La Superintendencia Financiera de Colombia expidió la Circular Externa 004 el 7 de febrero de 2024 con el objetivo de dar algunas instrucciones relativas a las finanzas abiertas y comercialización de tecnología e infraestructura de terceros. Esta circular actualiza algunas de las secciones de la Circular Básica Jurídica.
- Define los estándares tecnológicos, de seguridad y demás necesarios que deben adoptar las entidades vigiladas para el desarrollo de finanzas abiertas en condiciones de interoperabilidad.
- Establecer las obligaciones que deben cumplir las entidades vigiladas para que el tratamiento de los datos de los consumidores financieros se realice en condiciones de seguridad, transparencia y eficiencia, atendiendo lo establecido en las Leyes 1266 de 2008 y Ley 1581 de 2012 y demás normas que las que lo reglamenten, sustituyan, modifiquen o adicionen.
- Establecer los lineamientos que deben cumplir las entidades vigiladas cuando comercialicen a terceros la tecnología e infraestructura que utilicen para la prestación de servicios.
En desarrollo de lo anterior, y en virtud de las facultades previstas en el literal a) del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero, así como el artículo 2.35.10.1.1. y el numeral 5 del artículo 11.2.1.4.2 del Decreto 2555 del 2010 se imparten las siguientes instrucciones:
PRIMERA: Crear el capítulo IX en el Título I de la Parte I de la Circular Básica jurídica denominado “Reglas relativas a las fianzas abiertas”. Con la finalidad de definir los estándares tecnológicos de seguridad y demás necesarios que deben adoptar las entidades vigiladas para el desarrollo de finanzas abiertas en condiciones de interoperabilidad, así como impartir instrucciones para el tratamiento de los datos de los consumidores financieros en condiciones de seguridad, transparencia y eficiencia, atendiendo lo establecido en las Leyes 1266 de 2008 y 1581 de 2012 y demás normativas que reglamenten sustituyan, modifiquen o adicionen, en el marco de las finanzas abiertas.
Dentro de los requisitos definidos en esta sección se involucra la necesidad de verificar que los terceros receptores de datos de las entidades vigiladas (siempre que estos datos incorporen datos de cuentas de tarjetas débito o crédito) cuenten y mantengan una certificación en el estándar PCI DSS emitida por un QSA.
SEGUNDA: Crear el Capítulo X en el Título I de la Parte I de la Circular Básica jurídica denominado “Comercialización de Tecnología e Infraestructura a terceros” con el fin de definir los lineamientos que deben atender las entidades vigiladas cuando desarrollen la actividad de comercialización de tecnología e infraestructura que utilicen en la prestación de sus servicios y su desarrollo de sus actividades conexas.
TERCERA: Se modifica el subnumeral 3.2.3.4 del Capítulo I del Título III de la Parte I de la Circular Básica Jurídica denominado “Acceso e información al consumidor financiero” con el fin de armonizarlo con las finanzas abiertas que se regulan a través de la presente circular.
CUARTA: Derogar el numeral 6 “Uso de la información” del capítulo IX del Título IV de la parte III de la Circular Básica Jurídica denominada “Entidades Administradoras de Sistemas de Pago de Bajo Valor – EASPBV” con el fin de actualizarlo atendiendo lo previsto en el numeral 4 del artículo 2.17.2.1.14 modificado por el artículo 2 del decreto 1297 de 2022. Así mismo, se reenumera el actual numeral 7 “Estándares Operativos, Técnicos y de Seguridad” como numeral 6 del citado Capítulo.
QUINTA: Las entidades vigiladas que tienen implementados modelos de finanzas abiertas por medio de estándares de arquitectura, tecnología y seguridad diferentes a los previstos en el subnumeral 3.2 del Capítulo IX del Título I de la Parte I de la Circular Básica Jurídica denominado “Reglas relativas a las finanzas abiertas” tendrán un plazo máximo de 18 meses (contados a partir de la expedición de la presente circular) para llevar a cabo la adopción de los estándares de arquitectura tecnología y seguridad establecidos en el referido numeral. Las entidades vigiladas deben remitir a la delegatura correspondiente de la SFC un plan de adopción a más tardar el 1 de agosto de 2024.
SEXTA: Las entidades vigiladas que participen en modelos de finanzas abiertas deben atender los siguientes plazos para dar cumplimiento a las instrucciones:
- 18 meses contados a partir de la fecha de expedición de la presente Circular, en lo relacionado con el numeral 3.2 del Capítulo IX del Título I de la Parte I de la Circular Básica jurídica denominado “Reglas relativas a las finanzas abiertas”.
- 6 meses contados a partir de la fecha expedición de la presente Circular en lo relacionado con las demás instrucciones establecidas en el Capítulo IX del Título I de la Parte I de la Circular Básica jurídica denominado “Reglas relativas a las finanzas abiertas”.
- 12 meses contados a partir de la fecha de su expedición a las entidades vigiladas que se encuentren comercializando la tecnología e infraestructura empleada para el desarrollo de su actividad. Deberán dar cumplimiento a las instrucciones contenidas en el Capítulo X del Título I de la Parte I de la Circular Básica Jurídica denominado “Comercialización de Tecnología e Infraestructura a Terceros”.
