La vinculación a la vigilancia que realizará la SFC de las pasarelas de pago se da en la Circular Externa 008, publicada el 5 de junio de 2018, donde se incorporan las nuevas responsabilidades para las pasarelas de pago, formalizando algunas que ya estaban heredando de manera contractual como son el cumplimiento de las regulaciones relacionadas con la prevención de lavado de activos y financiación del terrorismo (SARLAFT).
Otras responsabilidades adicionadas están asociadas al cumplimiento de la Ley 1581 de 2012 -de Protección de Datos Personales- y la Ley 1266 de 2008 -Ley de Habeas Data- que, por la definición del alcance de estas leyes, estos establecimientos ya deberían estar cumpliendo.
Una obligación nueva, que es una buena práctica de la industria, es la de dar información al consumidor financiero sobre la manera como se realiza el procedimiento de pago, que consiste en una alineación perfecta con los estándares de la industria en materia de seguridad en relación con los programas de concientización que se deben mantener, de manera continua, para asegurar que el eslabón más débil en la cadena de seguridad, los usuarios, realice sus procesos de la manera adecuada.
Dentro de las nuevas responsabilidades sobre las pasarelas de pago, nace una adición que es la adopción de un estándar de la industria de medios de pago con tarjeta que no estaba dentro de las obligaciones de las entidades vigiladas. El estándar en mención es el PCI DSS (que está mal relacionado en la primera mención a este -denominándolo PCI DDS- pero indicado de manera correcta en la segunda mención).
Para entender el alcance de esta nueva responsabilidad debemos conocer un poco sobre este estándar. PCI DSS, acrónimo del término en inglés Payment Card Industry Data Security Standard, fue desarrollado por 5 de las grandes franquicias de pago (Visa, MasterCard, Discover, American Express, JCB) con el objetivo de proteger los datos de tarjeta en los procesos, tecnologías y personas relacionadas con el almacenamiento, procesamiento y transporte de dichos datos.
PCI DSS define un conjunto de controles orientados a preservar la confidencialidad de los datos de tarjeta, los controles definidos pasan desde políticas y procedimientos, pasando por el establecimiento de mecanismos técnicos de monitoreo y control hasta llegar a algunos detalles asociados a versiones específicas de algoritmos.
La cadena de obligación de cumplimiento habitualmente venía dada por la relación contractual que existe entre las diferentes partes que componen el ambiente de medios de pago, entre estos componentes tenemos: las franquicias, los adquirientes, los comercios y los proveedores de servicio. Las pasarelas de pago suelen ubicarse dentro del rango de proveedores de servicio, aunque algunas realizan funciones adicionales.
Aunque esta obligación de cumplimiento del estándar está definida en los diferentes contratos, la aplicación de la misma en muchos casos no se da por falta de control de los adquirientes sobre sus proveedores de servicio y se hace de manera irregular.
El proceso de validación de cumplimiento está diseñado para que algunas empresas que han pasado estándares rigurosos de validación, formación continua y aseguramiento de calidad, sean acreditados para realizar dichas verificaciones de cumplimiento, estas organizaciones deben seleccionar especialistas teniendo en cuenta su experiencia y certificaciones en temas relacionados con seguridad de la información, para luego hacerlos formar y certificar por parte del PCI SSC (Payment Card Industry Standards Security Council), una vez certificados obtienen el título de QSA (Qualified Security Assessor) y se debe hacer un proceso anual de re-entrenamiento y re-certificación para el mantenimiento de dicha acreditación.
Cerrando el paréntesis que se abre para la explicación sobre el estándar, debemos analizar la implicación de este requisito. La imposición del mismo nace de la necesidad de brindar seguridad en un canal que anteriormente no estaba regulado por el estado y que es un vector de ataque de las organizaciones criminales ya que da acceso a grandes cantidades de datos de tarjetas, lo que hace de este sector un objetivo bastante atractivo.
El estándar está definido para ser cumplido sobre ambientes que manejen tarjetas franquiciadas; cuando la SFC lo pone como obligación para las pasarelas de pago amplía su alcance a tarjetas no franquiciadas, obligando a muchas pasarelas que centran su servicio en tarjetas no franquiciadas a cumplir con dicho estándar, y de paso asegurando que la información del consumidor financiero colombiano tiene unos mecanismos mínimos de protección.
Al asumir el estándar PCI DSS, la SFC deja en manos del PCI SSC la seguridad de los medios de pago del consumidor financiero colombiano, esto tiene dos puntos de vista: el malo, una regulación colombiana que depende de un ente que no es colombiano para definir los mecanismos de control para proteger la información de los residentes en Colombia; el bueno, este ente se mantiene a la vanguardia en temas de seguridad de la información y está alineado con las buenas prácticas de la industria.
La validación de cumplimiento del estándar es delegada por la SFC en los QSA (Qualified Security Assessor) que son las empresas calificadas para verificar la correcta implantación de los controles de la norma en un ambiente, lo cual asegura una vigilancia continua de la alineación de las empresas con el estándar, sin embargo, no hace referencia a quien debe realizar el monitoreo de que dichas validaciones de cumplimiento sean realizadas.
Otro elemento importante incluido es el requerimiento de mantener vigente la certificación de manera anual, esto busca garantizar que los controles de seguridad son mantenidos por las organizaciones como parte de su operación diaria brindando un ambiente seguro para las operaciones realizadas a través de estas pasarelas.
Fuera de los cambios relacionados con las pasarelas de pago encontramos que esta circular, además de actualizar algunos términos, hacer salvedades necesarias y aclarar la redacción en algunos puntos, extiende el alcance de otros numerales o sub-numerales de la norma, entre estos tenemos:
- Los canales e instrumentos de prestación de servicios financieros que estaba limitando el ámbito de aplicación a tarjetas de crédito y móviles, dando alcance a las tarjetas débito y a cualquier dispositivo electrónico que sirva para realizar operaciones.
- Esta ampliación permite asegurar que todos los tipos de tarjetas y nuevos medios de pago, como por ejemplo carteras electrónicas son tenidas en cuenta dentro de los controles que se deben tener en cuenta en el momento de usar alguno de los canales o instrumentos de prestación de servicios financieros asegurando que las entidades financieras no dejen de cumplir sus obligaciones por cuenta de una falta de especificidad de la norma.
- El análisis periódico de vulnerabilidades, que anteriormente era obligatorio para los establecimientos de crédito y los administradores de pago de bajo valor, ha extendido su alcance a las sociedades especializadas en depósitos y pagos electrónicos y las entidades vigiladas que permitan la ejecución de órdenes electrónicas para la transferencia de fondos, la compra, venta o transferencia de títulos valores y la emisión de pólizas de seguros, por sistemas de acceso remoto para clientes, Internet o dispositivos móviles.
- La ampliación de este alcance busca que todos los canales o entidades que los usuarios del sistema financiero usan para movimientos financieros estén monitoreados de acuerdo con las buenas prácticas de la industria relacionadas con el monitoreo del estado de seguridad técnica de los canales usados para este tipo de transacciones.
- El envío de información confidencial cifrada por correo electrónico ahora se amplía a canales como mensajería instantánea o cualquier otra modalidad de comunicación electrónica.
- Este cambio busca proteger la información confidencial de los usuarios del sistema financiero, sin embargo, aunque es loable el intento al ampliar los canales por los que es transmitida la información, no busca corregir una mala práctica de la industria que es la de usar un dato de carácter público (el número de documento de identificación) como la parte secreta en el proceso de cifrado para proteger dicha información. Esperemos que en una próxima iteración de las mejoras a esta circular se incluya el término cifrado fuerte y se incluya que este cifrado se realice mediante el uso de una contraseña seleccionada por el usuario.
Otros cambios importantes realizados en la regulación:
- Un cambio que se ve muy pequeño y que puede pasar inadvertido, pero es interesante es el de la modificación de los tiempos de retención de las imágenes de video que se baja de 8 a 6 meses y se limita a las operaciones monetarias que antes estaba circunscrita para los servicios financieros. Este control que tiene un impacto significativo en el costo de la operación de cada oficina y cajero automático donde se prestan servicios financieros, desde una perspectiva de riesgo permite a las entidades centrar los esfuerzos en los puntos más sensibles de las operaciones financieras que son las operaciones monetarias, la reducción de tiempos de almacenamiento pueden obedecer a un análisis de riesgos realizado por la SFC, a las estadísticas de reclamaciones realizadas por los usuarios en las entidades financieras, y a la cantidad de información que pueda brindar una grabación de video en operaciones no monetarias, esta reducción de tiempos de almacenamiento se mantiene dentro de los estándares de la industria.
- El punto donde la reducción de tiempos de almacenamiento se percibe fuera de buenas prácticas de la industria es el del almacenamiento de los registros de información enviada y recibida en los centros de atención telefónica, este control en la industria habitualmente maneja tiempos de retención de 1 año y en esta versión de la regulación se ha bajado a 6 meses, si tenemos en cuenta que mediante estos canales se hacen cambios en los productos, incluyendo adquisiciones y cancelaciones de los mismos, este plazo podría considerarse como insuficiente desde la perspectiva de trazabilidad en el ciclo de vida de los productos.
- Un cambio que resulta peligroso desde el punto de vista de seguridad es la eliminación de la restricción de almacenamiento de datos sensibles o confidenciales en los móviles sin incluir un control para asegurar que cuando se almacene se haga en condiciones de seguridad. Este cambio, que desde el punto de vista de usabilidad es beneficioso para el usuario, debería estar acompañado de controles técnicos que permitan salvaguardar los mecanismos de accesos a las cuentas de los usuarios.
Queda pendiente hacer algunos ajustes a esta regulación para que las entidades hagan su deber de protección de la información de sus clientes de manera correcta ya que se aprovechan vacíos gramaticales para dar soluciones incompletas a temas fundamentales de seguridad.
Esta actualización de la regulación en temas de seguridad es un acierto de la SFC ya que trae novedades importantes en ampliación de alcances e inclusión de estándares de la industria que son buenas prácticas del medio de seguridad y que buscan proteger al usuario financiero.
Autor: Javier Roberto Amaya Madrid. - CISM, PCI QSA, P2PE QSA, PCI 3DS, PCI PCIP, MCPS, ISO 27001 LA
Consultor en Seguridad
