DORA para Servicios de Pago —
PSD2 + Resiliencia Digital
para PSPs y entidades de pago
RAG especializado en DORA para proveedores de servicios de pago (PSP). Entidades de pago, procesadores y adquirentes: clasifica tu entidad, gestiona incidentes ICT ante Banco de España y cumple arts. 6-28 DORA.
Entidades de pago · PSP licencia PSD2 · Supervisión Banco de España + EBA
Los retos de DORA para proveedores de servicios de pago
Los PSPs ya cumplen con los requisitos PSD2 de seguridad y notificación de incidentes. DORA eleva significativamente el listón con un marco integral de gestión del riesgo ICT, plazos de notificación más estrictos y nuevas obligaciones con procesadores y redes de tarjetas.
PSD2 + DORA: doble marco de seguridad para PSPs
Los proveedores de servicios de pago ya cumplen con los arts. 95-96 PSD2 sobre autenticación reforzada (SCA) y notificación de incidentes. DORA añade una capa integral de gestión del riesgo ICT (arts. 6-14) sobre el marco existente, creando potenciales obligaciones de doble notificación que requieren coordinación cuidadosa.
El umbral de 30 minutos: cuando un fallo de pago es incidente DORA
Para servicios de pago, los RTS DORA definen umbrales de incidente grave: interrupción del servicio superior a 30 minutos, más del 10% de transacciones fallidas, pérdidas superiores a €100.000. Los PSPs deben tener monitorización en tiempo real para detectar inmediatamente eventos notificables bajo DORA.
Notificación al Banco de España en 4h: protocolo PSP
Los PSPs supervisados por el Banco de España deben notificar incidentes ICT graves en 4 horas. Los PSPs con operaciones en múltiples países enfrentan complejidad adicional: coordinación con los canales de notificación EBA si hay impacto transfronterizo y notificación simultánea a varias autoridades nacionales competentes.
Procesadores de pago y adquirentes como ICT crítico — art. 28
Los PSPs dependen de procesadores de pago (Worldline, Nexi, Redsys), redes de tarjetas (Visa, Mastercard) y adquirentes como proveedores TIC críticos de terceros. DORA art. 28 exige nuevos marcos contractuales con estos proveedores, incluyendo cláusulas de notificación de incidentes y planes de salida.
Resiliencia de infraestructura de pagos — BCP/DRP
La caída de la infraestructura de pagos impacta directamente a millones de consumidores y comerciantes. El RTO de los sistemas de procesamiento de pagos debe medirse en minutos, no en horas. DORA formaliza los requisitos BCP/DRP más allá de los estándares actuales de PSD2.
SEPA Instant y resiliencia 24/7/365
El Reglamento SEPA Instant Credit Transfer (UE 2021/1230) exige disponibilidad 24/7/365 con procesamiento en 10 segundos. Los requisitos de resiliencia DORA deben extenderse a la infraestructura de pagos instantáneos sin ventanas de mantenimiento programadas, elevando significativamente los estándares de disponibilidad exigidos.
DORA para PSPs: aplicación desde enero 2025
El Reglamento DORA (UE 2022/2554) es de aplicación directa desde el 17 de enero de 2025 para todas las entidades financieras del art. 2, incluyendo explícitamente las entidades de pago (con licencia PSD2 / Directiva 2015/2366) y las entidades de dinero electrónico (con licencia EMD2 / Directiva 2009/110/CE). En España, el Banco de España es la autoridad nacional competente (ANC) para supervisar el cumplimiento DORA de los PSPs, coordinándose con la EBA (Autoridad Bancaria Europea) para las orientaciones técnicas y los RTS de implementación. Los PSPs que ya cumplen con las obligaciones de seguridad PSD2 (arts. 95-98) tienen una base de partida, pero DORA exige un marco ICT mucho más detallado y formalizado.
PSPs sujetos a DORA en España: scope completo
Están sujetos a DORA en España los PSPs con: licencia de entidad de pago (Ley 16/2009 de servicios de pago, trasposición de PSD2), incluyendo procesadores de pago, adquirentes, agregadores y plataformas de pago; licencia de entidad de dinero electrónico (Ley 21/2011 de dinero electrónico, trasposición de EMD2), incluyendo wallets digitales y emisores de dinero electrónico; entidades de crédito (bancos) en su actividad de servicios de pago. Quedan excluidas las entidades acogidas a la exención de pequeños PSPs (volumen de operaciones de pago inferior a €3M mensuales en promedio de 12 meses, según art. 32 PSD2) y las microempresas (menos de 10 empleados y menos de €2M de facturación según DORA).
Marco de gestión del riesgo ICT para PSPs — arts. 5-14 DORA
El marco ICT que DORA exige a los PSPs (arts. 5-14) cubre: (1) identificación y clasificación de activos ICT críticos: sistemas de procesamiento de pagos, motores de autorización, plataformas SCA, sistemas de detección de fraude y conectividad con redes de tarjetas; (2) protección con cifrado de datos de pago (PCI DSS + DORA), controles de acceso privilegiado y segmentación de redes; (3) detección en tiempo real de anomalías en transacciones y comportamientos sospechosos; (4) respuesta y recuperación con planes de continuidad para sistemas de pago con RTO medido en minutos; (5) aprendizaje continuo con análisis post-incidente y actualización del marco de riesgos. Los RTS de la EBA del art. 15 DORA desarrollan los requisitos técnicos mínimos específicos para PSPs.
Clasificación e notificación de incidentes ICT — PSPs
DORA define criterios específicos de clasificación de incidentes ICT graves para PSPs (art. 18 + RTS de clasificación de la EBA). Un incidente es grave si: la interrupción del servicio de pago supera los 30 minutos, más del 10% de las transacciones en un período de una hora no pueden procesarse, las pérdidas económicas directas superan €100.000, o existe impacto transfronterizo en múltiples Estados miembros. El proceso de notificación tiene tres fases: alerta temprana al Banco de España en 4 horas desde la clasificación como grave (indicando si hay indicios de actividad maliciosa), notificación completa con análisis técnico en 72 horas, e informe final en el plazo de un mes tras la resolución del incidente.
Proveedores TIC para PSPs: procesadores, redes y adquirentes — art. 28
Los PSPs dependen de una cadena de proveedores TIC especializados que deben gestionarse bajo el art. 28 DORA: procesadores de pago (Redsys en España, Worldline, Nexi en Europa) para la autorización y procesamiento de transacciones; redes de tarjetas (Visa, Mastercard) como proveedores críticos de infraestructura de pagos; pasarelas de pago (Stripe, Adyen, Braintree, PayPal) para la conectividad merchant-acquirer; y proveedores de infraestructura SEPA (STEP2, RT1, Target2) para pagos de crédito y débito. Los contratos con todos estos proveedores deben incluir cláusulas DORA art. 28: notificación de incidentes en <4h, derecho de auditoría, SLAs DORA-compliant y planes de salida con continuidad del servicio.
SEPA Instant y resiliencia de pagos en tiempo real
El Reglamento de Pagos Instantáneos (UE 2021/1230, modificado en 2024) exige a todos los PSPs SEPA procesar transferencias SEPA Instant en 10 segundos con disponibilidad 24/7/365 desde octubre 2025. DORA complementa este requisito: el marco de gestión del riesgo ICT (arts. 5-14) debe extenderse específicamente a la infraestructura de pagos instantáneos; las pruebas de resiliencia (arts. 24-27) deben validar que los sistemas de pagos instantáneos mantienen los umbrales de disponibilidad sin ventanas de mantenimiento; el BCP/DRP debe garantizar la conmutación por error a sistemas alternativos en segundos para no interrumpir el servicio de pagos instantáneos. La combinación SEPA Instant + DORA eleva los estándares de disponibilidad a los más exigentes del sector financiero.
IgeraRegTech automatiza consultas DORA para servicios de pago
IgeraRegTech dispone de un RAG entrenado con el Reglamento DORA (UE 2022/2554), los RTS de la EBA, la Directiva PSD2 y el Reglamento Delegado de SCA (2018/389), la Directiva EMD2, el Reglamento SEPA Instant y la normativa del Banco de España sobre entidades de pago. El sistema permite a los equipos de compliance y CTO de PSPs responder preguntas sobre clasificación DORA de su entidad, medidas ICT para infraestructuras de pagos, clasificación de incidentes de pago bajo DORA, gestión de contratos con Redsys/Visa/Mastercard bajo el art. 28 y la coordinación entre las obligaciones PSD2 y DORA, citando el artículo exacto de DORA o el RTS de la EBA de referencia.
IgeraRegTech DORA Servicios de Pago en acción
Entrenado con DORA, RTS de EBA, PSD2, SEPA Instant y normativa del Banco de España. Respuestas con cita exacta del artículo.
Clasificador DORA para PSPs
Determina si tu entidad de pago, procesador o adquirente está sujeto a DORA art. 2 y qué obligaciones específicas aplican, con análisis de la licencia PSD2/EMD2, volumen de transacciones y umbrales de exclusión para pequeños PSPs.
Clasificación en < 15 minGap analysis ICT para infraestructura de pagos
Evaluación de las medidas DORA arts. 5-14 adaptada a infraestructuras PSP: procesamiento de transacciones, autenticación SCA, conectividad con redes de tarjetas (Visa, Mastercard), sistemas de detección de fraude y plataformas de liquidación SEPA.
Gap analysis completo en 1 díaProtocolo notificación incidentes PSP
Plantillas de alerta temprana (4h) y notificación completa (72h) para incidentes ICT en PSPs, con campos específicos para transacciones fallidas, tiempo de interrupción del servicio de pago, impacto en consumidores y comerciantes y coordinación con EBA.
100% campos obligatorios DORACláusulas DORA para contratos con procesadores
Plantillas de cláusulas contractuales DORA para procesadores de pago (Redsys, Worldline, Nexi), redes de tarjetas (Visa, Mastercard), pasarelas de pago (Stripe, Adyen) y proveedores de infraestructura SEPA, con notificación de incidentes <4h y derecho de auditoría.
Cadena suministro cubierta art. 28Mapeo PSD2 + DORA: evitar doble notificación
Guía para integrar los requisitos de notificación de incidentes PSD2 (arts. 95-96) con los de DORA (arts. 17-23), evitando el doble reporte al Banco de España y coordinando con los canales EBA para incidentes transfronterizos.
PSD2 + DORA integradoMonitor Banco de España + EBA pagos
Información actualizada sobre circulares del Banco de España, guías EBA sobre DORA para PSPs y orientaciones sobre la coordinación entre PSD2 y DORA para proveedores de servicios de pago españoles.
Actualización continua regulatoriaPreguntas reales de PSPs, artículos exactos de DORA
Así responde IgeraRegTech DORA Servicios de Pago con el Reglamento, los RTS de EBA y la normativa PSD2 como fuente de verdad
"Nuestro PSP ha experimentado una interrupción de 45 minutos en el procesamiento de pagos esta mañana. ¿Debemos notificar al Banco de España bajo DORA?"
Con 45 minutos de interrupción en el procesamiento de pagos, superáis el umbral de 30 minutos que los RTS DORA establecen como criterio de incidente grave para servicios de pago. Debéis iniciar el proceso de notificación DORA: (1) clasificar el incidente como grave en el momento en que la interrupción supera los 30 minutos, (2) enviar alerta temprana al Banco de España en las 4 horas siguientes a la clasificación, indicando si hay indicios de actividad maliciosa y si el impacto es transfronterizo, (3) preparar notificación completa con análisis técnico en 72 horas desde la clasificación, (4) elaborar informe final en el plazo de un mes. Paralelamente, verificad si el incidente también activa la obligación de notificación PSD2 art. 96, que puede tener un canal de notificación diferente al Banco de España.
"Redsys ha sufrido una caída de 2 horas que ha impedido procesar pagos con tarjeta en nuestra plataforma. ¿Qué implica el art. 28 DORA para nuestra relación con Redsys?"
Redsys es un proveedor TIC de terceros bajo el art. 28 DORA. La caída de 2 horas que os ha afectado tiene implicaciones en dos niveles: (1) vuestro propio incidente DORA: si la interrupción supera el umbral de 30 minutos y otros criterios de materialidad, debéis notificar al Banco de España aunque la causa sea un fallo de Redsys (el incidente es vuestro como PSP); (2) contrato con Redsys: vuestro contrato actual probablemente no incluye las cláusulas DORA obligatorias, en particular la notificación de incidentes que afecten al servicio en menos de 4 horas. En la próxima renovación contractual, debéis incluir: notificación de incidentes en <4h, derecho de auditoría técnica anual, SLAs con uptime alineado con vuestros objetivos DORA, plan de salida y migración a procesador alternativo, e información sobre la subcadena de suministro de Redsys.
"¿En qué se diferencia la autenticación reforzada (SCA) de PSD2 de los requisitos ICT de DORA? ¿Se solapan?"
PSD2 SCA (arts. 97-98 PSD2, Reglamento Delegado 2018/389) regula los requisitos técnicos de autenticación para operaciones de pago: factores de autenticación (conocimiento, posesión, inherencia), vinculación dinámica para pagos remotos y exenciones permitidas. DORA ICT (arts. 5-14) regula la resiliencia del conjunto de la infraestructura tecnológica del PSP, lo que incluye los sistemas SCA pero va mucho más allá: gestión del riesgo de toda la infraestructura cloud, continuidad del negocio para todos los sistemas ICT, gestión de proveedores TIC (no solo el proveedor SCA), y pruebas de resiliencia digital. No se solapan sino que se complementan: SCA es un requisito de seguridad específico para transacciones de pago; DORA es un marco de resiliencia operacional digital integral. Un fallo en el sistema SCA puede ser simultáneamente un incidente PSD2 y un incidente ICT grave DORA si supera los umbrales de materialidad.
Preguntas frecuentes — DORA Servicios de Pago
Respuestas directas sobre DORA para entidades de pago, procesadores y adquirentes en España
¿Los proveedores de servicios de pago (PSP) están sujetos a DORA?+
¿Cuándo una interrupción del servicio de pago es un incidente DORA grave?+
¿Cómo se coordinan las obligaciones PSD2 y DORA de notificación de incidentes?+
¿Redsys como procesador de pagos es un proveedor TIC tercero bajo DORA art. 28?+
¿SEPA Instant Credit Transfer impone requisitos de resiliencia adicionales bajo DORA?+
¿Hablamos sobre DORA para tu entidad de pago?
Cuéntanos tu tipo de licencia (entidad de pago, dinero electrónico, procesador) y volumen de transacciones y te mostramos tu clasificación DORA y las medidas prioritarias.