El Banco de México, con el propósito de cumplir con la finalidad que la ley le confiere para
propiciar el buen funcionamiento de los sistemas de pagos, ha procurado que los
participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI) cuenten con
estándares de seguridad adecuados para operar en dicho sistema. Al respecto, el Banco ha
determinado establecer obligaciones adicionales a los participantes del SPEI para reforzar
las políticas y controles de seguridad en las transferencias de fondos, mejorar los esquemas
de respuesta ante posibles riesgos y contar con una identificación plena de las operaciones,
en particular cuando se traten de transferencias a empresas que pueden permitir la salida
de recursos del sector financiero hacia activos virtuales.
De conformidad con los “Principios para reforzar la seguridad de la información en el
sistema financiero” reconocidos por el Consejo de Estabilidad Financiera, el Banco de
México ha publicado el día de hoy las Circulares 10/2018 y 11/2018, por medio de las cuales
ha emitido disposiciones de carácter general sobre políticas y procedimientos adicionales
que habrán de seguir los participantes en el SPEI, atendiendo los siguientes aspectos:
i.
ii.
iii.
iv.
Deberán seguir los protocolos de acción ante posibles ataques a la infraestructura
tecnológica relacionada con el SPEI, que establezca el Banco de México en su
carácter de administrador del sistema, mediante los avisos que este emita.
Deberán contar con protocolos y procedimientos que documenten las medidas y
acciones a tomar en caso de que se materialicen riesgos de ciberseguridad en su
infraestructura tecnológica, en sus canales electrónicos y en la infraestructura
tecnológica provista por terceros que pudiera afectar la operación de la institución
financiera en el SPEI;
Deberán establecer e implementar pruebas de confianza e integridad a su personal,
así como al de terceros que provean servicios de tecnología de la información y
comunicación, que tengan acceso a información y sistemas relevantes en su
operación con el SPEI;
Deberán designar un oficial de seguridad de la información responsable del diseño,
implementación y verificación de las políticas de prevención de riesgos de
ciberseguridad, así como de la implementación de medidas correctivas ante la
materialización de estos riesgos que pudiera afectar la operación de la institución
en el SPEI.
1Adicionalmente, las Circulares 10/2018 y 11/2018 referidas han establecido requerimientos
para robustecer los elementos de seguridad en la prestación de servicios de transferencias
de fondos a aquellos clientes o empresas que ofrezcan el intercambio o compraventa de
activos virtuales. En particular, las disposiciones referidas sujetan a los participantes en el
SPEI a lo siguiente:
i.
ii.
iii.
iv.
v.
Deberán identificar aquellas cuentas pertenecientes a este tipo de clientes con el fin
de estar en posibilidad de implementar validaciones adicionales previas a la
acreditación de recursos provenientes de transferencias de fondos a través del SPEI.
Aquellos participantes en el SPEI que lleven cuentas a nombre de los clientes
indicados deberán abonar los recursos correspondientes a las órdenes de
transferencias de fondos que reciban, al día hábil siguiente al de su recepción, hasta
en tanto cuenten con la autorización del Banco de México, como administrador del
SPEI, para llevar a cabo en plazos distintos, validaciones adicionales que tengan
como propósito asegurar la legitimidad de dichas órdenes.
Deberán abstenerse de poner a disposición de este tipo de clientes los recursos
correspondientes a las órdenes de transferencias que reciban, el mismo día de su
recepción, en aquellos casos en que el Banco de México emita avisos ante posibles
ataques a la infraestructura tecnológica del sistema.
Las cuentas que los participantes del SPEI lleven a este tipo de empresas deberán
ser cuentas de depósito de dinero a la vista abiertas únicamente en aquellas
instituciones financieras facultadas para ofrecerlas (instituciones de crédito,
sociedades financieras populares, sociedades financieras comunitarias y sociedades
cooperativas de ahorro y préstamo).
Deberán abstenerse de proveer cuentas a estas empresas con la finalidad de que
estas sean, a su vez, asignadas a clientes para la transferencia de recursos
destinados a la compra de activos virtuales.
Con las acciones antes descritas, el Banco de México continuará procurando del buen
funcionamiento de los sistemas de pagos, así como la protección de los intereses del
público.
No hay comentarios:
Publicar un comentario