Nuevas normas para las entidades financieras y servicios de pago asociados a servicios financieros digitales
Con fecha 2 de junio se publicó la comunicación "A" 7783 del Banco Central de la República Argentina (BCRA), la cual establece los nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información asociados a los servicios financieros digitales para las Entidades Financieras y Proveedores de Servicios de Pago (PSP) de Argentina, estos cambios se encuentran alineados con lo definido en la Comunicación "A" 7724 de BCRA recientemente emitida por el BCRA, la cual aún se encuentra en periodo de implementación.
Esta nueva comunicación viene a establecer una nueva base de Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y seguridad de la información, derogando la Sección 11 de las normas sobre "Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información" del BCRA. Los cambios indicados en esta comunicación entrarán en vigencia o aplicabilidad a los 180 días corridos desde su difusión.
La comunicación también extiende su alcance a las infraestructuras del mercado financiero conocidas como Sistema de Pago de importancia sistémica como: Interbanking, Coelsa, Link y Prisma, lo que busca una mayor cobertura en la gestión de riesgo de las operaciones realizadas por servicios financieros digitales.
Dentro de los principales aspectos que cubre la comunicación se encuentran:
- Definición de aspectos de control y monitoreo de aquella prestación de servicios financieros a clientes por medios digitales que permitan efectuar al menos, transferencias, pagos, extracciones, consultas u otras operaciones en línea, permitidas por las regulaciones vigentes.
- La consideración y evaluación de los riesgos vinculados a la apertura de cuentas no presenciales de clientes, los factores de autenticación de los clientes y la autorización o confirmación de las instrucciones realizadas por los clientes en los servicios digitales.
- Implementar suficientes controles que permitan la correcta identificación y autenticación de los clientes al efectuar cualquier tipo de transacción sobre los servicios digitales.
- Implementar medidas para la detección y finalización de sesiones de los clientes no autorizadas en los servicios digitales.
- Limitar la exposición de los datos personales de los clientes.
- Validar que los dispositivos de uso sean los asociados por el cliente.
- Deber de mantener registros de las operaciones realizadas e informar al cliente de las mismas.
- Diseñar procesos que permitan corroborar la correspondencia unívoca de los datos o elementos requeridos con la persona humana que se pretende identificar.
- Validación de los puntos de contacto declarados por el cliente.
- Es fundamental implementar sistemas de encriptación y autenticación robustos para salvaguardar los datos durante las transacciones financieras. Esto implica el uso de tecnologías avanzadas, como el cifrado de extremo a extremo y la autenticación multifactor, para proteger la información confidencial de los clientes frente a posibles amenazas cibernéticas.
- Los valores asociados a los identificadores de acceso utilizados en los servicios financieros digitales no podrán incluir datos personales o públicos del cliente y se deberá ofrecer opciones que permitan su modificación.
- Elaborar planes de capacitación y concientización específicos para los servicios financieros digitales.
- Proveer vías de comunicación, disponibles las 24 horas, a sus clientes del servicio financiero para la recepción, atención de consultas y denuncias, notificación de ciberincidentes y/o situaciones sospechosas.
- Establecer un proceso para el registro y el análisis de la información vinculada con eventos de seguridad de los sistemas, las redes y la infraestructura tecnológica que soporte a los servicios financieros digitales.
- Monitorear el uso y la evolución de técnicas de ingeniería social dirigidas a la organización, sus clientes y las terceras partes involucradas en los servicios.
En este sentido, es importante destacar que la protección de los datos de los clientes es de suma importancia en el contexto actual, donde las operaciones financieras a través de canales digitales son cada vez más comunes, por lo que las instituciones financieras deben tomar medidas proactivas para garantizar la seguridad y confidencialidad de la información personal de sus clientes.
Con base en lo indicado, podemos resumir que esta comunicación viene a promover el uso adecuado y seguro de las operaciones financieras digitales y de sus datos, siendo que para ello se requiere de una combinación de tecnologías seguras, políticas de privacidad claras y una gestión proactiva de la seguridad de la información. Al adoptar estas medidas, las Entidades Financieras y los Proveedores de Servicios de Pago deben promover la confianza y garantizar la seguridad de los datos de sus clientes al utilizar los canales digitales para llevar a cabo sus transacciones financieras.
Carlos Garcia, Socio de Soluciones Informáticas de Lisicki, Litvin & Asociados