EN 18031-3, Lo que los fabricantes necesitan saber sobre la protección contra la fracción para el equipo de radio conectado
EN 18031-3 es parte de la familia de estándares EN 18031 centrada en la protección contra el fraude de equipos de radio que permite la transferencia de dinero. valor monetario, o moneda virtual. Soporta la letra f) del apartado 3 del artículo 3 del RED que exige que ciertos productos conectados incorporen características para proteger contra el fraude.
Para muchos fabricantes, la primera cuestión práctica no es si la norma se aplica en principio. Se trata de si su producto cae realmente dentro del ámbito de aplicación de la Parte 3. La respuesta depende de lo que el producto permite a los usuarios hacer con dinero o valor y esa pregunta es menos directa de lo que parece.
Este blog se centra en lo que cuenta como valor monetario y moneda virtual bajo EN 18031-3, qué productos necesitan una mirada más detenida, y qué fabricantes deberían revisar y documentar antes de su lanzamiento.
Comience su evaluación gratuita EN 18031.
What is EN 18031-3?
EN 18031-3:2024 está titulado Requisitos de seguridad comunes para equipos de radio, Parte 3: Equipo de radio conectado a Internet que maneja moneda virtual o valor monetario. Cubre los equipos de radio que pueden comunicarse a través de Internet y permite al titular o usuario transferir dinero, valor monetario o moneda virtual.
Donde EN 18031-1 se centra en la protección de la red y EN 18031-2 se centra en los datos personales y la privacidad, EN 18031-3 se centra en las funciones financieras y de transferencia de valor de los productos conectados. Es la más estrecha de las tres partes en cuanto a las categorías de productos a las que se destina. pero la pregunta de alcance es frecuentemente subestimada por equipos que asumen la Parte 3 sólo se aplica a terminales de pago y carteras digitales.
Para la imagen completa de cómo se ajusta la parte 3 dentro de la familia EN 18031, vea la vista general EN 18031.
How EN 18031-3 se conecta al Artículo 3(3)(f)
El artículo 3 (f) exige que el equipo de radio que permita la transferencia de dinero, valor monetario o moneda virtual apoye ciertas características que garanticen la protección contra el fraude. El Reglamento Delegado (UE) 2022/30 activó este requisito y se ha aplicado desde el 1 de agosto de 2025.
EN 18031-3 proporciona a los fabricantes de rutas técnicas que pueden utilizar para apoyar la conformidad con dicho requisito. En términos prácticos, importa cuando los equipos necesitan demostrar que las funciones de transferencia de valor del producto están diseñadas con controles que reducen el riesgo de fraude, transacciones no autorizadas, y abuso financiero.
Para más información sobre cómo los requisitos de ciberseguridad RED afectan a los fabricantes de dispositivos conectados más ampliamente, consulte los requisitos de ciberseguridad RED.
Lo que cuenta como valor monetario y moneda virtual
Esta es la cuestión del alcance que atrae a la mayoría de los equipos desprevenidos. EN 18031-3 se aplica cuando el producto permite la transferencia de dinero, valor monetario o moneda virtual. Entender lo que cada uno de estos cubre determina si la Parte 3 es relevante para un producto determinado.
Dinero
El dinero en este contexto significa licitación legal transferida a través del producto. Los ejemplos más claros son los productos que inician o procesan pagos en moneda convencional, como terminales de pago conectados, dispositivos de punto de venta con conectividad de radio, o dispositivos inteligentes con funciones de pago integradas.
Valor monetario
El valor monetario es más amplio que el dinero y aquí es donde muchos equipos subestiman su alcance. Valor monetario se refiere al valor almacenado o transferible que puede ser intercambiado por bienes, , o moneda, aunque no sea de curso legal en sí mismo.
En la práctica esto puede incluir:
crédito almacenado o saldo prepago en un producto o cuenta vinculada
puntos de lealtad, créditos de recompensa o saldos de cupones que llevan valor del mundo real
saldos de tarjeta de regalo accesibles a través de un producto conectado
créditos o fichas dentro de la aplicación que se pueden intercambiar por bienes o servicios reales
créditos de suscripción o permisos de uso con equivalentes monetarios
La cuestión clave no es si el valor se parece al dinero en el sentido tradicional. Se trata de si el valor puede ser transferido, intercambiado, o redimido de una manera que representa un riesgo financiero significativo si se abusa o se accede de forma fraudulenta. Los productos que gestionan esquemas de fidelidad, saldos prepagados o créditos transferibles en la aplicación pueden entrar en el ámbito incluso si no fueron diseñados principalmente como productos de pago.
Moneda virtual
La moneda virtual tiene una definición específica en el contexto de este reglamento. Se refiere a una representación digital de valor que no es emitida o garantizada por un banco central o autoridad pública, no necesariamente se adjunta a una moneda legalmente establecida, y no posee el estatus legal de moneda o dinero, pero es aceptado como un medio de intercambio y puede ser transferido, almacenado, y negociado electrónicamente.
En la práctica esta cubierta:
criptomonedas como Bitcoin, Ethereum y activos similares
tokens basados en blockchain que funcionan como medio de intercambio
monedas digitales específicas de la plataforma que pueden ser transferidas entre usuarios
NFT o activos digitales con valor monetario transferible en los mercados establecidos
Un producto de radio conectado que permite a los usuarios enviar, recibir, almacenar o administrar cualquiera de estos cae dentro del ámbito de aplicación de la EN 18031-3. Esto es cada vez más relevante a medida que los productos conectados se integran con criptomonedas, plataformas blockchain o servicios de activos digitales.
Qué productos deben tener una mirada cerrada
EN 18031-3 es más estrecho que las partes 1 y 2, pero más amplio de lo que asumen la mayoría de los equipos. Generalmente se necesita una revisión más estrecha cuando el producto:
procesa pagos o inicia transacciones financieras
tiene o transfiere crédito almacenado, saldo prepagado, o valor de lealtad
se integra con una cartera digital o servicio de pago
habilita la transferencia de valor entre usuarios
soporta compras dentro de la aplicación donde los créditos tienen equivalentes monetarios del mundo real
se conecta a una cartera de criptomonedas o servicio basado en blockchain
administra saldos de suscripción o créditos de uso con valor financiero
El hilo común no es la categoría del producto, sino la función. Un altavoz inteligente, un vestible, o un dispositivo de inicio conectado puede caer dentro del ámbito EN 18031-3 si permiten la transferencia de valores de los tipos descritos anteriormente independientemente de para lo que el producto está diseñado principalmente para hacer.
Qué deberían revisar los fabricantes en realidad
Una revisión útil EN 18031-3 comienza con la comprensión de las funciones de transferencia de valor que el producto permite y dónde se encuentra el riesgo de fraude en el ecosistema conectado.
Los equipos deben mirar:
a qué dinero, valor monetario, o moneda virtual el producto procesa o habilita el acceso
donde estas funciones se sientan a través del dispositivo, la aplicación, el backend y los servicios de pago de terceros
cómo la autenticación y el control de acceso protegen las funciones de transferencia de valor
qué sucede si una parte no autorizada obtiene acceso al producto o cuenta
cómo se autorizan, registran y verifican las transacciones
si el producto depende de procesadores de pagos de terceros o servicios de activos digitales
cómo el producto maneja transacciones fallidas, disputadas o sospechosas
qué controles de actualización y gestión de cambios existen para las funciones relacionadas con el pago
Como en las Partes 1 y 2, la revisión de sólo dispositivo rara vez es suficiente. Para la mayoría de los productos conectados con funciones de transferencia de valor, el riesgo de fraude no se limita al hardware. Se sienta en la capa de cuenta, el backend de pago, las conexiones API a los servicios financieros, y los flujos de autenticación que protegen el acceso a esas funciones.
Lo que EN 18031-3 suele significar para el archivo técnico
Los fabricantes generalmente necesitan documentación que conecte las funciones de transferencia de valor del producto con los requisitos relevantes y los controles de protección contra el fraude que los abordan. La documentación típica puede incluir:
ámbito de aplicación del producto y arquitectura de transferencia de valor
identificación del dinero, valor monetario o moneda virtual que el producto maneja
mapeo de datos a través del dispositivo, la aplicación, el backend, y los servicios financieros o de pago
documentación de autenticación y control de acceso para funciones de transferencia de valor
documentación de autorización y verificación de transacciones
detección de fraude y documentación de respuesta cuando sea pertinente
actualizar y cambiar la documentación para las funciones relacionadas con el pago
documentación de proveedores de servicios financieros de terceros cuando sea pertinente
el mapeo de requisitos que vinculan los controles de protección contra el fraude del producto a los requisitos EN 18031-3
materiales técnicos vinculados al artículo 3(3)(f)
Para ver más a fondo cómo estructurar esta evidencia, consulte los requisitos EN 18031 y la lista de verificación de pruebas.
Donde normalmente los equipos se quedan atascados
El problema más común con EN 18031-3 es la denegación de alcance, pues los equipos asumen que la parte 3 no es aplicable porque el producto no es una terminal de pago. Una vez que las funciones de transferencia de valor se asignan correctamente, la imagen a menudo se ve diferente. Los equipos frecuentemente se quedan atascados cuando:
los puntos de lealtad y los créditos almacenados no son reconocidos como valor monetario
las monedas dentro de la aplicación con valor de cambio del mundo real son tratadas fuera de alcance
las integraciones virtuales de divisas son manejadas por un SDK de terceros y no están incluidas en la revisión de cumplimiento
los controles de autenticación para las funciones de pago se evalúan por separado de la revisión de cumplimiento del producto
la documentación de protección contra el fraude existe en un contexto comercial o legal pero no está estructurada para el archivo técnico
el producto se conecta a un backend de pago operado por un socio y la responsabilidad de esa capa se asume para sentarse en otro lugar
Este último punto es significativo. Incluso cuando un tercero opera la infraestructura de pagos, el fabricante del producto de radio conectado es responsable de garantizar que los controles a nivel de producto que apoyan la conformidad con la letra f) del apartado 3 del artículo 3 estén en vigor y documentados.
Qué buena EN 18031-3 Revisión debería producir
Una fuerte revisión debería dejar al equipo con:
confirmación de que EN 18031-3 es relevante y una clara declaración de por qué
un ámbito definido que cubre todas las funciones de transferencia de valor a través del sistema conectado
una visión de dónde se encuentra el riesgo de fraude en el ecosistema de productos
requisitos vinculados a los controles de protección contra el fraude del producto
identificaron lagunas en la autenticación, seguridad de transacción o documentación
un punto de partida estructurado para la preparación técnica de archivos
Cómo ayuda Cyberexperto
Cyberexpert ayuda a los equipos a trabajar en esto, desde la confirmación de si EN 18031-3 aplica y por qué, para mapear funciones de transferencia de valor y construir la evidencia estructurada necesaria para el archivo técnico.
Comience su evaluación gratuita EN 18031.
Related Articles
