RFI · Entregado abril 2026

La plataforma cuenta con un sistema de gestión de Alias, ya desarrollado e instalado en producción, que garantiza la interoperabilidad completa entre distintas instituciones financieras y billeteras digitales. Este directorio permite identificar cuentas mediante nombres únicos, evitando el uso de datos bancarios complejos en cada transacción de envío o pago. La solución permite validar la disponibilidad de un alias y recuperar información vinculada del usuario, tales como su nombre, RUT, número de cuenta, Institución, tipo de cuenta. Adicionalmente, el sistema puede listar todos los alias asociados a un RUT determinado dentro de un sistema de origen específico. El desarrollo permite manejar identificadores alternativos a un Alias de acuerdo con la necesidad (Ej: Rut, teléfono, alias, etc). Este @alias es custodiado en una bóveda que vive en el perímetro seguro de Redbanc y es disponibilizado como servicio a las instituciones participantes a través de la RBI (Red Bancaria Interconectada)

La plataforma dispone de mecanismos centralizados para la creación, modificación y bloqueo de Alias. Estos se presentan a las instituciones mediante APIs en un entorno seguro para que estos lo dispongan a sus clientes en sus aplicaciones y sitios privados.

La solución implementada permite diferenciar entre Alias de P2P y P2M, mediante el uso de módulos específicos del producto (llamados AliasPay y AliasSend), y tokens transaccionales diferenciados dentro de su directorio de alias. Adicionalmente, la solución cuenta con la inteligencia para detectar uso indebido de herramientas P2P para pagos P2M y tomar acciones según parametrización predefinida. Las capacidades disponibles para distinguir estos flujos son: • Diferenciación por Producto: El sistema cuenta con el módulo AliasSend, diseñado para transferencias de persona a persona (P2P), y el módulo AliasPay, enfocado en compras rápidas en comercios (P2M/P2B). • Diferenciación por Tokens: Técnicamente, la plataforma utiliza identificadores de token únicos para cada caso: el Token T3 se aplica exclusivamente para el módulo AliasSend (P2P), mientras que el Token T4 se utiliza para las transacciones del módulo AliasPay (P2M). • Reglas de Negocio: Cada flujo (P2P y P2M) manejan sus propias restricciones; por ejemplo, monto mínimo por transacción y cantidad de transacciones. Como medida adicional, se realiza la identificación del tipo de usuario, de acuerdo con la forma en que fue enrolado en el sistema (comercio o persona).

La plataforma fue diseñada y probada bajo estres para operar con tiempos de respuesta significativamente inferiores a los 2 segundos.

La plataforma soporta un conjunto completo y estandarizado de estados que permiten gestionar el ciclo de vida de una transacción, desde la intención de compra hasta la liquidación efectiva de los fondos. Estos estados se agrupan según la etapa del proceso: 1. Ciclo de Autorización (Token y Transacción) En la fase inicial de captura y validación, los estados principales son: • Generada, Validada, Autorizada (o Fallida) 2. Ciclo de Liquidación Financiera Una vez autorizada, la transacción entra en el flujo de Movimiento Electrónico de Dinero, donde se manejan los siguientes estados de liquidación: • Pending (Pendiente), Settled (Notificada/Recibida), Liquidada (Efectiva) 3. Estados de Excepción y Registro Administrativo En los reportes de cuadratura (archivos Extract) y procesos de reversa, se utilizan identificadores específicos: • AP (Aprobada), RE (Rechazada), RV (Reversada), Expirada

La solución soporta la funcionalidad de validación del beneficiario antes de confirmar el pago (equivalente a VoP o CoP) principalmente a través de sus servicios de Gestión de Alias y el proceso de Validación de Tokens. 1. Resolución de Datos mediante Alias El sistema de nombres únicos (Alias) permite realizar una resolución de datos antes de iniciar la transferencia. 2. Validación de Token (QR y AliasPay) Antes de que el usuario final autorice el pago, existe una etapa obligatoria de validación técnica que permite mostrar al pagador quién recibirá el dinero.

La plataforma soporta mecanismos equivalentes a los casos de uso de Request to Pay (RtP) estructurado a través de sus productos de AliasSend, Suscripciones y el flujo estándar de Generación de Tokens. A continuación se detallan las capacidades que cubren estos requisitos: 1. Solicitud de Pago (AliasSend) El módulo AliasSend permite explícitamente el cobro de dinero entre usuarios mediante nombres únicos (Alias). • Mecanismo: Un usuario puede iniciar una solicitud hacia un Alias pagador. • Información Estructurada: El pagador recibe una notificación que incluye el monto, el Alias del solicitante y cualquier otra información relevante para validar la transacción antes de aceptarla. 2. Cobros Iniciados por el Recaudador (Suscripciones) Para casos de pagos recurrentes o facturación periódica, la plataforma utiliza el modelo de Payment Consent Inverso. 3. Información de Facturación y Referencias La plataforma utiliza identificadores y campos específicos para estructurar la información del pago: • Referencias de Pago: Cada transacción genera un UUID (identificador único universal) y un Settlement UUID para el cargo-abono, lo que garantiza la trazabilidad completa del pago. • Información de Facturación/Glosa: Al validar un token (QR o Alias), el sistema entrega la Glosa del comercio y detalles específicos de la compra al pagador para su revisión antes de autorizar. • Datos Adicionales: La API permite el uso de objetos como el filler, que incluye metadatos como el ID del cliente y la cuenta para reconciliación interna. 4. Vencimientos (Tiempo de Vida) Todos los mecanismos de solicitud de pago y tokens en la plataforma incluyen la gestión de vencimientos.

La plataforma ofrece un ecosistema que combina visibilidad en tiempo real mediante herramientas con procesos de conciliación estructurados por ciclos diarios. 1. Notificaciones en Tiempo Real La solución cuenta con mecanismos de comunicación inmediata para todos los actores: • Pagadores y Comercios: Reciben webhooks de notificación instantáneos tras la autorización de una compra y al completarse los movimientos de cargo y abono. • Comercios (Usuarios Recaudadores): El sistema notifica a la aplicación del comercio la autorización de la transacción, y este tiene la obligación de notificar al comercio cada vez que recibe un pago a su favor. • Clientes Pagadores: Son notificados por su Aplicación Pagadora una vez que la transacción es autorizada y el saldo es descontado exitosamente. • Bancos: Las Instituciones Financieras (IFO e IFD) reciben las instrucciones de cargo y abono en línea. 2. Mecanismos de Reporte y Visibilidad La principal herramienta de información es el Dashboard que proporciona: • Trazabilidad completa: Permite rastrear el flujo de transacciones, identificar tokens (generados, validados, autorizados) y examinar operaciones por producto (compra, suscripción, reversa) en tiempo real. • Roles específicos: IFOs, IFDs, Pagadores, Comercios y el Banco Sponsor (revisar detalles del rol en documentación adjunta) tienen acceso a secciones personalizadas para descargar documentos y monitorear liquidaciones. • Tipos de Reportes: o Dinámicos (OnDemand): Generados inmediatamente mediante consultas directas a la base de datos. o Tradicionales: Reportes diarios y mensuales (como el R01A o R02B) para conciliaciones detalladas. 3. Conciliación y Cuadratura A diferencia de las notificaciones, la conciliación formal bancaria sigue un modelo de dos ciclos diarios, no es estrictamente en tiempo real continuo, pero ocurre el mismo día: • Ciclos de Cierre: o Ciclo 1: Cierra a las 24:00 hrs (incluye transacciones desde las 14:00 hrs del día anterior). o Ciclo 2: Cierra a las 14:00 hrs (incluye transacciones desde las 00:00 hrs). • Archivos de Cuadratura: Al finalizar cada ciclo, el sistema genera automáticamente un conjunto de 3 archivos (Extract) con el detalle de transacciones aprobadas, rechazadas y reversadas, además del Reporte de Compensación, los cuales se envían a las casillas STI de los bancos para su proceso de cuadratura. • Portal de Cartolas: Los comercios cuentan con este portal para visualizar saldos, devoluciones y excedentes, asegurando una gestión eficiente de sus fondos.

El modelo de clearing (compensación) y liquidación de la plataforma implementada por Redbanc opera en tres niveles distintos: la autorización en tiempo real, la compensación por ciclos interbancaria y la liquidación mensual de comisiones. 1. Compensación y Liquidación por Ciclos (Nivel Bancario) El modelo se basa en el Movimiento Electrónico de Dinero, que permite realizar cargos y abonos entre instituciones financieras. • Ciclos de Cierre: El sistema opera con dos ciclos de compensación diarios: o Ciclo 1: Cierra a las 24:00 horas. o Ciclo 2: Cierra a las 14:00 horas. • Generación de Archivos: Al finalizar cada ciclo, el Switch genera y envía a las casillas STI de cada banco archivos de Extract (detalle de transacciones aprobadas, rechazadas y reversadas) y el Reporte de Compensación. • Liquidación en el Banco Central: Este servicio es el responsable de ejecutar la liquidación correspondiente en el Banco Central al cierre de cada ciclo. • Gestión de Riesgo: Trabaja con documentos en garantía custodiados por el DCV (Depósito Central de Valores). 2. Gestión de Ganancias Asociado a las Tarifas de Servicio de Comercio (Mensual) Una vez al mes, se realiza un proceso de clearing interno de utilidades entre los actores del ecosistema.

La plataforma implementada por Redbanc soporta operaciones en tiempo real desde la perspectiva de la experiencia del usuario y el comercio, aunque la liquidación bancaria efectiva definitiva se completa mediante ciclos de proceso diario diferidos. La plataforma ofrece un esquema de pagos instantáneos para los actores del ecosistema, mientras que la compensación final de fondos entre las cuentas de los bancos se rige por el reglamento operativo vigente y regulatoriamente autorizado.

La plataforma operativa y ya probada con multiples participantes en entornos 100% real, está diseñada específicamente para soportar pagos P2M (Person-to-Merchant) interoperables basados en cuentas (A2A) entre múltiples instituciones financieras y actores del ecosistema, con acceso universal de participantes basados en condiciones objetivas. A continuación se detallan las capacidades que permiten esta operación: 1. Modelo Interoperable de Cuentas (A2A) La solución se basa el Movimiento Electrónico de Dinero, que permite realizar cargos y abonos electrónicos entre cuentas de distintas instituciones financieras de forma inmediata. El sistema activa el envío de dinero desde la cuenta del pagador (vinculada a una aplicación de Bancos, Fintechs, Cuentas de provisión de fondos y Cooperativas) hacia la cuenta del comercio en tiempo real, utilizando los rieles de transferencia existentes. 2. Interoperabilidad entre Múltiples Actores La plataforma actúa como un orquestador que conecta a diversos participantes, permitiendo que cualquier billetera electrónica sea compatible con cualquier comercio, independientemente de quién sea su proveedor técnico. Los actores soportados incluyen: • Bancos e Instituciones Financieras • Fintechs y Billeteras Digitales • Recaudadores y PSPs 3. Pagos Basados en QR Interoperable (QRI) 4. Liquidación en Tiempo Real

Sí, la solución implementada por Redbanc soporta pagos P2P (Person-to-Person) interoperables en tiempo real entre múltiples instituciones financieras. A continuación se detallan las capacidades que permiten este funcionamiento: • Módulo Especializado (AliasSend): Facilita el envío y cobro de dinero entre individuos utilizando nombres únicos (Alias), lo que elimina la necesidad de compartir datos bancarios complejos entre los usuarios. • Interoperabilidad Multibanco: El sistema garantiza una interoperabilidad completa, permitiendo, por ejemplo, que un usuario de un Banco A envíe fondos de manera fluida a un usuario en un Banco B utilizando únicamente su identificador de Alias. • Operación en Tiempo Real: Estas transferencias se basan en el Movimiento Electrónico de Dinero, definido como una operación financiera que mueve dinero de una cuenta a otra de forma instantánea. Los fondos quedan disponibles de manera inmediata en la cuenta del destinatario. • Orquestación Técnica: Para lograr esto, la plataforma utiliza su Switch transaccional para interconectar a las Instituciones Financieras Originadoras (IFO) con las Receptoras (IFR). • Seguridad: El flujo incluye procesos de generación, validación y autorización de tokens para asegurar que cada movimiento de dinero sea trazable y seguro. En resumen, la plataforma actúa como un orquestador que une a los distintos bancos del ecosistema para permitir pagos directos entre personas con liquidación inmediata.

La plataforma soporta de forma inmediata pagos iniciados mediante QR interoperable (QRI) y adicionalmente QR estáticos, ya que esta es la base tecnológica y funcional de todo el ecosistema implementado por Redbanc. A continuación, se detallan los puntos clave sobre esta capacidad: • Definición de la Red: La plataforma se define explícitamente como una red de pagos instantáneos QR interoperable que permite ejecutar cargos y abonos en tiempo real entre distintas aplicaciones y comercios. • Interoperabilidad Total: La solución permite que cualquier aplicación enrolada pueda reconocer y procesar el código QR emitido por cualquier comercio de la red, independientemente de quién sea su enrolador recaudador. • Estandarización: El sistema utiliza un estándar de códigos QR interoperables para unificar la experiencia del cliente y ampliar el mercado de micropagos. En resumen, la capacidad de procesar pagos mediante QR interoperables no es una funcionalidad futura, sino el atributo principal que permite a la plataforma conectar a múltiples actores del ecosistema financiero bajo un mismo estándar de aceptación. Solución existente en producción y probada.

La solución soporta el uso de códigos QR estáticos para pagos P2M, nos referimos a ellos principalmente como "QR reutilizables”. A continuación, se detallan las capacidades relacionadas: • Soporte de QR Estático (Reutilizable): La plataforma permite a la Aplicación del Comercio generar un QR que puede ser utilizado múltiples veces (N cantidad de veces) y que cuenta con un tiempo de vida extendido. • Estándar de Interoperabilidad (QRI): La plataforma se define como una solución basada en el estándar de códigos QR interoperables (QRI). Este estándar permite que cualquier aplicación enrolada lea el código de cualquier comercio de la red. • Capacidad de Traducción: La solución incluye un módulo llamado Translator que permite convertir QR de plataformas externas (como OnePay u otras instituciones) en formatos compatibles con la plataforma (Token T5), lo que refuerza su capacidad de procesar diversos estándares de códigos QR del mercado.

La solución soporta de forma nativa el uso de códigos QR dinámicos para pagos P2M, ya que su modelo de operación estándar se basa en la generación de un identificador único por cada transacción.

Sí, la plataforma tiene la capacidad de asociar de manera estructurada al comercio, su cuenta receptora, sus sucursales y los códigos QR generados para sus transacciones. El sistema actúa como un orquestador que mantiene la trazabilidad completa desde el punto de venta físico (sucursal) hasta el abono final en la cuenta bancaria del comercio, utilizando el código QR como el vínculo transaccional único. Capacidad probada con un retail de gran tamaño con presencia nacional, 130 sucursales, y 1.300 cajas, con condiciones de operación basadas en cuentas de abono específicas según punto de venta.

La solución soporta pagos presenciales a través de Smart POS y dispositivos móviles. A continuación, se detalla cómo se implementa en estos dispositivos: 1. Soporte en Smart POS y POS Físicos La plataforma permite la integración con terminales de punto de venta para la exhibición de cobros presenciales mediante dos modalidades: • Pantalla del POS: El código QR se proyecta directamente en la pantalla digital del terminal para que el cliente lo escanee. • Impresión de Voucher: El sistema permite imprimir el código QR en el rollo térmico del voucher de pago (de 56 a 80 mm) para su lectura posterior. 2. Smartphone como Punto de Venta (Mobile POS) La solución contempla explícitamente el uso de dispositivos móviles como terminales de recaudación. Los comercios pueden proveer aplicativos que transforman un smartphone en un punto de venta capaz de: • Generar y mostrar el QR: El comercio utiliza su teléfono para solicitar un token de pago y mostrar el QR en su pantalla al cliente. • Gestión vía Software: Esta modalidad se describe como POS de dispositivo móvil dentro de las guías de aplicación de marca. En producción la solución se implementó en: Sistemas de cajas físicas de supermercados, red adquirente con POS físicos, checkout e-commerce, botones de pago, recaudación recurrente, entre otros.

La solución implementada por Redbanc gestiona los rechazos transaccionales de manera estructurada y estandarizada, integrando mecanismos de identificación técnica, clasificación por causales y notificación automática a los participantes a través de diversos canales. 1. Identificación y Clasificación de Causales La plataforma utiliza un sistema de códigos para clasificar los rechazos según el origen y la naturaleza del error. 2. Mecanismos de Notificación La plataforma se asegura que todos los actores sean informados sobre los rechazos mediante: • webhooks en Tiempo Real: El sistema envía un webhook de notificación de autorización fallida tanto a la aplicación pagadora como al recaudador inmediatamente después de que se detecta el error. • Respuestas de API: Las solicitudes síncronas reciben inmediatamente el código de error y una glosa descriptiva que permite a la aplicación del usuario (billetera o comercio) mostrar el motivo del rechazo. • Archivos de Cuadratura: Diariamente, el sistema genera archivos de texto donde las transacciones rechazadas se identifican claramente con la nomenclatura RE (Rechazadas), separándolas de las aprobadas (AP) y reversadas (RV). • Dashboard: Permite a los administradores de IFOs, IFDs y enroladores visualizar las trazas de una transacción particular y el motivo exacto de su fallo. 3. Gestión de Controversias y Reclamaciones Para los casos donde el rechazo genera una discrepancia financiera o técnica, existe un Manual de Procedimiento de Controversias.

La solución implementada cuenta con mecanismos estructurados y reglas claras para gestionar tanto devoluciones (restitución por devolución de productos) como reversas (ajustes técnicos o por controversias), garantizando una trazabilidad completa mediante identificadores únicos y herramientas de monitoreo. A continuación, se detallan los componentes de este modelo: 1. Diferenciación Funcional: Devolución vs. Reversa 2. Reglas Claras para Devoluciones (Refunds) El proceso de devolución está sujeto a condiciones operativas específicas: • Antigüedad: Solo se pueden realizar sobre transacciones con una antigüedad máxima de 6 meses. • Monto: Puede ser total o parcial, pero nunca superior al monto de la compra original. • Saldos: El comercio debe contar con saldo suficiente en su cuenta de reserva/devolución virtual o línea de crédito, dependiendo del modelo contratado. • Aprobación de la Billetera: El Enrolador Pagador (billetera) debe autorizar la devolución en línea para asegurar que el usuario aún está activo en su sistema. 3. Reversas Técnicas Automáticas Para mantener la consistencia financiera, la plataforma genera reversas automáticas inmediatas en casos de excepción: • Si un abono se aplica en el banco de destino sin que se haya podido confirmar el cargo en el origen. • Cuando un banco no responde dentro del tiempo de timeout definido (reversa condicional). 4. Mecanismo de Controversias y Reclamos Existe un Manual de Procedimiento de Controversias estructurado para resolver discrepancias monetarias.

La solución cuenta con un proceso estructurado para la gestión de controversias y reclamos. A continuación, se detallan las características de este modelo: 1. Resolución de Disputas Pagadores-Beneficiarios La estructura de responsabilidad es la siguiente: • Responsabilidad del Pagador: La Aplicación Pagadora es la única responsable ante sus usuarios por disputas o contracargos. • Responsabilidad del Comercio: La Aplicación Comercio responde ante el comercio beneficiario. • Canalización del Reclamo: Si un usuario pagador tiene un problema con un beneficiario, debe dirigir su reclamo al comercio. Si no se resuelve, el comercio escala a la Aplicación Comercio, quien a su vez puede llevarlo ante Redbanc si el problema es de origen técnico o sistémico. 2. Proceso Estructurado para Participantes Existe un Manual de Procedimiento de Controversias que rige la relación entre los actores del ecosistema. El proceso se divide en dos categorías: • Gestión de Controversias: Casos de descuadratura o diferencias con incidencia monetaria (por ejemplo, cargos no reconocidos, transacciones duplicadas o montos incorrectos). • Gestión de Reclamos y Requerimientos: Presentaciones para situaciones concretas que no tienen incidencia monetaria (por ejemplo, fallas en la lectura del QR o falta de acceso al sistema). 3. Mecanismo de Mediación (Rol del Orquestador) Redbanc como orquestador, actúa como el ente que gestiona y resuelve las discrepancias entre las instituciones participantes: • Arbitraje Operativo: Los participantes aceptan someter sus disputas a los mecanismos resolutivos de Redbanc y acatar la decisión cuando las partes no lleguen a un acuerdo. • Identificación de Resolutor: Ante un caso, Redbanc determina si la resolución corresponde a una falla de su propia plataforma, si debe ser resuelta por el mismo participante que levantó el caso o si debe derivarse a otro actor del ecosistema. • Flujo y Plazos: El proceso cuenta con formularios estandarizados y plazos definidos: 10 días para presentar la controversia y 5 días hábiles para que el resolutor entregue una respuesta formal (Carta Respuesta).

La solución cuenta con procesos estructurados y herramientas específicas para el enrolamiento, registro y validación de comercios adaptándose tanto a grandes entidades como a microcomercios. Proceso de Alta y Responsabilidades: • Responsabilidad de la Aplicación Comercio: La tarea de registrar a cada usuario recaudador recae exclusivamente sobre la aplicación comercio, quien debe asegurar que el comercio esté correctamente ingresado antes de operar. • Consumo de APIs: Los enroladores utilizan APIs específicas para dar de alta a los usuarios recaudadores en el sistema, lo que permite una integración técnica directa. • Módulo de Onboarding: Incluye funcionalidades específicas para el seguimiento del estado de enrolamiento y la asociación de cuentas de comercios.

La plataforma permite una administración estructurada y jerárquica de los comercios y sus entidades asociadas, facilitando la gestión granular desde el nivel de enrolador hasta el punto de venta individual. A continuación, se detallan las capacidades de administración disponibles: 1. Jerarquía de Entidades Dentro del ecosistema, los usuarios bajo un Enrolador Recaudador (ER) se organizan de forma estructurada: • Comercios: Son las entidades principales con las que el ER mantiene la relación comercial. • Sucursales: Divisiones geográficas u operativas de un mismo comercio. • Puntos de Venta (POS) / Terminales: Identificadores finales donde se inicia la transacción. El sistema permite la creación de puntos de venta asociados específicamente a un comercio determinado. 2. Dashboard La administración se realiza a través de interfaces y herramientas especializadas: • Dashboard: Los ER tienen un rol con acceso a la Gestión de usuarios, donde pueden visualizar a sus enrolados y realizar seguimiento de sus tokens y operaciones. • Portal de Cartolas: Permite la asociación de cuentas de comercios a sus respectivos proveedores (ER) y correos de enrolamiento para la gestión de fondos. 3. Identificadores y Configuración Granular • Identificadores de Pago: Cada terminal o caja puede solicitar tokens de pago (QR) que generan un UUID. El sistema mantiene la trazabilidad, permitiendo saber exactamente qué punto de venta generó cada cobro.

La solución permite gestionar la asociación de cuentas receptoras mediante una estructura jerárquica y flexible que se adapta tanto a comercios individuales como a grandes grupos comerciales, aunque la lógica de asignación depende del modelo de enrolamiento y liquidación elegido. A continuación, se detallan las capacidades de asociación de cuentas: 1. Jerarquía de Entidades y Cuentas La plataforma organiza a los participantes de forma granular, permitiendo definir diferentes niveles de recaudación: • Enrolador Recaudador (ER): Es la entidad superior que mantiene la relación comercial y técnica con el sistema. • Comercios y Sucursales: Bajo un mismo ER, se pueden definir múltiples comercios, sucursales o puntos de venta (POS). • Asociación de Cuentas: El sistema permite configurar el destino de los fondos a nivel de cada comercio. Por ejemplo, un ER puede asignar un modelo de liquidación específico para cada uno de sus comercios, permitiendo que cada hijo del grupo comercial tenga su propia cuenta de destino o que todos converjan en una sola. 2. Modelos de Liquidación según la Estructura Dependiendo de cómo esté organizado el grupo comercial, existen opciones para manejar las cuentas receptoras: • Modelo Concentrador (Instant Payment Enrolador): Todas las ventas de los distintos comercios o sucursales se liquidan en una única cuenta concentradora del ER (generalmente un grupo comercial autoenrolado), quien luego se encarga de la distribución interna de los fondos. • Modelo Directo (Instant Payment + Cartola): La solución liquida directamente a la cuenta bancaria (IFD) de cada comercio individual o sucursal que posea una cuenta compatible, o a su respectiva Cartola virtual si no la tiene. • Modelo Híbrido (Comercio-Enrolador): Permite que algunos comercios del grupo reciban fondos en sus propias cuentas bancarias, mientras que otros concentren su recaudación en la cuenta del Enrolador. 3. Multienrolamiento y Cuentas Diferenciadas Una característica clave para la flexibilidad es que un mismo comercio o usuario puede pertenecer a múltiples enroladores de forma simultánea. En este escenario: • La relación y configuración (incluyendo la cuenta receptora) son exclusivas y segregadas dentro de cada enrolador. • Esto permite que un mismo grupo comercial opere con diferentes cuentas receptoras dependiendo del canal o enrolador a través del cual se procese la transacción. La plataforma cuenta hoy con la capacidad de llegar a un nivel máximo de granularidad, en la relación punto de venta - cuenta receptora, pudiendo un único RUT tener miles de cuentas receptoras asociadas, por ejemplo: experiencia real con supermercados Unimarc.

La plataforma contempla estas capacidades principalmente a través de su Dashboard y el sistema de Monitoreo, todo en tiempo real. 1. Dashboards en tiempo real La plataforma cuenta con un Dashboard diseñado para ofrecer visibilidad en tiempo real del rendimiento de los servicios. • Capacidades: Permite identificar tokens generados, validados y autorizados, visualizar usuarios enrolados y examinar transacciones por tipo de producto (compra, suscripción, devolución). • Roles y perfilamiento: El acceso es granular según el participante, adaptando las funcionalidades a sus responsabilidades. 2. Trazabilidad La solución ofrece herramientas que permiten una trazabilidad completa: • Seguimiento Transaccional: El sistema permite rastrear y analizar el flujo completo de cada transacción y sus interacciones dentro del ecosistema. • Detalle Técnico: A través del rol de Administrador en el Dashboard, se pueden visualizar las trazas de una transacción particular, lo que permite un análisis profundo del camino seguido por la operación. 3. Alertas Predictivas y Monitoreo El sistema de monitoreo utiliza un esquema de alertas basado en umbrales de tiempo de respuesta, orientado a la detección temprana de anomalías.

La arquitectura de la solución implementada por Redbanc es inherentemente flexible y modular, diseñada para evolucionar e incorporar nuevas capacidades sin requerir rediseños estructurales profundos. Esta flexibilidad se sustenta en su modelo de módulos independientes y su motor de reglas configurable. A la fecha de hoy, se cuenta con las siguientes funcionalidades full desarrolladas y en producción: 1. Pagos P2P interoperados (directos y request to pay) 2. Directorio de Alias 3. Pagos P2M basados en Alias presenciales y no presenciales 4. Pagos P2M basados en QR interoperables presenciales y no presenciales 5. Transacciones de Pagos Recurrentes 6. Links de Pago 7. QR interoperados estáticos y dinámicos 8. Stock de Transacciones asociadas a P2M (cargos y abono en línea, devoluciones totales y parciales en tiempo real, administración de cuotas BNPL, entre otras) 9. Pagos de nómina

El modelo utilizado no corresponde a ninguna de las respuestas definidas. El modelo funciona a través de documentos en garantía custodiados por el DCV (Depósito Central de Valores).

EL modelo considera liquidación Neta en el banco central.

La solución implementada por Redbanc cuenta con una arquitectura tecnológica robusta, definida y documentada, cuya característica principal es ser modular, flexible y escalable. A continuación se detallan los pilares de su arquitectura y cómo interactúan sus componentes: 1. Estructura Modular La solución de software se basa en una serie de módulos especializados que gestionan funciones específicas como pagos, alias, suscripciones, traducción de QR externos y conciliación. Esta modularidad permite actualizaciones independientes sin afectar el núcleo de la red. 2. Segmentación de Servidores La arquitectura lógica distribuye los componentes en tres tipos de servidores principales para garantizar eficiencia y disponibilidad: • Servidor Transaccional, Servidor de Procesamiento y Servidor Satélite 3. Interacción de Componentes El sistema describe claramente la interacción entre las componentes del ecosistema, que se encargan de la generación, validación y autorización del token de pago, junto con las transacciones de cargo y abono que orquestan el movimiento electrónico de dinero entre las instituciones financieras (IFO e IFD) a través de su Switch transaccional. 4. Infraestructura y Seguridad La arquitectura de red utiliza componentes avanzados para proteger la interacción transaccional.

La solución se encuentra instalada y disponible en producción, y define de manera detallada y estructurada los requerimientos de infraestructura y conectividad necesarios para operar en el ambiente productivo, tanto para la plataforma central como para las entidades que se integran al ecosistema (enroladores y bancos). Los componentes y exigencias principales se resumen en los siguientes puntos: 1. Infraestructura de la plataforma Central La plataforma opera sobre una arquitectura de alta disponibilidad y continuidad de negocio basada en: • Multisitio y Nube • Redundancia • Seguridad y Balanceo 2. Requerimientos de Conectividad para Participantes Para asegurar una comunicación confiable y autorizada, se exige a los enroladores y bancos: • Direcciones IP Fijas • Protocolos Seguros • Configuraciones de Puertos • Listas Blancas 3. Requisitos de Seguridad y Autenticación • Certificados mTLS • Firmas de Integridad • Criptografía (MAC)

La solución actual permite una amplia parametrización y administración técnica a través de herramientas integradas diseñadas para gestionar el ecosistema sin necesidad de desarrollos estructurales adicionales para tareas operativas y de configuración de negocio. A continuación, se detallan los mecanismos que permiten esta flexibilidad: 1. Portal Admin (Herramienta de Gestión Central) Diseñado específicamente para gestionar procesos y administrar configuraciones críticas: • Administración de Enroladores • Gestión de Cuentas • Control de Saldos IFO • Gestión de Usuarios 2. Motor de Reglas de Tarifas (TDS) La plataforma cuenta con un módulo de administración de reglas que permite ajustar el modelo de negocio mediante parámetros configurables. 3. Motor de Liquidación Parametrizable Una característica clave de la arquitectura es que los modelos de operación no son fijos ni requieren desarrollo nuevo para cada caso, sino que responden a la configuración del motor de liquidación. 4. Reportes OnDemand y Trazabilidad El Dashboard permite a los administradores generar reportes dinámicos de forma inmediata mediante consultas a la base de datos.

La arquitectura de la plataforma permite la incorporación y agregación de nuevos servicios mediante su diseño modular y plataformas de orquestación específicas. Por ejemplo, existe el módulo que llamamos ADDONS, cuya función es actuar como un Frontend de soluciones. Este módulo está diseñado para permitir la extensión de la plataforma hacia nuevas interfaces o servicios adicionales. El estado actual de la plataforma responde al desarrollo evolutivo en base a las necesidades detectadas en funcionamiento productivo y a los requerimientos normativos de los reguladores, y a la investigación de mercado.

La solución implementada por Redbanc se despliega principalmente bajo un modelo hibrido con una arquitectura de alta disponibilidad multisitio, aprovechando tanto servicios de nube pública como la infraestructura física redundante de Redbanc.

La solución implementada utiliza una arquitectura modular basada en microservicios, la cual está diseñada para ser robusta, escalable y flexible. A continuación, se detallan las características que definen este modelo arquitectónico: 1. Estructura Modular El núcleo de software de la plataforma es un empaquetamiento de 15 módulos especializados. Cada uno de estos módulos cumple una función específica e independiente. 2. Implementación mediante Microservicios y Contenedores La arquitectura no es monolítica, ya que los servicios están desacoplados y se ejecutan en contenedores independientes. Esto permite: • Actualizaciones independientes: Se pueden realizar mejoras en módulos específicos (como el de facturación o el de gestión de usuarios) sin afectar la disponibilidad del núcleo transaccional. • Escalabilidad: El sistema permite balancear la carga de trabajo dirigiendo las peticiones a contenedores específicos según el dominio solicitado.

La solución integra diversos tipos de certificados digitales para asegurar la comunicación y autenticar la identidad de las distintas instituciones que participan en el ecosistema. A continuación, se detallan los mecanismos de seguridad basados en certificados: • Tecnología mTLS (Mutual TLS) • Certificados para Consumo de API • Certificados en el Proceso de Enrolamiento • Certificados HTTPS El uso de certificados es obligatorio y transversal en la plataforma, asegurando que solo los actores suscritos y validados puedan intercambiar información sensible dentro de la red bancaria interconectada o vía Internet. Adicionalmente, el área Ciberseguridad Redbanc monitorea la operación de manera constante.

La plataforma soporta un modelo multicanal que integra tanto aplicativos móviles (Apps) como entornos Web, adaptándose a diversos escenarios de pago presencial y de comercio electrónico, permitiendo que una transacción se inicie en una web de escritorio, un navegador móvil o un punto de venta físico, y se complete de forma fluida a través de una aplicación móvil.

La solución cuenta con mecanismos de alta disponibilidad y continuidad de negocio diseñados para garantizar una operación 24/7 con interrupciones mínimas, respaldados por un acuerdo de nivel de servicio (SLA) de disponibilidad. A continuación, se detallan los mecanismos técnicos y operativos que sustentan esta capacidad: 1. Infraestructura Tecnológica de Alta Disponibilidad La plataforma se basa en una arquitectura robusta que minimiza los puntos únicos de falla: • Arquitectura Multisitio: Se opera sobre dos sitios de procesamiento con infraestructura tecnológica completamente duplicada. Estos se distribuyen geográficamente (por ejemplo, GCP Chile y GCP USA) para asegurar la resiliencia ante desastres regionales. • Equipos Fault Tolerant: Utiliza servidores con tecnología Non Stop y componentes redundantes que permiten mantener el procesamiento activo incluso en caso de falla de hardware en alguna de sus partes. • Réplica en Tiempo Real: Todas las transacciones recibidas se replican en un switch secundario de forma transparente para los participantes, asegurando que los datos estén disponibles inmediatamente en caso de contingencia. 2. Monitoreo y Operación 24/7 Para asegurar el correcto funcionamiento de los procesos críticos, se implementan controles permanentes: • Esquema 7x24: Tanto el proceso de conectividad como el monitoreo técnico y de negocio operan ininterrumpidamente todos los días del año. • Detección Proactiva: El sistema de monitoreo supervisa el rendimiento de las APIs, las bases de datos y el tiempo de respuesta de las instituciones financieras, alertando sobre cualquier degradación antes de que afecte la operación. 3. Gestión de Contingencias y Enlaces • Redundancia de Comunicaciones • Plan de Contingencia Estructurado

La solución cuenta con robustos mecanismos de continuidad operacional y de negocio diseñados para mitigar fallas, absorber degradaciones del sistema y asegurar alta disponibilidad. Estos mecanismos se estructuran en los siguientes niveles técnicos y operativos: • Arquitectura de Alta Disponibilidad Multisitio • Equipos Fault Tolerant y Tecnología Non Stop: • Réplica de Datos en Tiempo Real • Redundancia de Comunicaciones • Detección Proactiva de Degradaciones • Mecanismos de Consistencia • Plan de Contingencia Documentado • Monitoreo y soporte • Controles Operacionales Internos Gracias a este modelo de contingencia y redundancia física y lógica, se garantiza que el servicio transaccional sea resiliente ante eventos que pongan en riesgo la operación normal del sistema.

Redbanc cuenta con procesos y actividades de continuidad de negocio, continuidad operacional y recuperación, acorde a las buenas prácticas y estándares establecidos; certificado bajo la norma ISO-22301. En el caso específico de la solución, se dispone de documentos de DRP y ejercicios de restauración probados. Se adjunta documentación de soporte, y carátulas de los documentos existentes.

El RTO comprometido y medido en pruebas es de 30 minutos en peor caso; la infraestructura Front End y Middleware es Activo-Activo por lo que tiene recuperación inmediata. El switch transaccional (ACI Base24-eps) es activo pasivo. El RPO es cero ya que existe replicación en línea.

El servicio tiene la característica de alta disponibilidad, por lo que su disponibilidad es de un 99,98%.

La solución define de manera detallada y estructurada los requerimientos técnicos mínimos que los participantes deben cumplir para integrarse al ecosistema, que se agrupan en las siguientes categorías principales: 1. Conectividad y Red • Red Interbancaria Interconectada (RBI): Las comunicaciones se deben realizar a través de esta red privada en el tramo comunicacional que sea necesario de acuerdo con la arquitectura. • Direccionamiento IP: Se exige el uso de IPs fijas y conocidas para garantizar que las notificaciones provengan de fuentes autorizadas. • Protocolos: La comunicación entre los hosts bancarios y el switch de Redbanc debe utilizar el protocolo TCP/IP. 2. Seguridad y Autenticación • Certificados mTLS • Criptografía MAC • Autenticación de Clientes: dos factores de autenticación distintos, siendo uno de ellos dinámico. 3. Adaptaciones de Software y Mensajería • Capacidad de Procesamiento: Las instituciones receptoras deben demostrar capacidad para procesar un mínimo de 15 transacciones por segundo. 4. Gestión Operativa y de Archivos • Intercambio de Archivos (STI) • Compensación Financiera

La solución soporta mecanismos de mensajería robustos, altamente estructurados y basados en estándares internacionales para el intercambio transaccional entre todos sus participantes. Estándar Internacional ISO 8583 El intercambio de mensajes entre los Host Bancarios y el Switch de Redbanc se basa estrictamente en el formato ISO 8583 (versión 1987). Este es el estándar global para transacciones financieras originadas por tarjetas y transferencias electrónicas, lo que garantiza la compatibilidad técnica con los sistemas bancarios tradicionales.

La solución es compatible para soportar ISO 20022 mediante desarrollo, parametrización o incorporación de módulos complementarios.

La solución permite interoperar con sistemas o componentes basados en ISO 8583, lo que permite un sistema de mensajería robusta, altamente estructurada y basados en estándares internacionales para el intercambio transaccional entre todos sus participantes.

La solución implementada por Redbanc permite una integración eficiente con los sistemas core bancarios y las cuentas de depósito de los participantes a través del Movimiento Electrónico de Dinero, el cual actúa como la capa financiera para ejecutar cargos y abonos en tiempo real. A continuación, se detallan los aspectos clave de esta integración: 1. Conexión Directa con el Core Bancario • Mensajería Estandarizada • Componentes de Enlace • Red Segura 2. Gestión de Cuentas de Depósito • Tipos de Cuenta Soportados: La solución está diseñada para operar sobre diversos productos bancarios, tales como cuentas corrientes, cuentas vista y cuentas de provisión de fondos.

La solución implementada expone un ecosistema de APIs estandarizadas y ampliamente documentadas, diseñadas para facilitar la integración técnica de los distintos actores autorizados, como bancos y enroladores. A continuación, se detallan las interfaces y recursos disponibles: 1. Integración para Enroladores (Pagadores y Recaudadores) La plataforma ofrece un conjunto de APIs REST estandarizadas que se gestionan principalmente a través del Portal Developer, tales como: o Generación de tokens de pago (QR): Para iniciar ventas. o Validación de tokens: Para que la billetera verifique los datos del QR. o Autorización de transacciones: Para confirmar el pago y activar el movimiento de fondos. o Gestión complementaria: Incluye APIs para verificar estados de pago, revocar tokens, gestionar reversas y enrolar usuarios. o Gestión de Alias

La solución implementada se integra con el sistema LBTR del Banco Central de Chile y utiliza la arquitectura de la cámara de Transferencia Electrónica de Fondos (TEF) como base operativa y tecnológica. La plataforma está preparada para el proceso de compensación por ciclos para el movimiento efectivo de los fondos en el Banco Central.

La solución implementada cuenta con capacidades de monitoreo técnico y funcional (de negocio) diseñadas para asegurar la operatividad de sus procesos críticos bajo un esquema 24/7. Estas capacidades se estructuran de la siguiente manera: 1. Monitoreo por Componentes El monitoreo se divide según las responsabilidades de los actores tecnológicos del ecosistema: • Monitoreo QRI: Se encarga de supervisar tanto el aspecto técnico como el de negocio de la capa de aplicación. o Técnico: Controla el tiempo de respuesta de todas las APIs, el uso del sistema y el performance de base de datos. o Negocio: Supervisa la generación de códigos QR, montos transados, cantidad de transacciones totales y, específicamente, las transacciones de compra no completadas. • Monitoreo TEF (Redbanc): Supervisa el riel financiero y el switch transaccional. 2. Dashboard y Visualización en Tiempo Real La plataforma ofrece un Dashboard que permite una visualización detallada según el rol del participante. • Trazabilidad • Monitoreo de Servicios 3. Sistema de Alertas

La solución cuenta con capacidades integrales de logging, trazabilidad y observabilidad, diseñadas para cubrir todo el ciclo de vida de una transacción, desde la generación del token hasta la liquidación financiera final. A continuación, se detallan los componentes que sustentan estas capacidades: 1. Logging Transaccional Detallado El sistema registra cada interacción de forma permanente en múltiples capas: • Archivo Log del Sistema (TLF) • Data Warehouse (SQL Server): Esto permite realizar lecturas intensivas y análisis históricos de un año sin degradar la operación en línea. • Registro de Errores 2. Trazabilidad Técnica End-to-End Para garantizar que se pueda seguir el rastro de una operación a través de los distintos módulos y actores, la solución emplea un Árbol de UUID (Identificadores Únicos): 3. Observabilidad y Herramientas de Visualización La plataforma cuenta con herramientas especializadas para que tanto los administradores como los participantes puedan observar el estado del ecosistema. • Dashboard: Permite visualizar el detalle y las trazas de una transacción particular. Ofrece una visión detallada de cada interacción y permite rastrear el flujo completo realizado por los usuarios. • Área de Observabilidad: Existe una entidad interna formal denominada Jefe de Observabilidad encargada de administrar la plataforma de Control, la cual supervisa los indicadores de desempeño y genera reportes automáticos de operaciones en curso. Splunk y Dynatrace, son las utilizadas principalmente para monitoreo de servicio y logs. Y se complementan con herramientas OBM y SiteScope. Las capacidades que tenemos desplegadas incluyen monitoreo sintético, experiencia usuaria y el uso de la IA, todo en línea. • Sistema de Consultas Web: Los bancos participantes tienen acceso a una herramienta web donde pueden consultar en detalle cualquier transacción efectuada en los últimos 30 días, utilizando múltiples identificadores de búsqueda.

Para el procesamiento de transacciones en el ambiente productivo de Redbanc, la latencia esperada se define a través de los umbrales de monitoreo y los tiempos máximos de respuesta (timeouts) establecidos en los protocolos de la red: 1. Latencia Promedio (Óptima) El sistema de monitoreo técnico define el funcionamiento óptimo de los servicios basándose en el tiempo de respuesta de las APIs y componentes. • Latencia Objetivo: Se considera un tiempo de respuesta óptimo si es menor a 0.5 segundos. 2. Latencia con Degradación Ligera Se identifica una situación de alerta preventiva cuando los tiempos de respuesta se incrementan levemente, aunque esto no afecte directamente la operación: • Rango de Alerta: Entre 0.5 y 1 segundo. 3. Latencia Máxima Esperada (Umbrales de Error) Cuando la latencia supera ciertos límites, el sistema activa protocolos de atención inmediata. • Atención Inmediata: Un tiempo de respuesta mayor a 1 segundo se considera crítico y requiere intervención para evitar interrupciones.

La capacidad de procesamiento transaccional (TPS) de la plataforma implementada, se define principalmente a través de los requerimientos mínimos de integración y las proyecciones de volumen en régimen: • Capacidad de la Infraestructura Central: El sistema opera sobre el switch transaccional Base24-eps de Redbanc y servidores con tecnología Fault Tolerant (Non Stop). Esta infraestructura está diseñada para el intercambio continuo y masivo de transferencias en línea bajo un esquema 24/7. • De acuerdo a prueba de carga efectuada en Q2 del 2025 el peak soportado es de 475 TPS.

La arquitectura de la plataforma está diseñada para permitir el escalamiento tanto horizontal como vertical, asegurando que el incremento en el volumen transaccional no degrade el servicio. Esto se logra mediante una combinación de infraestructura en la nube, contenedores y hardware de alta capacidad. A continuación, se detallan los mecanismos que permiten este escalamiento: 1. Escalamiento Horizontal (Arquitectura Distribuida) La solución implementa un modelo que permite añadir más instancias de procesamiento para repartir la carga: • Contenedores y Microservicios • Balanceo de Carga Multi-site • Tecnología Multi-tenant 2. Escalamiento Vertical y Capacidad (Infraestructura Robusta) El sistema se apoya en hardware de alto rendimiento diseñado para grandes volúmenes: • Equipos Fault Tolerant y Non Stop • Requerimientos de TPS El uso de contenedores elásticos, la distribución multisitio y el monitoreo proactivo de hardware garantizan que la solución pueda escalar para soportar altos volúmenes transacciones.

La solución implementada cuenta con mecanismos robustos de autenticación y autorización diseñados bajo un modelo de seguridad multicapa, alineados con estándares críticos de la industria financiera y tecnológica. Los pilares de seguridad de la plataforma se detallan a continuación: 1. Autenticación Robusta (Identidad) • Tecnología mTLS (Mutual TLS): Para la comunicación entre enroladores y la plataforma. • Doble Factor de Autenticación (2FA) y OTP • Biometría Facial: Para procesos de alta en el Portal de Cartolas y autorizaciones en billeteras, se integra el uso de biometría facial. 2. Autorización y Control de Acceso (Permisos) • Secretos de Autorización: El Enrolador Pagador utiliza un secreto de autorización único para firmar las peticiones de pago, permitiendo autorizar cargos específicos sobre las cuentas IFO. • Control de Acceso Basado en Roles (RBAC): El Dashboard y el Portal Admin gestionan el acceso mediante roles, limitando las funcionalidades y datos visibles según la responsabilidad del actor. 3. Integridad y Estándares de la Industria • Firma de Integridad (HMAC SHA-256): Todas las peticiones y respuestas JSON se firman mediante un algoritmo de integridad. • Mensajería ISO y MAC • Hardware de Seguridad (HSM): El almacenamiento de llaves criptográficas y la generación de códigos MAC se realizan en dispositivos físicos HSM. • Certificación PCI DSS: Redbanc cuenta con la certificación PCI DSS, que cubre componentes críticos como el Switch transaccional (Base24-eps), el DataWarehouse y el ambiente de procesamiento, asegurando la gestión segura de vulnerabilidades y datos. La arquitectura integra múltiples capas de seguridad (mTLS, firmas SHA-256, biometría y hardware HSM) que cumplen con los estándares internacionales para operaciones financieras seguras.

La solución implementa diversos mecanismos de protección de datos, incluyendo cifrado, seudonimización y políticas de minimización de información, cumpliendo con estándares reconocidos de la industria financiera como PCI DSS. A continuación, se detallan estas capacidades según lo estipulado en los documentos: 1. Cifrado de Datos • En Tránsito: o mTLS (Mutual TLS): Se utiliza para la comunicación entre los participantes, garantizando que el canal esté cifrado de punto a punto y que ambas partes estén autenticadas mediante certificados funcionales. o HTTPS: Todos los proyectos expuestos a Internet utilizan certificados HTTPS para cifrar las comunicaciones entre los usuarios y los servicios. o Red Interbancaria Interconectada (RBI): Provee una red privada y segura que garantiza la confidencialidad e integridad de los mensajes intercambiados. • En Reposo: o Sistema de Transferencia de Información (STI): Los archivos que contienen detalles de transacciones se almacenan de forma cifrada en las casillas STI. o Base de Datos: Se implementan certificados x509 para autenticar y cifrar las conexiones entre las aplicaciones y la base de datos. 2. Ofuscación de Cuentas: En las consultas de información, como la gestión de Alias, el sistema muestra detalles como el tipo y número de cuenta de forma ofuscada para proteger la privacidad del usuario. Los datos personales son conservados sólo por el período de tiempo que es necesario para cumplir con los fines del tratamiento, luego de lo cual son suprimidos. Se realizan actividades anonimización cuando los datos son requeridos fuera del entorno de la solución.

Los derechos para el acceso, rectificación y eliminación sobre los datos personales, se ejercen directamente por la institución que enroló al usuario (su banco o billetera digital), la cual utiliza las herramientas provistas por la solución Redbanc para reflejar dichos cambios o gestionar las bajas correspondientes en el ecosistema.

La solución garantiza la integridad y no alteración de las transacciones mediante un modelo de seguridad multicapa que combina firmas digitales, códigos de autenticación de mensajes (MAC) y validaciones de tiempo robustas. A continuación, se detallan los mecanismos técnicos que sustentan esta garantía: 1. Firma de Integridad (SHA-256 + Salt) Todas las comunicaciones entre los enroladores y la plataforma utilizan un Secreto de integridad. Este mecanismo permite firmar las peticiones y respuestas JSON de las APIs mediante el algoritmo SHA-256 junto con un Salt provisto por la plataforma. 2. Message Authentication Code (MAC) Para el intercambio financiero, las transacciones son autenticadas por un MAC generado en cada tramo de la comunicación. 3. Tecnología Filler Checker Este mecanismo genera fragmentos de códigos de seguridad adicionales llamados fillers para validar las transacciones de autorización y devolución. 4. Autenticación mTLS y Seguridad de Red • Mutual TLS (mTLS): • Red RBI Finalmente, Redbanc cuenta con la certificación PCI DSS, la cual audita y valida formalmente la seguridad de los ambientes de procesamiento y el manejo de datos sensibles.

La solución implementada cuenta con una segregación clara y controlada de ambientes, además de controles de acceso diferenciados y políticas de seguridad alineadas con estándares de la industria. A continuación, se detallan los mecanismos que garantizan esta separación y control: 1. Segregación de Ambientes La plataforma define formalmente tres entornos distintos para el ciclo de vida del software y la integración de participantes: • Ambiente de Integración / Desarrollo • Ambiente de QA • Ambiente de Producción 2. Flujo de Controlado entre Ambientes El paso de un ambiente a otro está regulado por procedimientos formales: • Certificación Obligatoria: Un participante solo puede acceder al ambiente productivo tras completar satisfactoriamente un plan de certificación en el ambiente de pruebas. • Gestión de Versiones: Los cambios técnicos se empaquetan en versiones incrementales. 3. Controles de Acceso Diferenciados El acceso a cada entorno y a la información dentro de ellos está segregado mediante: • Credenciales y Certificados Específicos • Filtrado por IP • Control de Acceso Basado en Roles (RBAC) 4. Políticas de Seguridad y Auditoría • Certificación PCI DSS: Redbanc mantiene la certificación PCI DSS, la cual audita y certifica la seguridad de los ambientes de procesamiento (UPF, B24, DWS), incluyendo la gestión de vulnerabilidades y procesos de ethical hacking. • Seguridad Perimetral: Se utilizan firewalls aplicativos (WAF) y capas de protección (como Cloudflare) para detectar tráfico anómalo y prevenir inyecciones de código malicioso tanto en la red privada RBI como en Internet.

Redbanc y sus servicios cumplen con múltiples certificaciones y prácticas de seguridad reconocidas internacionalmente y auditadas por terceros independientes, las cuales garantizan la protección de los datos y la continuidad operativa del servicio. A continuación, se detallan las principales certificaciones y estándares aplicables: 1. Certificaciones Internacionales de Seguridad • ISO/IEC 27001:2022: Es la certificación de Seguridad de la Información en su espectro más amplio, evaluando el sistema de gestión bajo estándares internacionales. • PCI DSS (v4.0.1): El estándar de seguridad de datos para la industria de tarjetas de pago. Certifica que los componentes de procesamiento (como UPF, DWS y Base24) protegen adecuadamente los datos de los tarjetahabientes durante su almacenamiento, transmisión y procesamiento. • PCI 3DS (3-D Secure): Certificación específica para el servicio ACS (Access Control Server) que presta Redbanc, asegurando la seguridad en los flujos de autenticación para transacciones de comercio electrónico. • PCI PIN: Estándar enfocado en la protección del PIN o clave de la tarjeta mediante un cifrado sólido desde su captura hasta su almacenamiento. • ISO 22301:2019: Certifica las prácticas de gestión y gobierno de la continuidad de negocio, asegurando la resiliencia operativa de los procesos y sistemas de Redbanc. • CMMI Nivel 3: Certificación que mide la madurez en el desarrollo y mantenimiento de aplicaciones, garantizando el apego a mejores prácticas internacionales en ingeniería de software. 2. Informes de Auditoría de Terceros La organización se somete anualmente a evaluaciones de control interno bajo estándares globales: • ISAE 3402: Informe de auditoría externa que evalúa el diseño y efectividad de los controles internos de la organización. • NTA 3000 (AT 205): Evalúa controles en ámbitos de riesgo operacional, seguridad de la información y continuidad específicamente para servicios como el procesamiento en cajeros y el servicio STI (Sistema de Transferencia de Información), utilizado para el intercambio seguro de archivos entre las instituciones y Redbanc en la operación de la plataforma.

La solución cuenta con capacidades integrales de trazabilidad y registro automatizado que permiten la reconstrucción y el análisis del flujo completo de las transacciones (end-to-end). Los pilares que sustentan estas capacidades son los siguientes: 1. Registro Transaccional • Registro detallado de todas las operaciones procesadas, desglosado por los diversos eventos operativos ejecutados dentro del sistema. • Prueba Suficiente: Según los Términos y Condiciones, este registro constituye prueba suficiente para identificar puntos de compromiso o fallas en casos concretos, permitiendo determinar grados de responsabilidad y ordenar acciones rectificadoras. • Datawarehouse (DWH): Existe un repositorio centralizado que almacena la totalidad de la información transaccional, sirviendo como origen de datos para lecturas intensivas y análisis sin alterar la operación en línea. 2. Dashboard Aplicativo: Es la herramienta principal para rastrear y analizar el flujo completo de las transacciones. Permite identificar tokens generados, validados y autorizados, además de examinar productos específicos como compras, suscripciones o devoluciones.

La solución implementada cuenta con capacidades robustas de prevención, monitoreo y detección de fraude transaccional, integrando múltiples capas de seguridad técnica y operativa que actúan en tiempo real. A continuación, se detallan los mecanismos principales: 1. Prevención de Fraude (Capa Técnica) • Filler Checker: Esta tecnología implementada en la plataforma genera una segunda llave de autenticación (denominada filler) para asegurar que cada cargo a una cuenta bancaria —ya sea por pago o devolución— esté correctamente autenticado, evitando fraudes y garantizando que solo se procesen operaciones legítimas. • Autenticación mTLS y IPs Fijas: Se utiliza Mutual TLS (mTLS) para una autenticación bidireccional obligatoria entre los enroladores y la plataforma. Además, en producción se exige el uso de IPs públicas fijas para filtrar y asegurar que el tráfico provenga únicamente de fuentes confiables. • Secretos Criptográficos: Cada transacción se asegura mediante el firmado de mensajes JSON con secretos de integridad, autorización y devolución, lo que garantiza que la información no sea manipulada durante su transmisión. 2. Monitoreo en Tiempo Real • Dashboard Operacional: Permite la trazabilidad completa del flujo transaccional. • Sistema de Alertas Visuales: El Dashboard incluye una funcionalidad de monitoreo en tiempo real con códigos de colores basados en el performance. • Monitoreo Técnico y de Negocio: Redbanc supervisa 24/7 el performance de las APIs, la base de datos y el comportamiento de las transacciones (como el ratio de compras completadas vs. no completadas). 3. Detección y Protección Aplicativa • Firewall Aplicativo (WAF): Redbanc implementa sistemas de defensa tanto en la red interbancaria (RBI) como en Internet para la detección de tráfico anómalo y comportamientos sospechosos. 4. Responsabilidades de los Participantes • Obligación de Seguridad: Según los Términos y Condiciones, los suscriptores tienen la obligación contractual de implementar sistemas que identifiquen válidamente a los usuarios y adoptar medidas adecuadas para prevenir ataques cibernéticos.

La solución cuenta con capacidades para definir y gestionar límites transaccionales y reglas de riesgo, las cuales son configurables según el participante, el canal y los criterios de negocio específicos. A continuación, se detallan estas capacidades: 1. Gestión de Límites Transaccionales El sistema permite un control granular de los montos y frecuencias de las operaciones: • Por Cuenta y Canal: El servicio permite definir límites asociados a montos máximos y número de transacciones por periodos (día contable, día calendario, etc.). Además, se pueden establecer montos y números máximos diferenciados según el canal. • Límites por Institución (CPBV): A través del aplicativo Control de Límite Garantizado (CLG), el Administrador de Cámara configura los límites de operación de cada institución financiera en la Cámara de Pago de Bajo Valor. • Límites del Enrolador: Los Enroladores Recaudadores tienen la facultad de establecer, bajo su propio criterio en sus acuerdos con comercios, límites de montos máximos para las instrucciones de pago procesadas a través de la plataforma. • Reglas de Negocio por Token: Existen límites sistémicos predefinidos para ciertos tipos de tokens (T0, T1, T2, T4 y T5). 2. Reglas de Riesgo y Configuración de Estados La solución integra mecanismos para la evaluación de riesgo y la restricción de operaciones sospechosas: • Restricción por Estado Operacional: El servicio de autorización permite restringir tipos de transacciones asignando códigos de acción a estados definidos de la cuenta (se permiten hasta 15 estados diferentes, como cuenta bloqueada o extraviada). • Suscripciones y Recurrencia: En el caso de las suscripciones (token T1), es el usuario pagador quien define y autoriza un monto máximo permitido para los futuros cobros recurrentes. 3. Configurabilidad y Adaptabilidad • Configuración por Comercio: Los Enroladores Recaudadores pueden aplicar configuraciones granulares a nivel de comercio, incluyendo el motor de liquidación y la periodicidad de los retiros.

Las capacidades de detección y prevención de fraude están asociadas a: 1. Detección de Comportamientos y Tráfico Anómalo La infraestructura cuenta con capas de seguridad perimetral y aplicativa que realizan análisis de comportamiento: • Detección de tráfico anómalo: Implementada a través de firewalls aplicativos (WAF) tanto en la Red Interbancaria (RBI) como en las conexiones a Internet. • Protección activa: El modelo cuenta con protección para vulnerabilidades conocidas y comportamientos sospechosos. • Capacidades de detección de amenazas: El tráfico de red es monitoreado constantemente para identificar posibles ataques o exfiltración de datos. 3. Validación de Patrones En el subproceso de autenticación de tarjetas, el Switch Base24 realiza validaciones específicas: • Validación de patrones: El sistema busca cadenas de caracteres previamente informadas en una tabla de patrones por institución para identificar tarjetas o cuentas sospechosas. • Control de límites y estados: Se validan límites, patrones de nombre y el estado de la tarjeta en tiempo real. 4. Herramientas Complementarias • Filler Checker: Esta tecnología genera segundas llaves de autenticación para asegurar que cada cargo o devolución esté correctamente autenticado, evitando manipulaciones del flujo financiero. • Identidad Biométrica: En el proceso de alta de comercios (onboarding), se utiliza biometría facial a través de Sovos para prevenir la suplantación de identidad. • Apoyo de Expertos: La organización trabaja con Botech Fraud Prevention & Intelligence, una entidad especializada en la prevención de fraude para sus certificaciones de seguridad.

La plataforma implementa mecanismos de tokenización y otras protecciones para asegurar que los datos sensibles no residan desprotegidos en los repositorios de los comercios. Los mecanismos principales son: • Tokenización de la Transacción (UUID): El núcleo de la plataforma se basa en la generación de un token de pago único para cada operación. Este UUID es lo que se expone en el código QR y lo que el comercio gestiona, evitando que deba almacenar datos bancarios directos del pagador. • Ofuscación de Datos: En herramientas como la gestión de Alias, el sistema permite listar los Alias asociados a un RUT, pero muestra detalles sensibles como el número de cuenta de forma ofuscada. • Seguridad en Repositorios y Transferencias: o Redbanc cuenta con la certificación PCI DSS para sus componentes de procesamiento y almacenamiento, lo que garantiza estándares rigurosos en la protección de datos. o Los archivos de conciliación y detalle que se intercambian a través del sistema STI se almacenan de forma cifrada y se eliminan de forma segura tras 48 horas. o Las comunicaciones entre instituciones se realizan por la Red Interbancaria (RBI), que garantiza la confidencialidad e integridad de los mensajes.

En el ecosistema implementado por Redbanc, la administración de los sistemas de alertas y las responsabilidades en materia de Prevención de Lavado de Activos y Financiamiento del Terrorismo (PLA/FT) recae principalmente en las entidades participantes, bajo un enfoque basado en riesgos. 1. Responsabilidades de las Partes • Enroladores Pagadores (EP) y Recaudadores (ER): Son los responsables directos de implementar medidas idóneas y ajustadas a un enfoque basado en riesgos sobre PLA/FT respecto de las instrucciones de pago que se originen en el sistema. • Debida Diligencia (KYC): El Enrolador Recaudador tiene la obligación específica de practicar medidas de Conocimiento de Cliente (KYC) y debida diligencia sobre los comercios (Usuarios Recaudadores) que pretenda adherir. Esto debe enfocarse especialmente en la actividad comercial y estructura de propiedad del comercio, tanto antes de su incorporación como de forma continua durante la vigencia del servicio. • Administradores de Saldos: Cualquier suscriptor que gestione y controle saldos de dinero en cuentas bancarias debe velar por la validez y verificación del origen de los fondos de los que tenga conocimiento, cumpliendo con la legislación vigente. • Rol de Redbanc (Orquestador): La función se limita a la gestión tecnológica y operativa de la plataforma. No participa en la tenencia o recepción de los fondos finales ni asume responsabilidad por la validación de fondos que compete a los bancos y enroladores.

La solución provista por Redbanc cuenta con ambientes de integración y certificación específicamente diseñados para que los participantes realicen sus pruebas antes del paso a producción. Estas capacidades se centralizan y gestionan principalmente a través del Portal Developer. A continuación, se detallan las herramientas y ambientes disponibles: 1. Ambiente de Integración • Conectividad Segura: Para acceder a este ambiente, el Portal Developer proporciona Certificados mTLS y los secretos necesarios para establecer conexiones seguras y realizar pruebas de comunicación. • Flexibilidad de IP: A diferencia del ambiente productivo, en el ambiente de integración no es obligatorio declarar IPs públicas fijas para consumir las APIs. • Actualización Constante: Este ambiente se mantiene alineado con las versiones certificadas por el equipo de QA de Redbanc, asegurando que los desarrolladores prueben sobre una base tecnológica estable y similar a la de producción. 2. Herramientas de Simulación y Pruebas Dentro del Portal Developer, los participantes tienen acceso a utilidades que funcionan como un sandbox para validar desarrollos: • Simulador: Es una herramienta de gran utilidad que permite crear escenarios de prueba completos para enroladores pagadores y recaudadores. Permite validar el flujo de punta a punta, desde la creación de usuarios hasta la autorización de pagos y procesos de devolución. • Debugger de Firma: Permite a los enroladores verificar que los algoritmos de integridad y las firmas generadas sobre sus objetos JSON coincidan con los estándares de la plataforma.

La solución define un proceso estructurado de enrolamiento y certificación técnica para la incorporación de nuevos participantes, asegurando que cumplan con los estándares de seguridad e interoperabilidad antes de operar en producción. Este proceso se compone de las siguientes etapas y pilares técnicos: 1. Herramientas de Autointegración (Portal Developer) El punto de entrada técnico es el Portal Developer, que automatiza la creación de integraciones y proporciona los recursos necesarios: • Documentación de mensajería y APIs • Simulador • Debugger de Firma 2. Proceso de Certificación de Evidencias Una vez que el participante completa su desarrollo, debe pasar por una validación formal: • Revisión de Autointegración: El Sistema QRI (Externo) es el encargado de solicitar y revisar la información y las evidencias de las pruebas de autointegración realizadas por el enrolador. • Gestión de Errores: Si se detectan problemas en las evidencias, el Sistema QRI informa al participante y solicita las correcciones pertinentes antes de avanzar. 3. Hito de QA Redbanc Antes del paso a producción, existe una certificación interna final: • Certificación de la Entrega: El equipo de QA de Redbanc instala la versión empaquetada en un ambiente de pruebas, siguiendo una pauta de instalación y planes de prueba específicos. • Aprobación para Producción: Una vez que QA Redbanc certifica la entrega como correcta, la solución queda habilitada para su implementación en el ambiente productivo.

La plataforma implementada cuenta con componentes tecnológicos diseñados para la interoperabilidad y el manejo de transacciones internacionales. A continuación, se detallan las capacidades de la arquitectura relacionadas con este ámbito: 1. Módulo Translator para Interoperabilidad Externa La solución incluye un módulo denominado Translator, cuya función es permitir que usuarios de billeteras adheridas paguen utilizando códigos QR generados por plataformas externas. 2. Visión de Interoperabilidad Aunque actualmente se enfoca en conectar enroladores e instituciones financieras dentro del mercado local, su diseño busca unificar la experiencia del cliente y ampliar el mercado de medios de pago, lo que técnicamente facilita la conexión futura con pagos transfronterizos mediante sus APIs y el módulo Translator.

La arquitectura de la solución implementada por Redbanc es inherentemente flexible y modular, diseñada para evolucionar e incorporar nuevas capacidades sin requerir rediseños estructurales profundos. Esta flexibilidad se sustenta en su modelo de módulos independientes y su motor de reglas configurable. A la fecha de hoy, se cuenta con las siguientes funcionalidades full desarrolladas y en producción: 1. Pagos P2P interoperados (directos y request to pay) 2. Directorio de Alias 3. Pagos P2M basados en Alias presenciales y no presenciales 4. Pagos P2M basados en QR interoperables presenciales y no presenciales 5. Transacciones de Pagos Recurrentes 6. Links de Pago 7. QR interoperados estáticos y dinámicos 8. Stock de Transacciones asociadas a P2M (cargos y abono en línea, devoluciones totales y parciales en tiempo real, administración de cuotas BNPL, entre otras) 9. Pagos de nómina