Reforma a la norma de control de seguridades en el uso de canales electrónicos para las entidades financieras controladas por la SEPS

Mediante Resolución No. SEPS-IGT-IGS-INSESF-INR-INGINT-INSEPS-2023-0270 de la Superintendencia de Economía Popular y Solidaria, publicada en el Registro Oficial No 308 del 11 de mayo del 2023, se expidió la reforma a la Norma de control de seguridades en el uso de canales electrónicos para las entidades financieras controladas por la SEPS. Con la reforma, se amplía la norma original creando un marco normativo para la gestión de riesgos por parte de aquellas entidades financieras reguladas por la SEPS, y se establece una serie de medidas para salvaguardar la confidencialidad, integridad y disponibilidad de la información y transacciones de los usuarios.

Sección I: 

En la sección I se establece el alcance, objetivo y definiciones de la norma:

• Ámbito: La norma aplica a entidades financieras como cooperativas de ahorro y crédito, asociaciones mutualistas de ahorro y crédito para la vivienda, y cajas centrales, que operan a través de canales electrónicos.
• Objeto: El propósito de la norma es regular las medidas de seguridad mínimas que deben cumplir tanto las entidades financieras como las empresas auxiliares que ofrecen servicios a través de canales electrónicos. 
• Definiciones: La norma proporciona definiciones clave para términos relacionados con la seguridad y operaciones en canales electrónicos. Estas definiciones incluyen conceptos como activos de información críticos, autenticación, autenticación de múltiples factores, billeteras digitales, banca móvil, banca en línea, canales electrónicos o digitales, cajeros automáticos, confidencialidad, disponibilidad, cifrado, medios de pagos digitales, servicios financieros electrónicos, terminales de puntos de venta, tiempo real, transacción electrónica, usuarios, entre otros.

 

Sección II:

La Sección II de la normativa se enfoca en las medidas de seguridad que las entidades financieras deben implementar en sus canales electrónicos para asegurar la confidencialidad, integridad y disponibilidad de la información y transacciones de los usuarios:

Medidas de seguridad de la información (Artículo 4):

• Las entidades deben garantizar la protección de la información de los usuarios.
• Se deben establecer alertas y controles para prevenir riesgos.
• Debe existir separación de funciones entre el personal que opera y accede a sistemas.
• La autenticación debe requerir al menos dos de tres factores: algo que se sabe, algo que se tiene, algo que es.
• La autenticación de múltiples factores debe ser implementada en todas las plataformas.
• Los usuarios deben ser capacitados sobre riesgos y medidas de seguridad.

Medidas de seguridad tecnológicas (Artículo 5):

• Se deben implementar protocolos de seguridad para autenticar usuarios.
• La información crítica debe ser cifrada en reposo y en tránsito.
• El software debe ser desarrollado siguiendo estándares de seguridad.
• Deben existir registros y reportes de actividades transaccionales.
• Se debe monitorear el comportamiento de usuarios y detectar patrones sospechosos.
• Las direcciones IP y números de teléfono deben ser registrados.
• Los sistemas deben tener relojes sincronizados.
• La comunicación debe ser segura mediante cifrado.
• Deben utilizarse tecnologías para generar y validar claves de transacción.
• Las transacciones deben tener claves actualizadas y ser bloqueadas preventivamente por intentos fallidos.

Transacciones en canales electrónicos (Artículo 6):

• Se deben validar y establecer límites en las operaciones.
• Se controla el valor de las transferencias y se consulta el saldo en tiempo real.
• Los usuarios deben ser notificados sobre riesgos y deben tener mecanismos de autenticación fuerte.
• Se debe bloquear preventivamente en casos anómalos.
• Debe existir una línea de emergencia y validación de identidad en atención no presencial.
• Deben conservarse registros de transacciones.

Continuidad de operaciones (Artículo 7):

• Deben existir planes para asegurar la continuidad en caso de eventos imprevistos.

Planes de mitigación (Artículo 8):

• Las entidades deben tener planes para responder a incidentes de seguridad y mejorar su respuesta de forma constante.

 

Sección III:

La Sección III detalla medidas de seguridad específicas para distintos servicios financieros ofrecidos a través de canales electrónicos:

Cajeros automáticos, quioscos y similares (Artículo 9):

• Las entidades deben asegurarse de que las claves no se almacenen en ningún momento.
• Los dispositivos de autenticación deben cifrar la información ingresada.
• Se deben implementar mecanismos internos para garantizar la autenticidad del dispositivo.
• Las transacciones realizadas deben notificarse a los usuarios por al menos dos vías.
• Las entidades deben cumplir con las normativas de seguridad física y electrónica.

Terminales de puntos de venta (Artículo 10):

• Los establecimientos deben procesar los pagos en presencia del usuario.
• Se deben notificar las transacciones a los usuarios por al menos dos vías.
• Se debe confirmar que los técnicos que trabajan en los puntos de venta sean autorizados.

Banca electrónica o banca móvil (Artículo 11):

• Deben implementarse mecanismos para detectar copias no autorizadas del sitio web.
• Se deben proteger los enlaces y certificados digitales de alteraciones.
• Debe haber autenticación segura para acceder a los servicios, siguiendo buenas prácticas.
• La autenticidad del usuario debe ser validada a través de canales distintos a Internet o mediante métodos biométricos.
• Al iniciar sesión en la banca móvil, se debe enviar un mensaje al usuario a través de al menos dos medios electrónicos.

Banca telefónica a través de IVR (Artículo 12):

• Además de las medidas operativas, los usuarios deben autenticar su identidad a través del IVR con una contraseña adicional única para el usuario.

 

Sección IV:

La Sección IV establece medidas de seguridad relacionadas con los servicios ofrecidos a los usuarios a través de canales electrónicos:

Medidas de seguridad en la afiliación y uso (Artículos 13-18):

• Contratos digitales con autenticación.
• Algoritmos seguros y prevención de acceso fraudulento.
• Información y notificaciones detalladas al usuario.
• Identificación única, contraseña y factores de autenticación.

Gestión de seguridad y transacciones (Artículos 19-23):

• Inhabilitación inmediata en amenazas.
• Confirmaciones con no repudio y notificaciones de transacciones.
• Monitoreo y notificación de operaciones inusuales.
• Procedimientos para atender bloqueos y reclamos.

Comunicación y educación (Artículos 24-25):

• Campañas educativas sobre canales electrónicos.
• Información oficial sobre uso correcto.

Reporte y resolución (Artículos 26-28):

• Notificación de transacciones no reconocidas.
• Reporte de transacciones fraudulentas o no reconocidas.
• Responsabilidad de las entidades en transacciones no autorizadas.

Gestión de riesgos (Artículos 29-30):

• Cobertura de pérdidas mediante seguros o mecanismos.
• Finalización automática de sesiones inactivas y comunicación sobre seguridad en enlaces externos.

 

Sección V:

La Sección V se enfoca en respaldos y auditoría en canales electrónicos:

Inventario de activos y auditoría de seguridad (Artículos 31-32):

• Mantenimiento de inventario de activos de información críticos.
• Procedimientos de auditoría de seguridad al menos anualmente.

Plan de trabajo de auditoría (Artículo 33):

• La unidad de auditoría interna incluirá en su plan anual la evaluación de cumplimiento de la norma.

Registro y respaldo de operaciones (Artículo 34):

• Generación de archivos que respalden detalles de operaciones.
• Conservación de archivos contables y respaldos físicos por diez años, quince años en formato digital.
• Conservación de registros de comunicaciones por seis meses, hasta agotar instancias legales en caso de reclamos.

 

Sección VI:

La Sección VI establece las responsabilidades específicas que recaen en diferentes tipos de instituciones financieras con respecto a la seguridad en las transferencias electrónicas. Aquí está un resumen organizado de estas responsabilidades:

Responsabilidades Generales (Artículo 35 y Artículo 36):

• El consejo de administración es responsable de aprobar políticas, procesos y procedimientos de seguridad en transferencias electrónicas.
• El representante legal asume la responsabilidad de implementar las políticas y procedimientos de seguridad en transferencias electrónicas.
• Se establece un enfoque en la gestión integral de riesgos en materia de seguridad, a cargo del comité de administración integral de riesgos.
• La unidad de tecnología de la información o el responsable de tecnología de la información (según corresponda) es responsable de elaborar y presentar al comité de administración integral de riesgos las políticas, procesos y procedimientos de gestión de riesgos en transferencias electrónicas, así como sus actualizaciones, basadas en estándares internacionales y análisis de riesgo.
• La auditoría interna es responsable de verificar la eficacia de las medidas de seguridad y de custodiar los informes de las pruebas de vulnerabilidad, poniéndolos a disposición de la Superintendencia de Economía Popular y Solidaria cuando sea necesario.
• Se promueve la verificación y recomendación de medidas correctivas por parte del consejo de vigilancia en función de la eficacia de las medidas de seguridad.

 

Disposiciones generales y transitorias:

Autorizaciones y responsabilidades de la Superintendencia de Economía Popular y Solidaria: 

• Los servicios financieros ofrecidos a través de canales electrónicos deben ser autorizados previamente por la Superintendencia.
• Si se usan terminales electrónicos que no pertenecen a la red de la entidad financiera, la entidad debe asegurarse de que cumplan con los requisitos de seguridad establecidos en esta norma.
• En caso de duda sobre la aplicación de esta norma, la Superintendencia de Economía Popular y Solidaria tomará decisiones.

Colaboraciones: 

• Las entidades pueden ofrecer servicios a través de canales electrónicos en colaboración con otras entidades financieras o compañías de servicios auxiliares, siempre que cumplan con esta norma. Los contratos deben especificar las responsabilidades de todas las partes involucradas.
• Las entidades pueden establecer acuerdos de asociación para ofrecer servicios de transferencias electrónicas, siempre que todas las entidades participantes cumplan con esta norma y obtengan la autorización de la Superintendencia de Economía Popular y Solidaria.

Fechas límites de implementación

• Las entidades y compañías de servicios auxiliares que ya ofrecen servicios a través de canales electrónicos deben implementar lo establecido en esta norma antes del 1 de abril de 2024. Sin embargo, de manera obligatoria e inmediata, deben observar y aplicar lo señalado en el Anexo 1: “Medidas mínimas operativas de seguridad en transferencias electrónicas.”
• Las compañías y organizaciones de la Economía Popular y Solidaria que ya habían iniciado el proceso de calificación antes de la entrada en vigencia de esta resolución deben cumplir con los requisitos y procedimientos vigentes en ese momento.

*Este artículo es meramente informativo. Si necesitas asesoría legal personalizada, no dudes en contactarnos. Nuestro equipo de profesionales está listo para brindarte la orientación que necesitas.