Autenticación de software: "La tecnología y las aplicaciones modernas son un valor agregado para afianzar la lealtad del cliente", dice el Banco de Chipre

Jeannine Mulliner, 16 de April de 2019
Bank of Cyprus app

Les presentamos la historia de cómo el Banco de Chipre cumplió con los requisitos de la SCA de la PSD2 y mejoró la experiencia del cliente con la autenticación móvil integrada y el enlace dinámico conforme a la PSD2 (también se denomina firma de transacciones o autorización de transacciones). Este artículo es un resumen del estudio de caso completo. Para obtener más información sobre el banco y para conocer los diagramas de flujo de trabajo y las demostraciones en video, lea el estudio de caso.  

El Banco de Chipre ha distribuido tokens de hardware Digipass® a sus clientes durante años. Sin embargo, en un escenario en que los clientes empiezan a adoptar las transacciones móviles, el banco comenzó a poner en práctica la autenticación de software y las contraseñas de un solo uso (OTP) específicas para cada transacción, de conformidad con la Directiva de servicios de pago (PSD2) enmendada.

Debido a sus autenticadores de hardware, el Banco de Chipre ya cumplía con el requisito de la autenticación de dos factores (2FA) para los inicios de sesión a la cuenta. Sin embargo, el banco no contaba con la función de autenticación de software. Dado que aproximadamente el 50 % de todas las transacciones bancarias digitales se realizan a través de dispositivos móviles, esto se había convertido en una necesidad. El banco tuvo que encontrar un mecanismo de autenticación más fácil y práctico en el que los clientes ya no tuvieran que llevar consigo su(s) dispositivo(s) de hardware.

El desafío del Banco de Chipre

Para el banco, el desafío no era sustituir los dispositivos de hardware por la autenticación de software. La verdadero problema era cómo cumplir con uno de los requisitos clave de la PSD2, el enlace dinámico. El requisito de realizar un enlace dinámico (también denominado firma de transacciones o autorización de transacciones) para autenticar una transacción financiera es uno de los temas más debatidos de las normas técnicas reglamentarias (RTS) de la PSD2 sobre autenticación fuerte de clientes (SCA) y comunicación común y segura (CSC). Debido a que las RTS son neutrales en cuanto a la tecnología, no estipulan un método específico para implementar el enlace dinámico. Sin embargo, las RTS especifican que, en el caso de una transacción de pago, el código de autenticación debe estar enlazado dinámicamente con el monto y el beneficiario, lo que implica que este código debe cambiar si se modifica el monto o el beneficiario durante la transacción. Además, la información de pago debe intercambiarse a través de un canal seguro y debe mostrarse claramente al usuario.

El equipo sabía que debía abordar la PSD2 no solo desde el punto de vista de la conformidad, sino también para optimizar la experiencia del usuario. El banco quería evitar una situación en la que los clientes que no tuvieran mucha experiencia tuvieran que alternar entre la aplicación del Banco de Chipre y una aplicación de autenticación independiente.

"Desde el día en que redactamos las especificaciones funcionales con la cooperación del Departamento de TI del banco y la guía de nuestro Departamento de Seguridad de la Información, y otros departamentos del banco, el principal requisito era que el autenticador de software estuviera totalmente integrado con la aplicación móvil del Banco de Chipre", dice Toula Efthymiadou. Dentro de la división de Canales de Servicio Digitales del banco, Toula dirige el Departamento de Soluciones de Negocios de los Canales de Servicio Digitales. Gestiona el desarrollo de negocios para los canales de banca en línea, aplicaciones móviles y cajeros automáticos, y también es responsable de la tecnología de autenticación de clientes.

"El concepto clave es ofrecer una experiencia de cliente fluida y fácil", explica. "Era fundamental que el cumplimiento de la PSD2 no impusiera una carga al cliente".

CASO DE ESTUDIO

Estudio de caso del Banco de Chipre

Conozca cómo el Banco de Chipre implementó la autenticación de software y los códigos de acceso únicos (OTP) específicos de la transacción para cumplir con PSD2.

Descargar ahora

La solución del Banco de Chipre

Tras varias consultas sobre las RTS de la PSD2 y demostraciones que confirmaron que las soluciones de OneSpan cumplían con los requisitos, el Banco de Chipre eligió la autenticación de software de OneSpan, además de la opción de notificaciones push y la firma de transacciones visual de Cronto®, todo ello integrado a través de los SDK de OneSpan Mobile Security Suite.

Para iniciar sesión en la cuenta y establecer un enlace dinámico, el banco decidió incorporar un software de autenticación integrado directamente en la aplicación de banca móvil del Banco de Chipre. Para los clientes que no utilizan la aplicación de banca móvil, pero que igualmente realizan pagos en línea, el banco ofrece la posibilidad de recibir el código de autenticación de la contraseña de un solo uso (OTP) a través de un SMS (en línea) o de escanear un código de Cronto (sin conexión).

OneSpan Cronto

La tecnología de Cronto utiliza un criptograma de color que representa los datos cifrados de la transacción. Cuando el usuario quiere iniciar una transacción, realiza lo siguiente:

  1. Introduce los datos de pago en la aplicación de banca en línea en el navegador. Luego, el servidor bancario genera el criptograma de color a partir de los datos de pago y lo muestra en el navegador.
  2. Escanea el criptograma con la cámara de su dispositivo móvil. El dispositivo decodifica el criptograma, descifra los datos de pago y se los muestra al usuario como texto legible.
  3. Se autentica en su dispositivo, y este calcula el código de autenticación según los datos de pago mediante una clave criptográfica almacenada en el dispositivo. (Nota: a diferencia de otras soluciones, los criptogramas de Cronto solo los puede leer el dispositivo autorizado de un usuario autorizado. Ningún otro dispositivo puede leer el código).

Este enfoque cumple con todos los requisitos de enlace dinámico establecidos en las normas técnicas reglamentarias de la PSD2.

Lanzamiento piloto en tres meses

El banco subcontrató la integración con su aplicación de banca móvil, y su equipo de TI se encargó de todo lo demás.

"Anticipamos una larga implementación porque, en el aspecto comercial, elaboramos un documento de especificaciones funcionales de 100 páginas. Era muy detallado y explicaba paso a paso exactamente lo que queríamos que el cliente experimentara en cada situación", dice Toula.

El equipo de TI dio prioridad a este proyecto y comenzó a trabajar en él intensamente. Como resultado, el proyecto se lanzó (en piloto) en tres meses (octubre de 2016 - enero de 2017). "Tres meses desde el comienzo de la implementación hasta el lanzamiento. Nos sorprendió la rapidez con la que pudimos realizarlo".

La autenticación de un pago hecho a través de la aplicación de banca móvil

Aceptación por parte de los clientes de entre 30 % y 40 % hasta la fecha

"Hasta ahora el uso de la autenticación integrada está entre 30 % y 40 %. Las personas que lo han comprado no quieren volver a usar un dispositivo de hardware. Una vez que prueban la autenticación del software, se sienten muy cómodas. Es fluida y muy fácil de usar".

Si bien el banco recomienda a los clientes que sustituyan sus tokens de hardware por autenticación de software, muchas transacciones aún se firman (es decir, se enlazan dinámicamente) por medio de la OTP de los autenticadores de hardware. "El uso de aplicaciones móviles está ganando terreno, pero los primeros clientes en utilizar el método de software son los usuarios que cuentan con conocimientos avanzados de tecnología", dice Toula. "A partir de los comentarios de los clientes que se obtienen a través del centro de llamadas, los particulares prefieren la experiencia de autenticación de software integrado. En general, en términos de mayor aceptación, se prefiere la autenticación de software, seguida del código de Cronto".

Otra ventaja es que los clientes consideran que el Banco de Chipre es moderno porque permite el uso de tecnologías como Touch ID y FaceID. "Lo que consolida al Banco de Chipre como líder en el mercado son hechos como contar con Touch ID o FaceID en los dispositivos. La autenticación de software también mejoró esta percepción. Cuando incorporamos estas tecnologías, recibimos comentarios positivos de los clientes. Contar con tecnología y aplicaciones nuevas y modernas es un valor agregado para afianzar la lealtad del cliente".

Durante 20 años, Jeannine ha estado escribiendo sobre tecnología y cómo aplicarla para resolver los desafíos cotidianos. En su papel de Directora de Contenido en OneSpan, Jeannine lidera un equipo de escritores y desarrolladores de contenido enfocados en ayudar a las instituciones financieras y