mundo.

Convierte el cumplimiento de PSD2 en una ventaja estratégica

Procura ver el cumplimiento de la PSD2 menos como una carga regulatoria y más como una oportunidad para modernizar los sistemas y aumentar la confianza y la lealtad entre tus consumidores. 

Con el socio adecuado, puedes navegar fácilmente por las regulaciones cambiantes y preparar tu negocio para el futuro a largo plazo.

Te invitamos a explorar las soluciones de Cyera para servicios financieros y preparación para el cumplimiento.

Ponte en contacto con nosotros para programar una demostración y realizar una evaluación gratuita del riesgo de acceso a datos.

Analiza este artículo con IA:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Términos relacionados

Ley Sarbanes-Oxley (SOX)

La Ley Sarbanes-Oxley (SOX) establece normas de auditoría y contabilidad financiera para las empresas que cotizan en bolsa.

Más información →
GLBA

La Ley Gramm-Leach-Bliley (GLBA) obliga a las instituciones financieras a proteger y dar transparencia a la información personal no pública (NPI).

Más información →