DISPOSICIONES APLICABLES A LAS INSTITUCIONES DE FONDOS DE PAGO ELECTRÓNICO

La Comisión Nacional de Mejora Regulatoria (Conamer) publicó las Disposiciones que deberán cumplir las Instituciones de Fondos de Pago Electrónico (IFPE). Según las disposiciones en Conamer, se deberá tener mejores esquemas en la seguridad para los usuarios, equipos de cómputo, componentes de almacenamiento o dispositivos físicos (hardware).

La autoridad busca brindar a los usuarios de las plataformas certeza jurídica sobre el tipo de operaciones que realizan a través de las IFPE. Si bien la Ley Fintech y sus diversas regulaciones son lo suficientemente robustas, se busca seguir fortaleciendo el marco jurídico   con el fin de tener una amplia protección a quienes quieren invertir su dinero en nuevas plataformas. Las nuevas disposiciones tienen tres principales puntos: 1) seguridad de la información; 2) continuidad de operaciones, y 3) contratación de servicios con terceros que pueden ser nacionales o extranjeros, para la prestación de servicios necesarios para la operación.

La seguridad de la información reconoce la necesidad de establecer nuevos esquemas en donde se procura que el usuario manifieste su consentimiento ante cualquier eventualidad, usando los factores de autenticación para una mayor seguridad jurídica, esto con la finalidad que el cliente sea la única persona que pueda ingresar dejando a un lado la posibilidad de que un tercero tenga acceso a su cuenta. Los factores de autentificación deberán contar con políticas y procedimientos que es establecen en la nueva disposición, lo anterior significa tener un mayor control usando mecanismos tan seguros como el intercambio de credenciales o llaves criptográficas a fin de desarrollar una capacidad para evitar vulnerar la seguridad.

Los procesos y la tecnología constituyen dos pilares fundamentales de la gestión de seguridad de información por lo que las IFPE deberán contar con una Política Estratégica de Continuidad de Negocio y de Seguridad de la Información la cual deberá ser aprobada por su respectivo Órgano de Administración, estableciendo un proyecto en donde defina y se le dé prioridad a los riesgos tecnológicos e incidentes.

Las IFPE necesitaran autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero cuando impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de Información Personal o Información Sensible, imágenes de documentos de identificación expedidos por autoridades oficiales, información biométrica de los clientes entre otros, de los cuales serán responsables por las violaciones a la confidencialidad de la información con terceros.

El contar con un Plan de Continuidad de Negocio que le dé seguimiento a las operaciones, esto significa tener la capacidad de controlar rápidamente el daño y movilizar los recursos necesarios para minimizar el impacto hacia los usuarios como consecuencia los beneficios de contar con una herramienta tecnológica que hace frente a los incidentes se va sofisticando con el paso de tiempo y requiere ajustarse a las nuevas disposiciones.

Las IFPE necesitaran autorización del Banco de México y la CNBV, para contratar la prestación de servicios con cualquier tercero cuando impliquen la transmisión, almacenamiento, procesamiento, resguardo o custodia de Información Personal o Información Sensible, imágenes de documentos de identificación expedidos por autoridades oficiales, información biométrica de los clientes entre otros, de los cuales serán responsables por las violaciones a la confidencialidad de la información con terceros.

Las IFPE podrán celebrar Contratos de Comisión Mercantil con Terceros que actúen frente al público en general a nombre y por cuenta propia de las respectivas IFPE para la realización de operaciones como retiros de efectivo efectuados por el propio cliente titular de la cuenta respectiva, recepción de efectivo para abono en cuentas propias o de terceros, apertura de cuentas de fondos de pago electrónico, observando en todo momento lo establecido en las disposiciones de carácter general a que se refiere el artículo 58 de la Ley Fintech, entre otras, dichas operaciones se deberán efectuar en moneda nacional, en caso que se quieran realizar distintas operaciones a las que se mencionan en el artículo 57 de las disposiciones se deberá solicitar autorización a la CNBV, previo a su realización.

Adicionalmente, se tendrá que contar con un plan general de funcionamiento, proyecto de contrato, la manifestación de aceptación de la responsabilidad por el suso indebido, entre otros aspectos que permiten evaluar a los terceros respecto a las capacidades de este para incrementar el nivel protección según la evolución del riesgo.

Medir el desempeño del servicio provisto por el tercero, permite a las IFPE valorar al tercero y brinda confianza de que la información está siendo efectivamente protegida y apegándose al cumplimiento de la regulación.

Definitivamente estas nuevas disposiciones permiten tener una gestión de riesgos que ha sido una base para regular y proteger la información de las IFPE e implementar controles para reducir el impacto negativo, y poder controlar el impacto en la operación, indicadores de la seguridad de la información, identificación del usuario, canales de instrucción y en el marco regulatorio, puede obtenerse a través de la seguridad de la información.