Se publican disposiciones para Wallets (IFPEs) en ciberseguridad y biométricos

Actualizado: mar 23


Autores: Carlos Valderrama (más información aquí) y Diego Montes Serralde (más información aquí)


Introducción


Con la publicación el 9 de marzo de 2018 de la Ley para Regular las Instituciones de Tecnología Financiera (“Ley FinTech”) se estableció la regulación para las Instituciones de Fondos de Pago Electrónico (las “Wallets”) y con ello la obligación de la Comisión Nacional Bancaria y de Valores (la “CNBV”) y del Banco de México (“Banxico”) de emitir la regulación secundaria aplicable en materia de Ciberseguridad o Seguridad de la Información, los supuestos y requisitos para la contratación de proveedores de Infraestructura Tecnológica, formas de autenticación y uso de biométricos, así como temas relacionados con la continuidad operativa, los cuales fueron publicados el día de hoy 28 de enero de 2021, no obstante que el plazo original era a más tardar el 9 de marzo de 2019.


Como antecedente, el día 17 de febrero de 2020, publicamos un artículo denominado ¿Qué es la ciberseguridad? (más información aquí), en el que abordamos el concepto básico de ciberseguridad, el concepto de las Fintech y la ciberseguridad en el sector, los riesgos específicos en materia de ciberseguridad en general y los riesgos en ciberseguridad dentro del sector Fintech en México, las diferentes amenazas de los ciberataques en el sistema financiero derivado del artículo publicado por el Bank for International Settlements (“BIS”) (más información aquí) y abordamos las mejores prácticas aplicables en materia de ciberseguridad para el sistema financiero y para el sector Fintech derivado del reporte de mejores prácticas de la OCIE (más información aquí).


En ese sentido y siguiendo las obligaciones de las FinTech, específicamente de las Instituciones de Fondos de Pago Electrónico (“IFPE”), el día de hoy, 28 de enero de 2021, fueron publicadas las Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera (más información aquí)(“Disposiciones”), en el que se establecen las medidas y directrices que deberán seguir las IFPE para mantener la seguridad de la información dentro de sus canales de atención, infraestructura tecnológica y sus obligaciones para realizar un plan de continuidad de negocio.


1. Definiciones principales

  1. Autenticación: a la verificación de la identidad de (i) un Cliente, con el fin de permitirle la realización de las Operaciones que este requiera, o bien, (ii) un Usuario de la Infraestructura Tecnológica de la institución de fondos de pago electrónico de que se trate, con el fin de que aquel pueda acceder, utilizar u operar algún componente de dicha Infraestructura Tecnológica.

  2. Canales de instrucción: a los equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que forman parte de la Infraestructura Tecnológica de la institución de fondos de pago electrónico de que se trate y que, a través de ellos, esta permite al Cliente realizar Operaciones.

  3. Factor de Autenticación: al mecanismo de Autenticación, basado en las características físicas del Cliente, en dispositivos o información que solo el Cliente posea o conozca.

  4. Transferencia: a las Transferencias de Fondos, Transferencias de Fondos de Pago Electrónico y Transmisiones de Dinero, indistinta o conjuntamente.

  5. Transferencia de Fondos: a aquella Operación a que se refiere el artículo 22, fracción III de la Ley para Regular las Instituciones de Tecnología Financiera realizada entre la institución de fondos de pago electrónico de que se trate y otra institución de fondos de pago electrónico, Entidad Financiera, entidad financiera del exterior o institución de fondos de pago electrónico del exterior, conforme al cual la primera realiza (i) el abono en una Cuenta por la cantidad equivalente de dinero a la indicada en la orden respectiva que reciba, derivada del cargo que esa otra institución de fondos de pago electrónico o entidad haga en la cuenta correspondiente, o bien (ii) el cargo en una Cuenta equivalente a aquella cantidad de dinero que el Cliente haya indicado en la orden que emita para que, una vez realizada la redención de los referidos fondos, dicha cantidad se acredite a favor de la otra institución de fondos de pago electrónico o entidad a quien se envíe dicha orden para su abono en la cuenta de depósito indicada en la propia orden.

  6. Transferencia de Fondos de Pago Electrónico: a aquella Operación a que se refiere el artículo 22, fracción II de la Ley para Regular las Instituciones de Tecnología Financiera, realizada por una misma institución de fondos de pago electrónico de conformidad con los contratos celebrados con sus Clientes para la apertura de Cuentas, de acuerdo con la cual dicha institución abona una cantidad determinada de fondos de pago electrónico en una de dichas Cuentas, derivado del cargo por la referida cantidad en alguna otra de esas Cuentas

  7. Transmisión de dinero: a aquella Operación a que se refiere el artículo 25, fracción II de la Ley para Regular las Instituciones de Tecnología Financiera que realice la institución de fondos de pago electrónico autorizada para ello.


2. Contratación frente al Cliente


De conformidad con las Disposiciones, las IFPE, al pactar la celebración de operaciones y la prestación de servicios mediante sus Canales de Instrucción, deberán requerir el consentimiento expreso de sus Clientes, el cual podrá obtenerse a través del proceso de autenticación específico.


En la contratación respectiva, deberá establecerse de manera clara y precisa:

  1. Las operaciones y servicios que se podrán realizar;

  2. Los mecanismos y procedimientos para autenticar al cliente, así como las responsabilidades de la IFPE respecto a las operaciones y servicios;

  3. Los mecanismos y procedimientos para notificar al cliente las operaciones realizadas;

  4. Los mecanismos y procedimientos de cancelación de la contratación de servicios; y

  5. Las restricciones operativas que existan.

Las IFPE deberán informar a sus clientes, previamente a la contratación, los términos y condiciones para el uso de los Canales de instrucción y los riesgos inherentes a la utilización de los Canales, así como sugerencias para prevenir la realización de actos no autorizados por ellos.


Asimismo, las IFPE deberán notificar a sus Clientes, por los medios pactados y en un periodo no mayor a 5 segundos, cuando a través de Canales de Instrucción se ejecute cualquiera de las Operaciones de transferencia y entrega de cantidades de dinero y supera 60 UDIS diarias, alta o modificación del medio de notificación, contratación de servicios adicionales o desactivación, bloqueo, reactivación y modificación de los Factores de Autenticación.


3. Servicios Adicionales


Las IFPE podrán permitir a sus clientes la contratación de servicios adicionales, la modificación de los términos y condiciones para la prestación de los servicios previamente convenidos y la contratación del uso del canal de instrucción, siempre y cuando la IFPE cuente con al menos, un factor de autenticación.


4. Notificación a Clientes


Las IFPE deberán notificar a sus clientes, por los medios pactados con ellos, en un periodo no mayor a tres segundos, cuando se ejecute o se solicite:

  1. Transferencia y entrega de cantidades de dinero derivado del cargo a la cuenta del cliente, a partir de que el monto acumulado diario de las operaciones realizadas supere el equivalente en moneda nacional a 60 UDIs (aproximadamente 385 pesos) , o bien cuando cada una en lo individual supere 25 UDIS (aproximadamente 160 pesos);

  2. Alta o modificación del medio de notificación al Cliente;

  3. Contratación de otro servicio o modificación de los términos y condiciones para el uso del servicio previamente contratado, y

  4. Desactivación, bloqueo, reactivación y modificación de los Factores de Autenticación.

Las IFPE deberán asegurarse de que la notificación no contenga información personal o información sensible del cliente.


Para efectos de la notificación, la IFPE que emita medios de disposición, como tarjetas, deberán realizar la notificación tanto a sus Clientes como a los titulares de los medios de disposición emitidos.


Las IFPE podrán deshabilitar las notificaciones cuando se ejecuten cualquiera de las Operaciones o servicios mencionados en el presente numeral, previa solicitud expresa de sus clientes, misma que debe obtenerse a través del proceso de Autenticación específico.


5. Factores de Autenticación en los Canales de Instrucción


De conformidad con las Disposiciones, las IFPE deberán utilizar distintos factores de autenticación dependiendo de la categoría de información que busquen resguardar.


Información que la IFPE proporciona al cliente o permite a dicho Cliente generar, bajo el entendido de que solamente dicha persona la conozca, para el ingreso al sistema de la IFPE para iniciar operaciones.

  • Se protege con contraseñas compuestas por seis caracteres consecutivos y deben incluir alfanuméricos o por medio de cuestionarios realizados a través de canales electrónicos de mensajería o centros de atención telefónica, cumpliendo con ciertos requisitos.

  • Las IFPE permitirán a sus Clientes cambiar los Factores de Autenticación de esta categoría cuando estos últimos así lo requieran, en los términos de las Disposiciones.

Información contenida, recibida o generada por medios o dispositivos electrónicos que solo posee el Cliente, incluida la obtenida por dispositivos o aplicativos generadores de contraseñas dinámicas. Se refiere a información que permita asociar medios o dispositivos a un cliente.

  • Esta información debe ser protegida por dispositivos que generen contraseñas dinámicas de un solo uso siempre y cuando se trate de información que cuente con propiedades que impidan su duplicación o alteración, sea de un solo uso y no sea conocida con anterioridad a su generación.

  • Las IFPE pueden proporcionar a sus Clientes medios o dispositivos que generen contraseñas dinámicas de un solo uso que utilicen información de la operación, de manera que dicha contraseña únicamente pueda ser utilizada para la Operación solicitada.

Información derivada de características propias del Cliente, tales como las de carácter biométrico, huellas dactilares, geometría de la mano, patrones en iris o retina y reconocimiento de voz, entre otros..

  • Para el uso de esta información se debe contar con previa autorización de la CNBV y el Banco de México y usar dos factores de autenticación.


6. Autenticación del Cliente


Las IFPE, a efecto de permitir el acceso a los Canales de Instrucción, deberán llevar a cabo la Autenticación del cliente y deberán recabar al menos:

  1. El identificador de cliente, mismo que deberá ser único;

  2. Un factor de autenticación.

Se solicitarán dos factores de autenticación, siempre que se pretenda realizar lo siguiente:

  1. Alta y baja o cualquier otra modificación relacionada con los beneficiarios de la cuenta

  2. Cambios respecto a factores de autenticación

  3. Solicitud de estados de cuenta

  4. Alta y modificación de medio de notificación del cliente.


7. Requerimientos de seguridad de información


Las IFPE deberán establecer mecanismos y procedimientos para que sus clientes, al acceder a los Canales de Instrucción, puedan reconocer a las propias IFPE, para lo cual deberán proporcionar información personalizada y suficiente para este objeto y deben poner a disposición del cliente la información respecto a fecha y hora de último acceso y nombre y apellido del cliente, alias o imagen o incluso aquella que el cliente pueda verificar a través de un medio pactado para este fin.


Asimismo, las IFPE deben prever lo necesario para que, una vez autenticado el Cliente, la sesión no pueda ser utilizada por un tercero, por lo que da por terminada inmediatamente la sesión cuando exista inactividad por más de 5 minutos o cambie drásticamente ubicación geográfica o parámetros de comunicación.


Debe impedir el acceso de forma simultánea a un mismo Canal de Instrucción y debe mencionar a los Clientes en caso de redirección a un enlace distinto al de la IFPE. Asimismo, deben detectar intentos de acceso al Canal de Instrucción con Factores de Autenticación incorrectos y, en caso de exceder tres intentos de acceso fallidos consecutivos se debe restringir temporalmente el acceso al canal de instrucción, bloqueando el factor de autenticación por 10 minutos, después de este plazo se le da un nuevo intento, si falla el bloqueo es permanente.


Por último, las IFPE deberán establecer procedimientos y mecanismos para que sus clientes puedan, en todo momento, desactivar la realización de operaciones o la prestación de servicios de forma temporal, así como los procedimientos para reactivar el uso.


8. Infraestructura tecnológica en los procesos internos


Las IFPE, tratándose de componentes de comunicación y de cómputo, deberán establecer los aspectos de seguridad siguientes:

  • Segregación lógica, o lógica y física de las diferentes redes en distintos dominios y subredes;

  • Configuración segura;

  • Mecanismos de seguridad en las aplicaciones que procuren la protección contra ataques cibernéticos;

  • Cifrado de información personal y de información sensible recibida, generada, almacenada, procesada o transmitida dentro de la infraestructura tecnológica, propia o de terceros contratados, así como biométricos e imágenes de identificación y cualquier otra que determinen de acuerdo con sus políticas;

  • En caso de la información sensible, se exceptúa del cifrado la información relativa a operaciones, siempre y cuando esta esté alojada en tablas o repositorios distintos a los utilizados para almacenar la información personal e información sensible y se cuente con mecanismos específicos de seguridad.

  • Estructura para que los datos personales de los clientes no puedan ser relacionados con la información relativa a sus Operaciones;

  • Cumplir con requisitos específicos de protección para la información relativa a los factores de autenticación.

  • Procedimientos y mecanismos para que la información de clientes contenida en componentes o dispositivos desechados o dados de baja sea irrecuperable.

  • Herramientas que permitan detectar virus informáticos y códigos maliciosos en la infraestructura tecnológica;

  • Análisis de vulnerabilidades de la totalidad de los componentes de la infraestructura tecnológica, propia o de terceros comisionistas contratados, en el que almacenen, procesen o transmitan información de las IFPE y de sus clientes, previo al inicio de la operación de la IFPE y cada dos meses, y generar un plan de remediación para atender las vulnerabilidades encontradas, priorizando por criticidad;

  • Los planes de remediación deben ser validados por el oficial en jefe de seguridad de la información y deben cumplir ciertos requisitos y elaborarse dentro de los 10 días hábiles a que se identifiquen las vulnerabilidades y estar disponibles para la CNBV y el Banco de México.

  • Políticas de Seguridad de información para su personal.

Las IFPE que cuenten con infraestructura propia para su operación y el resguardo de información, deberán establecer procedimientos y mecanismos para restringir el acceso a sus puertos físicos de conexión y dispositivos periféricos, como a la infraestructura de cómputo o de telecomunicaciones.


Las IFPE deben contar con procedimientos y mecanismos de control de acceso robusto y seguros, para lo cual deben cumplir con los siguientes requisitos:

  • Controles de acceso lógico a la infraestructura de cómputo, telecomunicaciones, de software y tecnológica;

  • Controles para la gestión de usuarios de la infraestructura tecnológica y contraseñas;

  • Controles que aseguren el seguimiento y monitoreo de acceso a los sistemas utilizados para el almacenamiento de la información de clientes.

9. Mejores prácticas en seguridad de la información