Volver a casos de uso
01 FINTECH Sectores regulados Critico

FinTech — Gateway de Pagos PSD2/PCI-DSS

Entidad financiera europea implementa un gateway de pagos cumpliendo PSD2 y PCI-DSS nivel 1.

intake ★★★
architect ★★★
vigil ★★★
licit ★★★
Diagrama de arquitectura
Contexto

Una entidad financiera europea implementa un gateway de pagos que cumple PSD2 (Strong Customer Authentication) y PCI-DSS nivel 1. Requisitos llegan de cuatro departamentos: regulatorio (PDF legal), producto (Jira), seguridad (Confluence), y arquitectura (Google Docs). Al operar en la UE, el EU AI Act exige documentar el uso de IA en el desarrollo.

Flujo con 4 herramientas
Fase 01 intake

Normalizacion de requisitos regulatorios

Captura desde Jira, Confluence, PDFs legales y Google Docs. Detecta 47 requisitos funcionales deduplicados de 83, 12 no funcionales, 6 conflictos entre fuentes.

◻ intake 
intake init "Payment Gateway PSD2" \
  --source jira://PAYMENTS/sprint-42 \
  --source confluence://arch/payment-rfc \
  --source docs/psd2-regulation-v3.pdf \
  --source gdocs://1a2b3c4d/meeting-notes-payments \
  --mode enterprise
Fase 02 architect

Implementacion con guardrails financieros

Pipeline con archivos protegidos, quality gates de vigil y licit, y reglas de codigo que bloquean verify=False por PCI-DSS.

△ architect 
architect pipeline pipelines/payment-feature.yaml \
  --var task="SCA Authentication Service" \
  --var spec_dir="specs/payment-gateway/"
Fase 03 vigil

Verificacion de seguridad financiera

Verifica dependencias crypto, JWT lifetime, algoritmos de cifrado y asserts reales en tests de pago.

◇ vigil 
vigil scan src/services/payment/ --format sarif --output vigil-payment.sarif
Fase 04 licit

Compliance regulatorio y provenance

Inicializa tracking de provenance, genera FRIA, Annex IV, y evalua compliance EU AI Act y OWASP Agentic.

⬡ licit 
licit init
licit trace --since "2024-01-01"
licit fria
licit annex-iv
licit report --format markdown
licit verify --min-score 75
Pipeline CI/CD
.github/workflows/payment-pipeline.yml 
name: Payment Gateway CI/CD
on:
  pull_request:
    paths: ['src/services/payment/**']
jobs:
  spec-compliance:
    steps:
      - run: intake verify specs/payment-gateway/ --project-dir . --format junit
  security-scan:
    steps:
      - run: vigil scan src/services/payment/ --format sarif --output vigil.sarif
  regulatory-compliance:
    needs: [security-scan]
    steps:
      - run: |
          licit trace
          licit connect vigil --sarif vigil.sarif
          licit verify --min-score 75
Por que licit es critico aqui

En fintech europeo, el EU AI Act exige documentar el uso de IA en sistemas de alto riesgo. Un gateway de pagos que usa agentes de IA para generar codigo necesita: provenance tracking, FRIA, Annex IV, y evaluacion OWASP. Sin licit, este compliance requeriria semanas de trabajo manual por auditoria.