Capítulo 5
Estabilidad y seguridad
¿Por qué son importantes la estabilidad y la seguridad en los pagos por banca abierta?
La banca abierta entró en vigencia en Europa en 2018 y, aunque la tecnología que impulsa los pagos por banca abierta ha avanzado de forma significativa en todo este tiempo, se perfecciona y se mejora constantemente.
Por lo tanto, si quieres ofrecer pagos por banca abierta a tus clientes, es vital que encuentres un proveedor con API estables (es decir, API que funcionen prácticamente siempre) y una buena seguridad, para que ni tú ni tus clientes se enfrenten al riesgo de los delitos informáticos. Un proveedor debe realizar pruebas, depuraciones informáticas y mantenimiento tanto de sus propios productos como de las API de los banco a los que esté conectado, para que sepas que tu nuevo método de pago seguirá ofreciendo una buena experiencia para el ordenante con el paso del tiempo.
A la hora de evaluar la estabilidad, ten en cuenta:
Página detallada del estado de la API
El proveedor de pagos que consideres debe contar con una página del estado de las API disponible de forma pública, donde encontrarás el detalle del tiempo de actividad de cada API. Algunos proveedores muestran el tiempo de actividad en intervalos de una hora, mientras que otros lo muestran en intervalos diarios. También debes poder consultar el historial de actualizaciones del estado para tener una idea de la constancia que tienen las API del proveedor así como la duración estimativa del tiempo de inactividad.
Pregunta a tu proveedor
¿Tienes una página del estado de las API pública?
Mínimo tiempo de inactividad
Incluso con la más estable de todas las API, el tiempo de inactividad puede y suele suceder. Pero tu proveedor debe ser capaz de comunicar con claridad qué fue lo que generó un periodo particular de inactividad. Por ejemplo:
¿Fue un mantenimiento programado o un problema inesperado?
¿Cuánto tiempo se tardó en descubrirlo?
¿Cuánto tiempo se tardó en solucionarlo?
¿A cuántos clientes finales afectó?
¿Cómo se les informó a los clientes finales sobre el problema?
¿Qué se ha hecho para prevenir este tipo de problema en el futuro?
Pregunta a tu proveedor
¿Cuál fue el tiempo de actividad en el anterior [intervalo]?
Metodología clara para probar y supervisar las API bancarias
Si bien tu proveedor puede controlar la fiabilidad de su propio servicio, las API bancarias están fuera de su control directo. Y, como se explica en la sección Cobertura, los niveles de fiabilidad de estas pueden variar.
Dicho esto, tu proveedor debe establecer un proceso claro para probar las diferentes API bancarias a las que se conecta. Si un grupo específico de bancos (de un determinado país, por ejemplo) resulta indispensable para que el proceso de experiencia de pago sea un éxito rotundo, asegúrate de que tu proveedor envía grandes cantidades de solicitudes a través de esas API con regularidad y de que tiene un proceso claro para facilitar información a los bancos sobre cómo pueden mejorar.
Pregunta a tu proveedor
Cómo pruebas la calidad de las API bancarias y cómo informas los resultados de estas pruebas a los bancos?
Un programa de seguridad de la información estricto
Para garantizar la seguridad de tus datos financieros y los de tus clientes, tu proveedor de pagos por banca abierta deberá contar con lo siguiente:
Un programa coherente de modelización de amenazas que mitigue cualquier posible vulnerabilidad
Un equipo de seguridad específico
Un programa de seguridad que se base en una norma reconocida (por ejemplo, ISO27001)
Auditoría externa independiente para su programa de seguridad
Un protocolo claro para la gestión de versiones
Supervisión de cualquier tipo de desarrollo externo, con el mismo nivel de pruebas que para los equipos internos
Un programa independiente, a cargo de terceros, de pruebas de acceso externo
Aunque es difícil señalar un solo aspecto de la seguridad de la información como el más importante, el nivel de coherencia en las respuestas de tu proveedor te dará una idea de la fiabilidad de su enfoque de seguridad.
Pregunta a tu proveedor
¿Cómo gestionas la seguridad de la información? Cuéntame sobre tu programa de desarrollo, seguridad y operaciones.
Los sistemas de TrueLayer funcionan con más de un 99,9% de tiempo de actividad, y puedes consultar las actualizaciones del estado de todas las API en nuestra página de estado. Sometemos nuestras conexiones a las API bancarias de toda Europa a pruebas constantes con grandes cantidades de solicitudes para detectar errores e informar de esos problemas a los bancos.
Nos ocupamos de todo el trabajo de desarrollo a nivel interno y contamos con un equipo dedicado a la seguridad de la información. También contamos con la certificación ISO27001.
Trabajamos con un turno de guardia técnica las 24 horas, los 7 días de la semana, con ingenieros que se ocupan del desarrollo de nuestros sistemas y de la disponibilidad de nuestro servicio. Si durante la monitorización se detectase un posible problema con uno o más de nuestros sistemas, se avisa automáticamente al técnico de guardia para que efectúe un análisis y encuentre una solución. Disponer de esta cobertura de tiempo completo garantiza que el impacto en caso de interrupción del servicio sea mínimo y que los problemas se resuelvan lo antes posible.