La Autoridad Bancaria Europea (también conocida como EBA por sus siglas en inglés), que es un organismo de la UE cuya misión consiste en regular y supervisar el sector banquero, ha promulgado una serie de guías sobre la seguridad en los pagos en Internet.
Entre otras muchas cosas, las nuevas instrucciones [PDF] parece demandar que los proveedores de servicios de pago (PSPs) usen el sistema de autenticación de dos pasos para verificar la identidad de los clientes en las compras en Internet.
La EBA comenzó a trabajar en esta guía en octubre, comenzando un periodo de consultas para recabar información de bancos y otras instituciones involucradas en las transferencias de dinero online.
El principal objetivo son los PSPs, empresas que se encuentran entre los bancos y las webs y que facilitan las transferencias de dinero, por ejemplo PayPal o WorldPay.
La respuesta de los PSPs fue que esperan a emitir unas directivas hasta que tuvieran su propia reunión sectorial en 2016 o 2017. Sin embargo la EBA se decidió a sacar sus propias recomendaciones ya que les parecía esperar demasiado.
La mayor parte de estas recomendaciones tienen que ver con los aspectos técnicos de la seguridad. Pero también se centran en el tipo de información que se debe ofrecer al usuario.
Uno de los puntos más interesantes es la sección siete en la que se recomienda, con un muy pequeño margen de maniobra el uso una fuerte autenticación del usuario. Esta la definen como el uso de dos de los siguientes elementos:
– Algo que el usuario conoce (contraseña, pin, etc)
– Algo que solo el usuario tiene (un teléfono, una llave USB identificadora, etc)
– Algo que el usuario es (algún aspecto biométrico)
Estos dos elementos tienen que ser independientes por lo que en la práctica la EBA está recomendando la autentificación de dos pasos para las transacciones online.
Dado que esta guía entrará en vigor en agosto de 2015, no hay mucho tiempo para que las empresas encargadas de implementarlas lo puedan llevar a cabo. Por lo tanto no era de extrañar su reticencia a que estas vieran la luz.
Aunque este documento no deja de ser unas meras recomendaciones para el sector, por lo menos servirán para marcar el camino en las próximas mejoras y para recordar a los responsables de los pagos online de emplear todas las herramientas existentes para asegurar nuestros pagos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario