Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La directiva de la UE que abre las API bancarias a proveedores externos mientras exige Certificados Calificados de Autenticación de Sitios Web (QWACs) y Sellos Calificados para comunicaciones seguras de banca abierta.
PSD2 (Directiva 2015/2366) revolucionó los pagos europeos al exigir a los bancos que abran sus API a Proveedores de Terceros (TPP) con licencia. Esta directiva creó el ecosistema de banca abierta, permitiendo servicios de información de cuentas, servicios de iniciación de pagos y instrumentos de pago basados en tarjetas de terceros.
El Normas Técnicas Regulatorias (RTS) sobre la autenticación fuerte del cliente exigen el uso de QWACs bajo eIDAS para la identificación de TPP. El artículo 34 de las RTS exige que cada llamada API entre bancos y TPPs debe autenticarse usando certificados cualificados — creando una demanda masiva de PKI en el sector financiero europeo.
Con miles de TPP operando en toda la UE, cada una requiriendo QWAC y Certificados de Sello Electrónico Calificado (QSealC), PSD2 se ha convertido en uno de los mayores impulsores de la emisión de certificados cualificados y la gestión del ciclo de vida en el mercado europeo. Se espera que los próximos PSD3 y PSR se basen en estos fundamentos.
Los Proveedores de Terceros deben usar Certificados de Autenticación de Sitios Web Calificados para identificarse al acceder a las API bancarias, garantizando comunicaciones de banca abierta confiables y autenticadas.
Los proveedores de servicios de pago deben usar Certificados de Sellos Electrónicos Calificados para firmar mensajes API, garantizando el origen e integridad de los datos intercambiados entre instituciones financieras.
Las transacciones de pago requieren autenticación multifactor usando al menos dos de tres elementos: conocimiento, posesión e inherencia — sustentado por una infraestructura segura basada en certificados.
Todas las comunicaciones entre bancos y proveedores externos deben usar canales seguros y cifrados con autenticación mutua para proteger los datos de pago en tránsito.
Los proveedores externos deben registrarse ante las autoridades nacionales y obtener certificados cualificados que contengan su número de autorización, roles y detalles de la NCA para el acceso a la API.
Los bancos deben validar los certificados TPP en tiempo real para cada llamada API, verificando el estado de revocación mediante OCSP o CRL para garantizar que solo los proveedores autorizados accedan a los datos de la cuenta.
La Directiva de Servicios de Pago revisada (PSD2) se adoptó en noviembre de 2015, obligando a APIs de banca abierta y a una fuerte autenticación del cliente.
Los Estados miembros transponen la PSD2 a la legislación nacional antes de enero de 2018. Los bancos deben comenzar a preparar APIs para el acceso de proveedores externos.
Las Normas Técnicas Regulatorias sobre Autenticación Reforzada del Cliente entran en vigor en septiembre de 2019, obligando QWACs para la identificación de TPP.
La Comisión Europea propone la PSD3 y el Reglamento de Servicios de Pago (PSR) en junio de 2023 para armonizar y reforzar aún más las normas de los servicios de pago.
Se espera que la nueva directiva PSD3 y la regulación PSR se finalicen, basándose en los fundamentos de PSD2's con protecciones mejoradas para pagos digitales.
PSD2 ha creado uno de los entornos regulatorios más intensivos en certificados de la UE. Aquí están las implicaciones críticas de PKI:
Con miles de TPP en toda la UE que requieren QWACs, PSD2 impulsa la emisión a gran escala de certificados cualificados — exigiendo una infraestructura robusta de los Proveedores de Servicios de Confianza.
Cada mensaje API intercambiado entre bancos y TPP debe estar firmado con Certificados de Sello Electrónico Calificado, garantizando la integridad de los datos y la no repudio en las transacciones de pago.
Los bancos deben validar los certificados de los TPP en tiempo real para cada llamada API mediante OCSP o CRL, lo que requiere una infraestructura de validación de alta disponibilidad que pueda manejar millones de verificaciones diarias.
Gestionar la renovación y rotación de certificados en miles de relaciones con TPP requiere una gestión automatizada del ciclo de vida para evitar fallos de autenticación API y interrupciones del servicio.
Emisión de QWAC y QSealC — Stream proporciona la infraestructura PKI soberana para emitir QWACs y QSealC como una herramienta de Proveedor de Servicios de Confianza calificado, con protección de claves respaldada por HSM y seguridad certificada por ANSSI.
Gestión del ciclo de vida a escala bancaria — Horizon gestiona el ciclo de vida de miles de certificados bancarios, proporcionando una vista centralizada de todos los QWACs y QSealC en su ecosistema TPP.
La renovación automática evita fallos de API — La renovación y rotación automática de certificados evita fallos de autenticación de API que podrían interrumpir los servicios de pago y afectar la experiencia del cliente.
OCSP/CRL para validación en tiempo real — Stream ofrece servicios de OCSP y CRL de alta disponibilidad para la validación de certificados en tiempo real, respaldando los millones de llamadas diarias a API en el ecosistema PSD2.
