La solución de Comunicación Bancaria de SAP BCM es una pieza central del procesamiento de pagos/extractos, lo que conlleva la inclusión de un conjunto de aplicaciones interrelacionadas, dotando de un mayor grado de complejidad al mapa de sistemas de una empresa.

Son varios los factores objeto de análisis en el marco de segurización de un modelo de comunicación. Algunos por ser de aplicación general no dejan de ser menos importantes:

1. Correcta segregación de roles y funciones en el marco de actualización de datos maestros de terceros y poderes societarios.
2. Inclusión de un doble factor de verificación del proceso de firma de la cadena de aprobación. No limitarlo única y exclusivamente a la introducción de usuario y password de SAP.
3. Auditar y configurar un proceso de doble verificación sobre las modificaciones realizadas desde IT en el marco de los cuadernos bancarios.
4. Limitar el acceso a directorios de carpetas que contienen los ficheros de pago, garantizando la privacidad de información sensible.
5. Segurizar los ficheros de pago durante su permanencia temporal en directorios de carpetas y durante los procesos de comunicación del pago previos a la llegada a la red de mensajería.

No hace mucho tiempo atrás las razones que justificaban la implantación de un modelo de comunicación bancaria eran primordialmente de carácter operativo. Se debía fundamentalmente al establecimiento de un sistema que permitiera la conectividad directa entre las aplicaciones corporativas, responsables de la tesorería de pago y cobro, y las entidades bancarias con el fin de automatizar dichos procesos.

Los pilares básicos sobre los que se sustentaba esta decisión eran cuatro:

• Automatización y racionalización del mapa bancario mediante la utilización de una plataforma única para las trasmisiones de intercambios de ficheros.
• Solución escalable de forma rápida y sencilla. Colaboradores locales o extranjeros.
• Reducción de costes de mantenimiento, homogeneizando y automatizando los procesos de firma independientes a productos específicos de e-banking.
• Aprovechamiento de la movilidad para la realización del proceso de autorización de los pagos sin necesidad de firma física. De esta manera se reducen los retrasos en la firma por ausencia física de los responsables y se monitorizan todos los pagos realizados.

Con independencia del modelo de conectividad, BCM + Service Bureau o BCM + Red Financiera (EDITRAN/SWIFT), los beneficios esperados en términos de eficiencia operativa, automatización y eliminación del tratamiento manual en el intercambio de información, suponían factores que de forma implícita garantizaban la mejora en la seguridad del circuito de pago. Si bien en ciertas ocasiones había cierta preocupación por la integridad de la información intercambiada, esta se limitaba al último eslabón de la cadena de comunicación Red-Banco.

Con la llegada de la automatización, la responsabilidad de la información intercambiada entre empresa y banco ha ido pasando paulatinamente de los departamentos de Tesorería al equipo de IT, más concienciado en la necesidad de segurización de procesos y el intercambio de información.

SAP facilita a través del módulo de integración de procesos SAP PI, una funcionalidad que permite el cifrado a través de PGP sin necesidad de recurrir a proveedores externos, ni ampliar el abanico de integraciones con otros aplicativos no SAP.

PGP es el acrónimo de Pretty Good Privacy (Privacidad Bastante Buena), un programa desarrollado por Phil Zimmermann que sirve para cifrar contenido, acceder a él mediante una clave pública y firmar documentos digitalmente para autentificarlos. PGP constituye una herramienta imprescindible para el cifrado de toda clase de archivos, y a pesar de sus más de 20 años de vida, sigue siendo una tecnología de cifrado de las más seguras.

Para aquellas empresas que ya utilizan el mediador de procesos de SAP el salto hacia la digitalización y encriptación de la información está al alcance de la mano en unos tiempos de implementación muy reducidos.

También es necesario destacar que algunos bancos comienzan a realizar estas peticiones en el marco de la nueva normativa reguladora PSD2, que entrará en vigor a partir de enero 2018 y que exigirá a los bancos seguridad adicional en los ficheros de pagos recibidos de los clientes.

De modo que lo que a día de hoy constituye una iniciativa propia de las empresas en el marco de seguridad puede convertirse en un futuro a corto plazo en un requerimiento de regulación normativa y legal.