Se publican disposiciones para Wallets (IFPEs) en ciberseguridad y biométricos
Actualizado: 23 mar 2021
Introducción
Con la publicación el 9 de marzo de 2018 de la Ley para Regular las Instituciones de Tecnología Financiera (“Ley FinTech”) se estableció la regulación para las Instituciones de Fondos de Pago Electrónico (las “Wallets”) y con ello la obligación de la Comisión Nacional Bancaria y de Valores (la “CNBV”) y del Banco de México (“Banxico”) de emitir la regulación secundaria aplicable en materia de Ciberseguridad o Seguridad de la Información, los supuestos y requisitos para la contratación de proveedores de Infraestructura Tecnológica, formas de autenticación y uso de biométricos, así como temas relacionados con la continuidad operativa, los cuales fueron publicados el día de hoy 28 de enero de 2021, no obstante que el plazo original era a más tardar el 9 de marzo de 2019.
Como antecedente, el día 17 de febrero de 2020, publicamos un artículo denominado ¿Qué es la ciberseguridad? (más información aquí), en el que abordamos el concepto básico de ciberseguridad, el concepto de las Fintech y la ciberseguridad en el sector, los riesgos específicos en materia de ciberseguridad en general y los riesgos en ciberseguridad dentro del sector Fintech en México, las diferentes amenazas de los ciberataques en el sistema financiero derivado del artículo publicado por el Bank for International Settlements (“BIS”) (más información aquí) y abordamos las mejores prácticas aplicables en materia de ciberseguridad para el sistema financiero y para el sector Fintech derivado del reporte de mejores prácticas de la OCIE (más información aquí).
En ese sentido y siguiendo las obligaciones de las FinTech, específicamente de las Instituciones de Fondos de Pago Electrónico (“IFPE”), el día de hoy, 28 de enero de 2021, fueron publicadas las Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera (más información aquí)(“Disposiciones”), en el que se establecen las medidas y directrices que deberán seguir las IFPE para mantener la seguridad de la información dentro de sus canales de atención, infraestructura tecnológica y sus obligaciones para realizar un plan de continuidad de negocio.
1. Definiciones principales
Autenticación: a la verificación de la identidad de (i) un Cliente, con el fin de permitirle la realización de las Operaciones que este requiera, o bien, (ii) un Usuario de la Infraestructura Tecnológica de la institución de fondos de pago electrónico de que se trate, con el fin de que aquel pueda acceder, utilizar u operar algún componente de dicha Infraestructura Tecnológica.
Canales de instrucción: a los equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que forman parte de la Infraestructura Tecnológica de la institución de fondos de pago electrónico de que se trate y que, a través de ellos, esta permite al Cliente realizar Operaciones.
Factor de Autenticación: al mecanismo de Autenticación, basado en las características físicas del Cliente, en dispositivos o información que solo el Cliente posea o conozca.
Transferencia: a las Transferencias de Fondos, Transferencias de Fondos de Pago Electrónico y Transmisiones de Dinero, indistinta o conjuntamente.
Transferencia de Fondos: a aquella Operación a que se refiere el artículo 22, fracción III de la Ley para Regular las Instituciones de Tecnología Financiera realizada entre la institución de fondos de pago electrónico de que se trate y otra institución de fondos de pago electrónico, Entidad Financiera, entidad financiera del exterior o institución de fondos de pago electrónico del exterior, conforme al cual la primera realiza (i) el abono en una Cuenta por la cantidad equivalente de dinero a la indicada en la orden respectiva que reciba, derivada del cargo que esa otra institución de fondos de pago electrónico o entidad haga en la cuenta correspondiente, o bien (ii) el cargo en una Cuenta equivalente a aquella cantidad de dinero que el Cliente haya indicado en la orden que emita para que, una vez realizada la redención de los referidos fondos, dicha cantidad se acredite a favor de la otra institución de fondos de pago electrónico o entidad a quien se envíe dicha orden para su abono en la cuenta de depósito indicada en la propia orden.
Transferencia de Fondos de Pago Electrónico: a aquella Operación a que se refiere el artículo 22, fracción II de la Ley para Regular las Instituciones de Tecnología Financiera, realizada por una misma institución de fondos de pago electrónico de conformidad con los contratos celebrados con sus Clientes para la apertura de Cuentas, de acuerdo con la cual dicha institución abona una cantidad determinada de fondos de pago electrónico en una de dichas Cuentas, derivado del cargo por la referida cantidad en alguna otra de esas Cuentas
Transmisión de dinero: a aquella Operación a que se refiere el artículo 25, fracción II de la Ley para Regular las Instituciones de Tecnología Financiera que realice la institución de fondos de pago electrónico autorizada para ello.
2. Contratación frente al Cliente
De conformidad con las Disposiciones, las IFPE, al pactar la celebración de operaciones y la prestación de servicios mediante sus Canales de Instrucción, deberán requerir el consentimiento expreso de sus Clientes, el cual podrá obtenerse a través del proceso de autenticación específico.
En la contratación respectiva, deberá establecerse de manera clara y precisa:
Las operaciones y servicios que se podrán realizar;
Los mecanismos y procedimientos para autenticar al cliente, así como las responsabilidades de la IFPE respecto a las operaciones y servicios;
Los mecanismos y procedimientos para notificar al cliente las operaciones realizadas;
Los mecanismos y procedimientos de cancelación de la contratación de servicios; y
Las restricciones operativas que existan.
Las IFPE deberán informar a sus clientes, previamente a la contratación, los términos y condiciones para el uso de los Canales de instrucción y los riesgos inherentes a la utilización de los Canales, así como sugerencias para prevenir la realización de actos no autorizados por ellos.
Asimismo, las IFPE deberán notificar a sus Clientes, por los medios pactados y en un periodo no mayor a 5 segundos, cuando a través de Canales de Instrucción se ejecute cualquiera de las Operaciones de transferencia y entrega de cantidades de dinero y supera 60 UDIS diarias, alta o modificación del medio de notificación, contratación de servicios adicionales o desactivación, bloqueo, reactivación y modificación de los Factores de Autenticación.
3. Servicios Adicionales
Las IFPE podrán permitir a sus clientes la contratación de servicios adicionales, la modificación de los términos y condiciones para la prestación de los servicios previamente convenidos y la contratación del uso del canal de instrucción, siempre y cuando la IFPE cuente con al menos, un factor de autenticación.
4. Notificación a Clientes
Las IFPE deberán notificar a sus clientes, por los medios pactados con ellos, en un periodo no mayor a tres segundos, cuando se ejecute o se solicite:
Transferencia y entrega de cantidades de dinero derivado del cargo a la cuenta del cliente, a partir de que el monto acumulado diario de las operaciones realizadas supere el equivalente en moneda nacional a 60 UDIs (aproximadamente 385 pesos) , o bien cuando cada una en lo individual supere 25 UDIS (aproximadamente 160 pesos);
Alta o modificación del medio de notificación al Cliente;
Contratación de otro servicio o modificación de los términos y condiciones para el uso del servicio previamente contratado, y
Desactivación, bloqueo, reactivación y modificación de los Factores de Autenticación.
Las IFPE deberán asegurarse de que la notificación no contenga información personal o información sensible del cliente.
Para efectos de la notificación, la IFPE que emita medios de disposición, como tarjetas, deberán realizar la notificación tanto a sus Clientes como a los titulares de los medios de disposición emitidos.
Las IFPE podrán deshabilitar las notificaciones cuando se ejecuten cualquiera de las Operaciones o servicios mencionados en el presente numeral, previa solicitud expresa de sus clientes, misma que debe obtenerse a través del proceso de Autenticación específico.
5. Factores de Autenticación en los Canales de Instrucción
De conformidad con las Disposiciones, las IFPE deberán utilizar distintos factores de autenticación dependiendo de la categoría de información que busquen resguardar.
Información que la IFPE proporciona al cliente o permite a dicho Cliente generar, bajo el entendido de que solamente dicha persona la conozca, para el ingreso al sistema de la IFPE para iniciar operaciones.
Se protege con contraseñas compuestas por seis caracteres consecutivos y deben incluir alfanuméricos o por medio de cuestionarios realizados a través de canales electrónicos de mensajería o centros de atención telefónica, cumpliendo con ciertos requisitos.
Las IFPE permitirán a sus Clientes cambiar los Factores de Autenticación de esta categoría cuando estos últimos así lo requieran, en los términos de las Disposiciones.
Información contenida, recibida o generada por medios o dispositivos electrónicos que solo posee el Cliente, incluida la obtenida por dispositivos o aplicativos generadores de contraseñas dinámicas. Se refiere a información que permita asociar medios o dispositivos a un cliente.
Esta información debe ser protegida por dispositivos que generen contraseñas dinámicas de un solo uso siempre y cuando se trate de información que cuente con propiedades que impidan su duplicación o alteración, sea de un solo uso y no sea conocida con anterioridad a su generación.
Las IFPE pueden proporcionar a sus Clientes medios o dispositivos que generen contraseñas dinámicas de un solo uso que utilicen información de la operación, de manera que dicha contraseña únicamente pueda ser utilizada para la Operación solicitada.
Información derivada de características propias del Cliente, tales como las de carácter biométrico, huellas dactilares, geometría de la mano, patrones en iris o retina y reconocimiento de voz, entre otros..
Para el uso de esta información se debe contar con previa autorización de la CNBV y el Banco de México y usar dos factores de autenticación.
6. Autenticación del Cliente
Las IFPE, a efecto de permitir el acceso a los Canales de Instrucción, deberán llevar a cabo la Autenticación del cliente y deberán recabar al menos:
El identificador de cliente, mismo que deberá ser único;
Un factor de autenticación.
Se solicitarán dos factores de autenticación, siempre que se pretenda realizar lo siguiente:
Alta y baja o cualquier otra modificación relacionada con los beneficiarios de la cuenta
Cambios respecto a factores de autenticación
Solicitud de estados de cuenta
Alta y modificación de medio de notificación del cliente.
7. Requerimientos de seguridad de información
Las IFPE deberán establecer mecanismos y procedimientos para que sus clientes, al acceder a los Canales de Instrucción, puedan reconocer a las propias IFPE, para lo cual deberán proporcionar información personalizada y suficiente para este objeto y deben poner a disposición del cliente la información respecto a fecha y hora de último acceso y nombre y apellido del cliente, alias o imagen o incluso aquella que el cliente pueda verificar a través de un medio pactado para este fin.
Asimismo, las IFPE deben prever lo necesario para que, una vez autenticado el Cliente, la sesión no pueda ser utilizada por un tercero, por lo que da por terminada inmediatamente la sesión cuando exista inactividad por más de 5 minutos o cambie drásticamente ubicación geográfica o parámetros de comunicación.
Debe impedir el acceso de forma simultánea a un mismo Canal de Instrucción y debe mencionar a los Clientes en caso de redirección a un enlace distinto al de la IFPE. Asimismo, deben detectar intentos de acceso al Canal de Instrucción con Factores de Autenticación incorrectos y, en caso de exceder tres intentos de acceso fallidos consecutivos se debe restringir temporalmente el acceso al canal de instrucción, bloqueando el factor de autenticación por 10 minutos, después de este plazo se le da un nuevo intento, si falla el bloqueo es permanente.
Por último, las IFPE deberán establecer procedimientos y mecanismos para que sus clientes puedan, en todo momento, desactivar la realización de operaciones o la prestación de servicios de forma temporal, así como los procedimientos para reactivar el uso.
8. Infraestructura tecnológica en los procesos internos
Las IFPE, tratándose de componentes de comunicación y de cómputo, deberán establecer los aspectos de seguridad siguientes:
Segregación lógica, o lógica y física de las diferentes redes en distintos dominios y subredes;
Configuración segura;
Mecanismos de seguridad en las aplicaciones que procuren la protección contra ataques cibernéticos;
Cifrado de información personal y de información sensible recibida, generada, almacenada, procesada o transmitida dentro de la infraestructura tecnológica, propia o de terceros contratados, así como biométricos e imágenes de identificación y cualquier otra que determinen de acuerdo con sus políticas;
En caso de la información sensible, se exceptúa del cifrado la información relativa a operaciones, siempre y cuando esta esté alojada en tablas o repositorios distintos a los utilizados para almacenar la información personal e información sensible y se cuente con mecanismos específicos de seguridad.
Estructura para que los datos personales de los clientes no puedan ser relacionados con la información relativa a sus Operaciones;
Cumplir con requisitos específicos de protección para la información relativa a los factores de autenticación.
Procedimientos y mecanismos para que la información de clientes contenida en componentes o dispositivos desechados o dados de baja sea irrecuperable.
Herramientas que permitan detectar virus informáticos y códigos maliciosos en la infraestructura tecnológica;
Análisis de vulnerabilidades de la totalidad de los componentes de la infraestructura tecnológica, propia o de terceros comisionistas contratados, en el que almacenen, procesen o transmitan información de las IFPE y de sus clientes, previo al inicio de la operación de la IFPE y cada dos meses, y generar un plan de remediación para atender las vulnerabilidades encontradas, priorizando por criticidad;
Los planes de remediación deben ser validados por el oficial en jefe de seguridad de la información y deben cumplir ciertos requisitos y elaborarse dentro de los 10 días hábiles a que se identifiquen las vulnerabilidades y estar disponibles para la CNBV y el Banco de México.
Políticas de Seguridad de información para su personal.
Las IFPE que cuenten con infraestructura propia para su operación y el resguardo de información, deberán establecer procedimientos y mecanismos para restringir el acceso a sus puertos físicos de conexión y dispositivos periféricos, como a la infraestructura de cómputo o de telecomunicaciones.
Las IFPE deben contar con procedimientos y mecanismos de control de acceso robusto y seguros, para lo cual deben cumplir con los siguientes requisitos:
Controles de acceso lógico a la infraestructura de cómputo, telecomunicaciones, de software y tecnológica;
Controles para la gestión de usuarios de la infraestructura tecnológica y contraseñas;
Controles que aseguren el seguimiento y monitoreo de acceso a los sistemas utilizados para el almacenamiento de la información de clientes.
9. Mejores prácticas en seguridad de la información
Las IFPE deberán establecer y documentar políticas para que los Canales de instrucción solo utilicen aquellos protocolos de comunicación que garanticen la confidencialidad de la información en la comunicación punto a punto, con base en mejores prácticas y estándares internacionales de seguridad informática, mismos que, previo acuerdo entre la CNBV y Banco de México, serán publicadas en sus respectivos sitios de internet,
10. Obligaciones de las IFPE en materia de infraestructura tecnológica
Las IFPE, para el desarrollo de sus sistemas informáticos, deberán cumplir con lo siguiente:
Que sus procesos, funcionalidades y configuraciones deberán estar documentados y el proceso de desarrollo cumpla con las etapas establecidas en las Disposiciones.
Los sistemas informáticos deberán considerar mecanismos de autenticación entre los diferentes componentes, gestión de usuarios y privilegios y uso de comunicaciones cifradas para la comunicación de sistemas informáticos y sus componentes.
Revisar de forma estática, la seguridad del sistema informático cada vez que se realice una actualización.
Se busca que las IFPE otorguen solidez a su infraestructura tecnológica cumpliendo con ciertos controles, procedimientos, herramientas y registros establecidos en las Disposiciones.
Cada IFPE deberá contar con una Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, la cual deberá ser aprobada por el órgano de administración de la IFPE.
Asimismo, las IFPE deberán contar con un Plan Director de Seguridad, aprobado por el director general o, a falta de éste, por el administrador único.
Las IFPE deben implementar procedimientos y mecanismos para la atención de incidentes de seguridad y resguardo de evidencias y deberán evaluar o auditar la seguridad informática de su infraestructura tecnológica. Siguiendo lo anterior, deben generar un reporte, mismo que debe firmarse digitalmente por el director general o por el administrador único y deberá estar cifrado.
Por otro lado, las IFPE deben contratar a una persona moral, con personal que cuente con capacidad técnica certificada para realizar pruebas de penetración en los distintos sistemas y aplicativos de la infraestructura tecnológica.
La IFPE debe enviar al Banco de México y a la CNBV, dentro de los veinte días hábiles a partir de la fecha en que hayan finalizado las pruebas correspondientes, un informe con las conclusiones de estas mediante el Módulo de Atención Electrónica (MAE) del Banco de México y en la oficialía de partes de la CNBV.
Por otro lado, la IFPE deberá evaluar o auditar, al menos una vez al año, la seguridad informática de la infraestructura tecnológica. En esa evaluación, la IFPE deberá presentar a su órgano de administración, en el plazo referido, los siguientes documentos:
Reporte que especifique nivel de riesgo;
Plan de remediación;
Evidencia de la implementación de medidas de remediación;
Evidencia de la mitigación de las observaciones.
Las IFPE, previo al inicio de operaciones, deberán realizar la evaluación o auditoría a que se refiere el párrafo anterior, sobre aquellos elementos o componentes de la Infraestructura Tecnológica propia o de terceros contratados, utilizada para realizar la emisión, administración, redención o transmisión de fondos de pago electrónico, incluyendo los servicios que presten a sus Clientes para realizar dichas actividades, así como el almacenamiento de la Información Personal y la Información Sensible.
10. Pentest
Las IFPE deberán contratar a una persona moral, con personal que cuente con capacidad técnica comprobable mediante certificaciones de la industria en la materia, para que, al menos, cada dos años, se realicen pruebas de penetración en los diferentes sistemas y aplicativos de la Infraestructura Tecnológica, con la finalidad de detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la información y patrimonio de los Clientes y de la propia institución de fondos de pago electrónico.
11. CISO
Las IFPE deben contar con un jefe de seguridad de la información conocido como CISO (Chief Information Security Officer). Dichas funciones podrán ser realizadas por un tercero.
El CISO deberá elaborar el Plan Director de Seguridad, participar, verificar y ser responsable de la implementación de políticas y procedimientos de seguridad de la información, presentar el informe de gestión en materia de seguridad de la información, verificar que se implementen programas anuales de capacitación, entre otros.
Las facultades del CISO se enlistan en las Disposiciones.
12. Golden Copy
Las IFPE, en caso de una interrupción, parcial o temporal, en el servicio de Cómputo en la Nube con un proveedor extranjero, deberán prever, dentro de su Plan de Continuidad de Negocios, un mecanismo para asegurar la continuidad del servicio para sus clientes con la finalidad de garantizar que mantendrán la capacidad de cómputo y procesamiento necesarias para que, a partir de un periodo no mayor a dos horas, se implementen los mecanismos referidos.
Esta obligación va dirigida a las IFPE que durante un periodo de doce meses calendario lleve a cabo alguna de las actividades siguientes:
Realicen más de tres millones quinientas mil Operaciones de Transferencias.
Envíen o reciban Transferencias por un monto total superior al equivalente en moneda nacional a seis mil millones de UDIS. (aprox. $36´000´000,000.00 de pesos)
En cualquier momento hayan contado con más de un millón de Cuentas que, durante un periodo de doce meses calendario consecutivos, hayan registrado, en cualquier momento, un saldo positivo o con respecto a las cuales se haya enviado, al menos, una Transferencia en dicho periodo, o hayan contado con un saldo total en las Cuentas superior al equivalente en moneda nacional a cuatrocientos millones de UDIS (aprox. 2´400´000,000.00 de pesos).
Los mecanismos que deberán implementar son:
Contratar a un proveedor adicional que esté constituido y quede sujeto a una jurisdicción distinta a aquella en la que se haya constituido y a la que quede sujeto el proveedor de servicios de Cómputo en la Nube y que esté bajo el Control de una persona distinta al proveedor original o alguna otra persona que pertenezca al mismo Grupo Empresarial de dicho proveedor o bien, de un Grupo de Personas en el que participe dicho proveedor o persona del mismo Grupo Empresarial, sin que esto implique que los servicios correspondientes al Cómputo en la Nube que la institución de fondos de pago electrónico pueda disponer conforme a esta fracción, se deban llevar a cabo de manera simultánea a aquellos otros que preste el proveedor primario del Cómputo en la Nube referido.
Un mecanismo que permita contar con infraestructura propia que le permita realizar a la IFPE, en un territorio distinto a aquel de la jurisdicción extranjera en la que pueda ocurrir el riesgo, los procesos referidos sin que esto implique la operación de manera simultánea con el Cómputo en la Nube utilizado en su operación normal. Lo anterior, siempre y cuando la ejecución de dichos procesos no se lleve a cabo por el proveedor primario de Cómputo en la Nube o dependa de este o de las personas que ejerzan Control sobre él
Aquel otro mecanismo distinto a los contemplados anteriormente que, a solicitud de la IFPE, autorice el Banco de México y la CNBV, siempre y cuando la IFPE demuestre que dicho mecanismo puede asegurar la continuidad en la realización de los actos necesarios para emitir, transmitir, redimir o administrar fondos de pago electrónico, en caso de que ocurra la interrupción por las causas indicadas ahí mismo
Las causas de interrupción son cualquier hecho o evento ocurrido en alguna jurisdicción extranjera que afecte al tercero que presta los servicios correspondientes al Cómputo en la Nube, incluida la emisión de alguna disposición, orden, instrucción, mandato o acto equivalente de autoridad en dicha jurisdicción que, en su caso, deba acatar ese tercero, en la medida en que ese tercero o las personas que ejerzan control sobre él se hayan constituido o realicen operaciones en la mencionada jurisdicción, ocurra alguna interrupción, temporal o permanente de dicho Cómputo en la Nube, que imposibilite a la institución de fondos de pago electrónico llevar a cabo dichos actos, esta pueda mantener la capacidad de cómputo y procesamiento necesaria.
¿Cuánto tiempo tendrán para implementarlo? Las IFPE tendrán un plazo de ciento ochenta días naturales contados a partir del primer día del mes calendario inmediato posterior a aquel en el que se actualice el supuesto que corresponda, para dar cumplimiento.
13. Continuidad Operativa
Las IFPE deberán contar con un Plan de Continuidad de Negocio que se obligue a cumplir e incluyan los requerimientos mínimos establecidos, el cual deberá estar alineado con la Política Estratégica de Continuidad de Negocio y de Seguridad de la Información.
Dicho Plan debe ser aprobado por el director general o, en su caso, el administrador único y se deberá designar a una persona que funja como responsable de la administración de Contingencias Operativas, pero ¿Qué es un Plan de Continuidad de Negocio o Disaster Recovery Plan (DRP)?
DRP
Un DRP o Plan de Continuidad del Negocio, es un sistema mediante el cual las empresas prevén y se preparan contra posibles eventos que puedan dañar su infraestructura tecnológica y por ende, imposibilitar la continuación de su operación. Este plan debe implementarse en situaciones de contingencia, a fin de contar con estándares mínimos que reduzcan los riesgos a que están expuestas las empresas, proporcionando mayor certeza jurídica a sus operaciones y clientes.
Las Disposiciones de carácter general aplicables a las FinTech (más información aquí), describen al Plan de Continuidad como el conjunto de estrategias, procedimientos y acciones que permitan, ante la verificación de Contingencias Operativas, la continuidad en las Operaciones, actividades o en la realización de los procesos críticos de las instituciones de financiamiento colectivo, o bien su restablecimiento oportuno, así como la mitigación de las afectaciones producto de dichas Contingencias Operativas.
¿Para qué sirve?
El objetivo de un DRP es la mitigación o reducción de los efectos de un evento no previsto en la operación o funciones de una empresa en particular para que puedan ser capaces de responder y reanudar sus operaciones.
Consideraciones importantes para un DRP
En este punto, es importante considerar:
Desarrollar una política de continuidad del negocio;
Desarrollar metodologías y modelos de evaluación de riesgos
Realizar pruebas de estrés, funcionamiento y eficiencia y un análisis de impacto cuantitativo y cualitativo.
Establecer estrategias para continuar con la operación del negocio
Realizar capacitaciones constantes, pruebas, actualizaciones y análisis de los planes a implementar a efecto de concientizar y preparar a los funcionarios encargados.
Evaluar constantemente el DRP a efecto de mejorarlo y actualizarlo.
¿Qué herramientas necesitas para la implementación de un DRP?
Primero, es importante definir con qué sistemas o infraestructura cuenta la empresa para poder determinar una estrategia no tan costosa, debemos considerar la información con la que se cuenta, determinar los empleados necesarios para la operación del día a día de la Empresa, entre otros.
Las recomendaciones principales son:
Designar a una persona como responsable de la administración de riesgos que cuente con experiencia en la materia.
Diseñar canales o políticas de comunicación constante para la oportuna notificación de contingencias o eventos no previstos.
Realizar un respaldo completo de la información en repositorios de terceros (v.gr. Google Cloud, Amazon Web Services, Azure Cloud, etc).
Contar con poder de cómputo adicional o de reserva para la operación necesaria del negocio.
Información crítica replicada de manera constante
Habilitación de herramientas de acceso remoto para la organización
Establecer Manuales de procedimientos en caso de cualquier tipo de evento al cual la empresa podría estar sujeta.
Controlar accesos a los sistemas críticos o repositorios de respaldo.
¿Qué es un BRS y para qué sirve?
Un BRS es un sitio de respaldo mediante el cual una entidad en particular puede almacenar toda la información necesaria para continuar con su operación tras un ataque o tras un desastre natural. El BRS es parte importante y está contenido dentro del DRP.
Un BRS asegura que la entidad pueda continuar con sus operaciones hasta que se haya terminado el ataque o el desastre natural e incluso, puede asegurar la operación hasta que se halle una nueva locación para operar en caso de que la locación anterior se haya destruido.
Al seleccionar un BRS, las entidades deben considerar factores como la localización, el periodo de tiempo, el costo y los recursos requeridos para mantenerlo.
Los BRS mas populares son los sitios móviles o basados en la nube debido a que la información se encuentra en múltiples servidores alrededor del Mundo y, además, se encuentra bajo parámetros de seguridad muy estrictos.
En adición a lo anterior, existen dos tipos de BRS:
Interno.- Es aquel constituido y mantenido dentro de la entidad, pero es más costoso mantenerlo.
Externo.- Es aquel proveído por un tercero (v.gr. AWS, GCS, entre otros), son menos costosos porque no conlleva costos de mantenimiento, infraestructura, espacio y recursos.
Procedimiento para hacer un BRS
Según el CEO de NCora (más información aquí), Josep Ros, es necesario llevar un procedimiento para determinar un BRS, este consiste en:
Análisis y determinación de los servicios clave para la operación del negocio.
Respaldo de la información de dichos servicios en un BRS, ya sea interno o externo. Este respaldo debe ser continuo y debe conservar la integridad de la información.
Creación de un procedimiento de actuación en caso de la caída del sitio principal.
Especificar la actuación de los empleados y usuarios ante el desastre y generar accesos específicos al BRS para mantener la continuidad del negocio.
12. Eventos de seguridad
Las IFPE deberá llevar un registro en bases de datos de los Eventos de Seguridad de la información, incidentes de seguridad de la información, contingencias operativas, fallas o vulnerabilidades detectadas.
En caso de que se presente un Evento de Seguridad de la información, se establece el procedimiento a seguir por parte del director general o, en su caso, el administrador único.
Las IFPE deben hacer del conocimiento del Banco de México y la CNBV las contingencias operativas que se presenten, mediante un correo electrónico a las cuentas: cuentas ifpe@Banxico.org.mx, contingencias@cnbv.gob.mx y supervisionfintech@cnbv.gob.mx o a través de otros medios que el propio Banco de México o la propia CNBV dispongan, debiéndose generar un acuse de recibo electrónico . Lo anterior, siempre que estas interrupciones tengan una duración de, al menos, 30 minutos.
13. Contratación de Servicios con Terceros y Comisionistas
Las IFPE necesitan autorización tanto del Banco de México como de la CNBV para contratar la prestación de servicios con cualquier tercero, siempre que los servicios sean:
Transmisión, almacenamiento, procesamiento, resguardo o custodia de información personal o información sensible, biométricos e imágenes, siempre que dicho tercero cuente con privilegios para el acceso a dicha información;
Procesos de contabilidad o tesorería en el extranjero; o
Funja como proveedor primario de aquellos servicios cuya interrupción, parcial o permanente, imposibilite a la IFPE de la emisión, administración, redención o transmisión de fondos de pago electrónico.
Los terceros deben quedar obligados a guardar la debida confidencialidad de la información referente a las operaciones realizadas por los clientes de la IFPE.
Por último, las IFPE deberán contar con un padrón de todos los prestadores de servicios, incluyendo aquellos proveedores subcontratados por estos, así como de los administradores de comisionistas y comisionistas contratados.
Las IFPE podrán celebrar contratos de comisión mercantil con terceros que actúen frente al público en general a nombre y por cuenta de las respectivas instituciones de fondos de pago electrónico, únicamente para la realización de las siguientes Operaciones:
Retiros de efectivo efectuados por el propio Cliente titular de la cuenta respectiva.
Recepción de efectivo para abono en cuentas propias o de terceros.
Consultas de saldos y movimientos de cuentas.
Puesta en circulación instrumentos para la disposición de fondos de pago electrónico.
Apertura de cuentas de fondos de pago electrónico, observando en todo momento lo establecido en las disposiciones de carácter general a que se refiere el artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera, emitidas por la Secretaría, o aquellas que las sustituyan.
Transferencias con cargo a cuentas de fondos de pago electrónico, incluidos los pagos de servicios.
Para efectos de lo anterior, las IFPE deberán solicitar autorización a la CNBV.
14. Evaluación a través de terceros independientes
Las IFPE deberán contratar los servicios de un Tercero Independiente o de la persona moral por medio de la cual dicho Tercero Independiente preste sus servicios, para realizar la evaluación del nivel de cumplimiento de los requerimientos de seguridad de información, del uso de Canales de Instrucción y de la continuidad operativa.
Esta evaluación deberá realizarse cada 2 años.
Además, la IFPE deberá presentar dentro de un plazo de veinte días hábiles siguientes al de la finalización de la evaluación realizada por el Tercero Independiente, un plan de remediación para subsanar dichas observaciones.
El plan de remediación deberá firmarse digitalmente por el director general o, en su caso, el administrador único, y ser cifrado de conformidad con lo dispuesto en el artículo 59 de las Disposiciones. La CNBV y el Banco de México podrán efectuar observaciones a dicho plan de remediación, en cualquier tiempo.
15. Entrada en vigor
Las Disposiciones entrarán en vigor a los noventa días naturales siguientes al de su publicación en el Diario Oficial de la Federación.
Las IFPE tendrán un plazo máximo de seis meses, contados a partir de la entrada en vigor de estas Disposiciones, para dar cumplimiento a lo establecido por el artículo 15 de las Disposiciones, con relación a la segregación lógica y mecanismos de seguridad aplicables a la Infraestructura Tecnológica.
Las IFPE contarán con un plazo de nueve meses, contados a partir de la entrada en vigor de las Disposiciones, para dar cumplimiento a lo establecido en los artículos 16 y 17 de las Disposiciones con relación al cifrado de la información personal y sensible y los mecanismos para que los datos personales de los Clientes no puedan ser relacionados con la información relativa a sus Operaciones.
Las FinTech que venían operando antes de la entrada en vigor de la Ley FinTech, tendrán un plazo de seis meses contados a partir de la obtención de su autorización para actuar como IFPE, para cumplir con lo establecido en los artículos 44, 45, 46 y 47 de las Disposiciones relacionado a la contratación de servicios con terceros y comisionistas.
16. Anexos
Las Disposiciones prevén los siguientes Anexos:
Anexo 1. Indicadores de Seguridad de la información
Anexo 2. Requerimientos mínimos para desarrollar el plan de continuidad de negocio.
Anexo 3. incidentes en materia de seguridad de la información.
Anexo 4. Informe de incidentes de seguridad de la información
Anexo 5. Reporte en materia de contingencias operativas.
Anexo 6. Características de terceros independientes.
Anexo 7. Requerimientos técnicos para realizar operaciones a través de comisionistas.
Anexo 8. Especificaciones del sistema de información desarrollado por un tercero para el cifrado de información compartida con la Comisión Nacional Bancaria y de Valores y el Banco de México
Conclusiones
En un México cada vez más perturbado por distintos ciberataques, es necesario que la autoridad regule y pueda establecer las directrices para proteger la información de los clientes, es por ello que se deberá dar cumplimiento oportuno a lo dispuesto por las Disposiciones y sus Anexos para poder brindar seguridad cibernética a los clientes y mantener sus fondos seguros.
Es importante recordar la importancia de los DRP y BRS ya que son una herramienta muy funcional para mantener operaciones en caso de los múltiples ataques cibernéticos, desastres naturales o pandemias que cada vez son más recurrentes y es un requisito esencial para las FinTech considerando la actividad que realizan.
Las IFPE necesitarán dar cumplimiento a todas las disposiciones establecidas en materia de seguridad de la información, por lo que en Legal Paradox, S.C. prestaremos nuestra asesoría legal y de negocios en lo que se requiera.
En Legal Paradox, S.C. estamos conscientes de las necesidades tecnológicas y de seguridad que tienen nuestros clientes, por ello trabajamos todos los días para mantenernos actualizados y poder ofrecer el mejor servicio con la mejor calidad.
Legal Paradox® es una firma legal 100% Mexicana enfocada en el sector FinTech & Blockchain.
Nuestro reto es empoderar al sector. Cuando iniciamos, FinTech & Blockchain no eran conceptos de referencia en el país; por ello día con día hemos perseguido esta misión y así hemos generado un cambio en el mundo financiero mexicano. Desde la creación de este despacho, en junio del 2017, hemos trabajado de la mano con más de 200 empresas del sector, es decir más del 30% de las existentes en el país.
En menos de 2 años fuimos reconocidos por Chambers & Partners como parte de la élite FinTech legal en México. Estos resultados se deben a que basamos nuestra operación en tecnología, incluso trabajamos nuestros propios desarrollos como el mapa del FinTech Tour y el Parabot, un asistente basado en inteligencia artificial que tiene el objetivo de ayudar a una persona o empresa a encontrar soluciones FinTech.
Entender a profundidad la tecnología nos ha llevado a encontrar como sí es posible lograr disrupción innovadora en el sector Financiero, por eso nuestros clientes nos recomiendan principalmente por entender su negocio e incluso potenciarlo.
El uso de los nombres, marcas, imágenes y links de terceros, contenidas en el presente artículo, son propiedad y responsabilidad de dichos terceros y se usan únicamente para efectos meramente ilustrativos e informativos.
El presente y su contenido no podrán interpretarse como asesoría legal o financiera, por lo que recomendamos contratar a su asesor de preferencia.
Todos los derechos reservados ®.
Comments