Directrices sobre medidas para la gestión de riesgos operativos y de seguridad bajo PSD 2

La Autoridad Bancaria Europea (EBA, por las siglas inglesas) ha publicado el 12-12-2017 sus directrices relativas a las medidas para la gestión de los riesgos operativos y de seguridad, al amparo del mandato recibido bajo el artículo 95.3 de la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD 2).

Bajo PSD 2, los proveedores de servicios de pago (PSP) deben establecer un framework con medidas paliativas y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago que prestan.

Como parte de ese marco de medidas y mecanismos, los PSP deben establecer y mantener procedimientos eficaces de gestión de incidentes, en particular para la detección y la clasificación de los incidentes operativos y de seguridad de carácter grave.

Las directrices abordan, entre otros, los siguientes aspectos:

1. Gobernanza del marco de gestión de riesgos operativos y de seguridad. A este respecto, por ejemplo, las directrices establecen que las medidas de seguridad deben ser objeto de revisión por auditores con experiencia en pagos y en tecnologías de la información.
2. Medidas de protección de la integridad y la confidencialidad de los datos y sistemas, la seguridad física y los controles de acceso.
3. Detección y notificación de incidentes operativos o de seguridad y gestión de la continuidad del negocio.
4. Pruebas de las medidas de seguridad implantadas.
5. Formación de los empleados de los PSP en materia de seguridad.
6. Gestión de las relaciones con los usuarios de servicios de pago (ofreciéndoles, por ejemplo, la posibilidad de recibir alertas que les permitan detectar usos fraudulentos en sus cuentas).