SPID: Requisitos para ser admitido y para permanencia

/ Administración de Riesgos / Por

SPID Sistema de Pagos Interbancarios en Dólares

Introducción

El Sistema de Pagos Interbancarios en Dólares (SPID) representa una infraestructura esencial al sistema financiero mexicano, permitiendo la transferencia electrónica de fondos en dólares entre cuentas de personas morales en México. Este sistema agiliza los procesos de pago, reduce costos y mejora la seguridad en las transacciones. Sin embargo, para participar en el SPID, las instituciones financieras deben cumplir con requisitos establecidos por el Banco de México, la cuales se encuentran detallas en la Circular 3/2016 y Circular 4/2016 donde se especifican los criterios para la autorización y permanencia para la operación del SPID, los cuales son fundamentales para garantizar la integridad y eficiencia del sistema.

¿Qué es el SPID?

El SPID es el sistema de pagos que permite el envío, procesamiento y liquidación de Órdenes de Transferencias Interbancarias, para transferir, mediante medios electrónicos, montos determinados en dólares a cuentas de depósitos a la vista denominados en esa moneda, con o sin chequera pagaderos en la República Mexicana, abiertas solo a nombre de personas morales con domicilio en territorio nacional.

En esencia, el SPID facilita las transferencias entre cuentas en dólares de personas morales en México, reduciendo costos, tiempos de procesamiento y mejorando la seguridad, lo que contribuye al crecimiento económico.

Por lo cual, para participar en el SPID se necesario ser una Institución de banca múltiple o de desarrollo y cumplir con la Circular 3/2016 publicada el 11 de marzo de 2016, con sus respectivas modificaciones la cual establece en la regla 3a de dicha circular que:

… “La Institución de Crédito interesada en actuar como Participante requiere obtener autorización previa y por escrito del Banco de México. Adicionalmente, la Institución de Crédito deberá presentar al Administrador una solicitud de admisión en términos de lo dispuesto en la 41a. de las “Reglas del Sistema de Pagos Interbancarios en dólares”, contenidas en la Circular 4/2016 del Banco de México” …

Para las Instituciones que ya cuenten con la autorización, tienen como obligación de cumplir con los requisitos técnicos, operativos y de gestión de riesgos operacionales, y aquellos relacionados con el uso del SPID en la realización de actividades ilícitas establecido en la regla 13a de la Circular 3/2016; por lo que se deben realizar revisiones periódicas a través del área de auditoría Interna y auditores externos independientes.

Requisitos para la admisión como Participante

El participante interesado debe demostrar el cumplimiento de los requisitos que se establecen en la regla 42a de la Circular 4/2016, publicada el 11 de marzo de 2016 y con su última modificación el 22 de noviembre de 2023, así como las especificaciones del Apéndice E y Anexo C del Manual de Operación del SPID (Manual).

A continuación, se presentan los requisitos de seguridad Informática, gestión del riesgo operacional, certificación del Aplicativo SPID y gestión de Riesgo Adicionales extraídos de la regla 42ª.

Requisitos de seguridad informática

En cuanto a la Infraestructura Tecnológica, la Institución de Crédito debe contar con políticas y procedimientos documentados e implementados que aborden los siguientes aspectos:

  1. Mantener un área específica encargada de la seguridad informática y el cumplimiento de políticas y procedimientos establecidos.
  2. Contar con una política que garantice la solidez de la Infraestructura Tecnológica, abordando aspectos como:
  3. Evaluación y eliminación de protocolos de comunicación inseguros.
  4. Uso obligatorio y actualización periódica de herramientas contra virus informáticos y códigos maliciosos.
  5. Administración de vulnerabilidades de seguridad informática, derivadas de cambios, actualizaciones o errores.
  6. Inhibición de la instalación de servicios, aplicaciones o software innecesarios para la operación con el SPID.
  7. Detección y gestión de incidentes de seguridad informática, asegurando su identificación, contención y recolección de evidencia.
  8. Evaluación bianual de la seguridad informática, que incluye pruebas de penetración realizadas por el Participante o un auditor externo Independiente y la presentación de un informe detallado de riesgos, junto con un plan de trabajo para abordar los riesgos críticos identificados.
  9. Establecer una política para la implementación del Aplicativo SPID[1], que incluya procedimientos para el desarrollo formal del aplicativo, considerando la seguridad informática en todas las etapas, la revisión periódica de componentes de seguridad confirmando su vigencia conforme a los establecido al Apéndice E del Manual, y la vigilancia y registro de accesos y actividades realizadas en el aplicativo con un resguardo de la información recabada de al menos seis meses.
  10. Implementar políticas para el manejo seguro de la información electrónica, incluyendo procedimientos para el borrado seguro de información al desechar dispositivos físicos, la restricción de acceso a puertos físicos de conexión y dispositivos periféricos, resguardo de información, la detección de alteraciones o falsificaciones de información y cifrado de la información sensible en el Aplicativo SPID.
  11. Contar con políticas para implementar mecanismos robustos y seguros de control de acceso a la Infraestructura Tecnológica, considerando la gestión de usuarios y contraseñas, bloqueo manual y automático de equipos, además de la vigilancia y auditoría de accesos y actividades realizadas con un resguardo de información de seis meses con énfasis en la atención y seguimiento de posibles fraudes.
  12. Establecer políticas para la gestión de una red de telecomunicaciones, con procedimientos para restringir el acceso a internet desde la Infraestructura Tecnológica y garantizar la comunicación segura y eficiente con el Banco de México.

Requisitos de gestión del riesgo operacional

La gestión de riesgos operacionales en una Institución de Crédito debe contemplar lo siguiente:

  • Desarrollo de una metodología para la gestión del riesgo operacional relacionada con la operación del SPID, que incluya la identificación, evaluación y mitigación de riesgos, así como la implementación de controles adecuados.
  • Implementación de una metodología para el análisis de impactos al negocio, considerando la identificación de procesos críticos, clasificación de impactos en el tiempo, definición de tiempos y puntos objetivos de recuperación para cada proceso crítico, identificación de contrapartes críticas y recursos necesarios para la operación con el SPID.
  • Establecimiento de procedimientos de contratación y capacitación para garantizar que el personal relacionado con la operación del SPID tenga las habilidades y conocimientos necesarios.
  • Elaboración de manuales de procedimientos de operación que describan las actividades requeridas para operar el SPID, asegurando la segregación de funciones y la definición precisa de responsabilidades.

Además, se deben establecer medidas de mitigación de riesgos que incluyan:

  • Elaboración de un listado de riesgos operacionales identificados y controles asociados, incluyendo riesgos tecnológicos y asociados a proveedores externos.
  • Realización de un análisis de capacidad sobre los recursos tecnológicos, humanos y materiales para asegurar que sean suficientes para manejar volúmenes altos de operación SPID.
  • Implementación de políticas y lineamientos para la gestión de privilegios de acceso a los sitios operativos y Centros de Datos relacionados con la operación del SPID.

Por último, se deben establecer procedimientos para la recuperación y restauración de la operación ante la materialización de un riesgo, que incluyan:

  • Desarrollo de una política de continuidad y estrategias para mantener la operación del SPID en un nivel mínimo aceptable.
  • Documentación de acciones para la atención de incidentes, incluyendo identificación, diagnóstico, atención, recuperación, restauración y documentación.
  • Definición de actividades para dar respuesta a emergencias, considerando activación de estrategias de continuidad, roles y responsabilidades, niveles de escalamiento y protocolo de comunicación.
  • Establecimiento de acciones para el regreso a la operación normal después de un incidente.
  • Desarrollo de un plan de pruebas para evaluar las estrategias y procedimientos de continuidad, con lineamientos y periodicidad definidos relacionados con la operación de SPID.

Requisito de certificación del Aplicativo SPID.

La certificación del Aplicativo SPID requiere que la Institución de Crédito cumpla con los siguientes requisitos:

  1. Acreditar que el Aplicativo SPID cumple con el protocolo de comunicación del SPID.
  2. Acreditar que el Aplicativo SPID procesa adecuadamente las Órdenes de Transferencia, incluso en situaciones de alto volumen en un período corto.
  3. Validar que el Aplicativo SPID pueda operar con la infraestructura secundaria establecida por Banco de México en casos de contingencia.

Requisitos de gestión de Riesgo Adicionales

La Institución de Crédito debe cumplir con los siguientes requisitos:

  1. Tener procesos, sistemas y personal adecuados para recabar, verificar y conservar la información de identificación de los Clientes Emisores y Beneficiarios, así como evaluar el riesgo que representan dichos Clientes.
  2. Establecer procesos, sistemas y personal para llevar a cabo la verificación requerida.
  3. Implementar procesos y contar con personal capacitado para monitorear las transferencias realizadas por medio del SPID a través de sistemas automatizados, con motivo de detectar anomalías en las transferencias.
  4. Desarrollar políticas y procedimientos para evaluar y mitigar los riesgos asociados con transferencias relacionadas con actividades ilícitas o fondos de origen indeterminado.
  5. Contar con un modelo de evaluación de Riesgos Adicionales para clientes con cuentas en dólares susceptibles de recibir o enviar transferencias a través del SPID, que cumpla con los requisitos establecidos y sea aprobado por el Comité de Riesgos. Este modelo debe ser comunicado al Banco de México dentro de los 30 Días Hábiles Bancarios posteriores a su aprobación.

Acreditación de cumplimiento para ser admitido como Participante en el SPID

De acuerdo con la regla 41a de la Circular 4/2016 la Institución de Crédito que pretenda ser admitida como participante debe presentar al Banco de México una solicitud de admisión suscrita por el Director General de la Institución o por un funcionario con un cargo de al menos dos jerarquías inferiores al director general. Además, debe ir acompañada de los dictámenes y certificaciones necesarios según lo dispuesto en la regla 46a de la Circular 4/2016.

Estos dictámenes y certificaciones deben demostrar el cumplimiento de los requisitos de seguridad informática, gestión de riesgos operacionales y gestión de Riesgos Adicionales según lo establecido en la regla 42a de la Circular 4/2016. Para ello, debe adjuntar a su la siguiente documentación:

  1. Un informe de cumplimiento firmado por el oficial de cumplimiento y el responsable del cumplimiento normativo de la Institución, detallando el cumplimiento de los requisitos de gestión de Riesgos Adicionales y otros mencionados en la regla 42a, junto con hallazgos y posibles irregularidades o incumplimientos detectados.
  2. Un informe de cumplimiento firmado por el titular del área de auditoría interna de la Institución, detallando el cumplimiento de cada requisito mencionado en la regla 42a, con hallazgos y posibles irregularidades o incumplimientos detectados.
  3. Un informe de cumplimiento firmado por un Auditor Externo Independiente, detallando el cumplimiento de cada requisito mencionado en la regla 42a, con hallazgos y posibles irregularidades.

Requisito de permanencia en el SPID

Cada Participante del SPID debe verificar anualmente el cumplimiento de los requisitos de seguridad informática, gestión del riesgo operacional y gestión de Riesgos Adicionales para operar SPID. Esto se logra mediante revisiones realizadas por el titular del área de auditoría interna del Participante en un año y por el o los Auditores Externos Independientes en el año siguiente.

Los informes de cumplimiento de estas verificaciones deben ser entregados al comité de auditoría del Participante y al Administrador del SPID a través de la Dirección de Operación y Continuidad de Sistemas de Pagos e Infraestructuras de Mercados dentro de los sesenta días naturales siguientes al cierre del ejercicio fiscal.

En caso de que Banco de México detecte irregularidades o incumplimientos por parte de un Participante del SPID, derivados de una revisión o de los informes del Auditor Externo Independiente, puede requerir al Participante un plan de cumplimiento forzoso. Este plan debe contener las acciones para corregir las irregularidades, los plazos y los responsables de cada acción, sujeto a la aprobación del Banco de México.

En el plan de cumplimiento forzoso, el Participante debe designar al Auditor Externo Independiente encargado de dar seguimiento a las acciones correctivas y de informar al Banco de México sobre su progreso y eficacia.

Conclusión

El SPID no solo representa una herramienta vital para las operaciones financieras en dólares en México, sino también un componente crucial en la infraestructura de pagos del país. Su funcionamiento eficaz depende en una buena medida, del cumplimiento de las normativas establecidas en la Circular 3/2016 y Circular 4/2016 para la seguridad informática, gestión de riesgos y certificaciones tecnológicas. Las revisiones periódicas y la implementación de planes de cumplimiento forzoso garantizan la continuidad y robustez del sistema, protegiendo los intereses de los participantes y contribuyendo al desarrollo económico del país.

Referencias

[1] Aplicativo SPID: es el programa de cómputo que usan los Participantes para interactuar con el SPID y que forma parte de la Infraestructura Tecnológica.

Califica


Auditoria de Cálculo del Requerimiento de Capital por Riesgo Operacional bajo el método de indicador de negocio

Contáctanos
X