Test Visual para Fintech y Banca: Por Qué el On-Premise No Es Negociable
Test de regresión visual: proceso automatizado de comparación de capturas de pantalla de una interfaz antes y después de una modificación, para detectar cualquier cambio visual no intencionado — según el glosario del ISTQB (International Software Testing Qualifications Board), es una forma específica de test de regresión aplicada a la capa de presentación.
Imagina la escena. Un cliente abre su aplicación bancaria un lunes por la mañana. La pantalla de saldo muestra un importe con la coma desplazada. En lugar de 12.450,00 €, lee 124,50 €. El cliente entra en pánico, llama al servicio de atención al cliente, publica en redes sociales. El saldo real no ha cambiado — es un bug CSS que desplazó el formato. Pero el daño está hecho.
Este escenario ilustra una realidad que todo responsable de QA en finanzas conoce: la interfaz de usuario no es un detalle cosmético. Es la capa de confianza entre tu institución y tus clientes. Y un pixel mal colocado puede costar infinitamente más que un bug funcional clásico.
Por qué las interfaces financieras son superficies críticas
Hay una diferencia fundamental entre un bug visual en un sitio e-commerce y un bug visual en una interfaz bancaria. En un sitio e-commerce, pierdes una venta. En una interfaz bancaria, desencadenas el miedo — miedo a perder dinero, miedo al fraude, miedo a que el banco haya perdido el control. Y el miedo se propaga. Un tweet, un post en Reddit, un artículo de prensa — y la confianza construida durante años se erosiona en horas.
Las interfaces financieras muestran datos intrínsecamente ansiógenos cuando son incorrectos: saldos, historiales de transacciones, importes de transferencias, dashboards de inversión. Una visualización incorrecta puede incluso llevar a un cliente a validar una operación que no habría validado con la información correcta. El bug visual tiene entonces consecuencias funcionales reales — incluso si el backend funciona perfectamente.
Los equipos testean sus APIs exhaustivamente, automatizan los tests funcionales, verifican cada cálculo del lado del servidor. Pero la capa de presentación sigue verificándose manualmente con demasiada frecuencia. Este enfoque no escala y deja pasar regresiones sutiles: un desplazamiento de 2 píxeles en una tabla, un color modificado en un indicador de estado, una fuente de respaldo que reemplaza a la fuente principal.
El marco regulatorio y sus implicaciones para el test visual
PCI-DSS 4.0. El requisito 3 (protección de datos almacenados), el requisito 6 (desarrollo seguro) y el requisito 7 (restricción de acceso) se aplican directamente. Cuando tu herramienta de test visual captura un dashboard que muestra números de tarjeta enmascarados, importes e identificadores de clientes, esa captura está sujeta a PCI-DSS. Enviarla a un cloud americano crea un problema de conformidad.
ACPR. Desde las recomendaciones de 2024 sobre el cloud, los establecimientos deben demostrar el control efectivo de los datos externalizados y disponer de planes de reversibilidad. Una herramienta de test SaaS que almacena tus capturas en el cloud entra en este perímetro.
DORA. En vigor desde enero de 2025, este reglamento europeo exige probar la resiliencia de los sistemas ICT y refuerza las exigencias sobre los proveedores terceros — lo que concierne directamente a las herramientas SaaS utilizadas en el testing.
Lo que estas regulaciones dicen en esencia: debes testear tus interfaces, proteger los datos que aparecen en esos tests y controlar las herramientas utilizadas. Enviar capturas con datos financieros a un cloud americano dificulta el cumplimiento de cada una de estas exigencias.
El problema fundamental del cloud para las capturas bancarias
Tu equipo de QA usa una herramienta SaaS. La herramienta captura una pantalla de gestión de cuentas en staging: nombres de clientes, importes, IBAN parciales, indicadores de estado. La captura se envía a los servidores del proveedor.
¿Dónde está almacenada físicamente? ¿Quién tiene acceso? ¿Está sujeta al CLOUD Act americano, que permite a las autoridades estadounidenses exigir acceso a datos almacenados por empresas americanas, incluso en servidores europeos?
Y está el problema de los datos de staging. "Nuestras capturas no contienen datos reales", afirman los equipos. En la práctica, los entornos de staging de los bancos suelen contener copias parciales de datos de producción. Un IBAN con formato válido, incluso generado aleatoriamente, combinado con un nombre y un importe, puede constituir un dato personal según el RGPD.
La única forma de eliminar estructuralmente este riesgo — no mitigarlo, eliminarlo — es que las capturas nunca salgan de tu infraestructura.
El on-premise: una obligación, no una preferencia
El test visual on-premise significa que todo el proceso — captura, almacenamiento, comparación, resultados — se ejecuta en máquinas que tú controlas. Este enfoque elimina la cuestión de la transferencia a terceros, suprime el riesgo del CLOUD Act, simplifica la conformidad PCI-DSS y satisface las exigencias de la ACPR.
Históricamente, el on-premise significaba licencias costosas y servidores que aprovisionar. Esta ecuación ha cambiado. Hoy existen herramientas que funcionan en local sin infraestructura pesada — aplicaciones de escritorio que se instalan en minutos.
Cómo Delta-QA responde a las exigencias de las finanzas
Ningún dato sale de tu máquina. Las capturas se toman localmente, se almacenan localmente, se comparan localmente. Sin servidor Delta-QA, sin API cloud, sin transferencia de red. Cuando tu auditor PCI-DSS pregunte adónde van las capturas: a ningún sitio.
Sin código, sin SDK, sin pipeline. En finanzas, los pipelines CI/CD están bloqueados y auditados. Añadir un SDK de terceros requiere una revisión de seguridad. Delta-QA evita este problema: es una aplicación de escritorio. La instalas, navegas, la herramienta compara. Sin modificación de tu código.
Un algoritmo determinista, no una caja negra de IA. El algoritmo estructural en 5 pasadas analiza el CSS real. Cuando detecta un cambio, dice exactamente qué: "el tamaño de fuente pasó de 14px a 13px". Es auditable, reproducible, explicable — una ventaja significativa en un contexto regulatorio.
La versión Desktop es gratuita y sin límites. Sin proceso de compra, sin presupuestos, sin contrato anual. Descargas, testeas.
Qué detecta el test visual en las interfaces financieras
Las regresiones más críticas en finanzas son específicas: errores de formato numérico (separadores de miles, decimales, símbolos de divisa), regresiones de dashboard (gráficos superpuestos, columnas desaparecidas), problemas de estados condicionales (colores de estado invertidos, mensajes de error mal estilizados) y regresiones de accesibilidad (contraste insuficiente, zonas clicables reducidas).
Limitaciones a conocer
El test visual no reemplaza los tests funcionales ni los tests de seguridad. Verifica la integridad visual, no la lógica de negocio.
Delta-QA no ofrece integración CI/CD cloud nativa. Si tu flujo de trabajo exige un test automático en cada pull request en un pipeline cloud, no es la herramienta adecuada hoy. Es una elección de diseño que preserva el modelo on-premise, pero es una limitación real.
FAQ
¿El test visual es obligatorio para la conformidad PCI-DSS?
PCI-DSS no exige explícitamente el test visual. Sin embargo, los requisitos 6.2 y 6.3 implican procesos de test que cubran toda la aplicación. Un auditor que constate que un bug de visualización llevó a un cliente a realizar una operación errónea podría considerarlo un fallo del proceso de test. Es un control preventivo fuertemente recomendado.
¿Las capturas de staging son datos sensibles?
Sí, en la mayoría de los casos. Si contienen IBAN en formato válido, nombres e importes, son datos personales según el RGPD — incluso si los datos son sintéticos.
¿Qué diferencia hay entre SaaS y on-premise para un banco?
La ubicación del procesamiento de datos. Con un SaaS, tus capturas van a los servidores del proveedor. Con una herramienta on-premise, todo se queda en tu infraestructura. Para un banco, esta diferencia tiene implicaciones en PCI-DSS, ACPR, RGPD y el CLOUD Act.
¿Puede Delta-QA integrarse en un pipeline CI/CD bancario?
Delta-QA es una herramienta de escritorio local. No se integra nativamente en un pipeline CI/CD cloud. Para los bancos, esta limitación es a menudo una ventaja: los pipelines bancarios son entornos donde añadir una herramienta de terceros requiere semanas de validación. Delta-QA permite testear inmediatamente, como complemento de los tests del pipeline.
¿Cuánto cuesta la puesta en marcha para un equipo bancario?
Con Delta-QA, el coste inicial es cero. La versión Desktop es gratuita sin límites. La inversión principal es el tiempo para definir los recorridos de test. Para una aplicación con 20 a 30 pantallas críticas, cuenta con uno a dos días de puesta en marcha.
¿El test visual detecta problemas de accesibilidad?
Detecta regresiones visuales de accesibilidad: pérdida de contraste, reducción de zonas clicables, desaparición de indicadores de foco. No reemplaza una auditoría completa (RGAA, WCAG 2.1), pero previene regresiones entre dos auditorías.
Conclusión
En la banca y la fintech, el test visual es un control necesario sobre una superficie crítica. Las regulaciones convergen hacia la misma exigencia: controla tus datos y tus herramientas. El on-premise no es una preferencia técnica — en las finanzas, es una obligación.