Fintech Portada

Evaluación de Cumplimiento en Seguridad y Continuidad Operativa para IFPE o FINTECH

/ Administración de Riesgos / Por

Introducción a las FINTECH 

¡Bienvenidos a la era digital de las Fintech en México!

FINTECH

En un mundo donde las transacciones y operaciones financieras se realizan de manera virtual, garantizar la seguridad de la información y la continuidad operativa se ha vuelto esencial. Las Instituciones de Fondos de Pago Electrónico (IFPE) no son solo un medio para gestionar pagos de forma digital; también deben cumplir con rigurosos estándares que aseguren la protección de datos y la estabilidad operativa.

En este artículo, te contamos la normativa de la evaluación de cumplimiento en materia de seguridad de la información y continuidad operativa de las IFPE, mejor conocidas como “Fintech”, un proceso clave para asegurar que estas instituciones sigan operando bajo los más altos estándares de seguridad y eficiencia. Desde los requisitos que deben cumplir, hasta la periodicidad y características del evaluador independiente, descubre cómo se garantiza la protección de tus datos y la fiabilidad de los servicios financieros digitales.

¡Sigue leyendo para conocer los detalles!

¿Quiénes son las Instituciones de Fondos de Pago Electrónico?

Para abordar la definición de las Instituciones de Fondos de Pago Electrónico, es necesario hablar de las Fintech (Finance and Technology), un nuevo tipo de institución financiera cuyo objetivo principal es ofrecer productos y servicios mediante el uso de tecnología, con el propósito de agilizar y simplificar sus procesos. Estas instituciones buscan proporcionar sus servicios a través de plataformas digitales, como páginas web, aplicaciones móviles y redes sociales, lo que permite acceder a ellos de manera eficiente, ágil y cómoda.

En México, las Fintech, formalmente conocidas como Instituciones de Tecnología Financiera (ITF), se dividen en dos categorías reguladas: las Instituciones de Financiamiento Colectivo (Crowdfunding) y las Instituciones de Fondo de Pago Electrónico (IFPE), comúnmente denominadas wallets o monederos electrónicos.

Las Instituciones de Fondo de Pago Electrónico permiten realizar compras, pagos y transferencias de dinero de manera digital a diversos destinatarios, así como pagar servicios como telefonía, luz y agua. Esto se lleva a cabo a través de aplicaciones, interfaces, páginas de internet o cualquier otro medio de comunicación electrónica o digital.

Es importante destacar que no se limitan al uso de dinero electrónico, ya que las IFPE pueden operar con:

  • Moneda nacional (pesos)
  • Moneda extranjera (dólares, euros, etc.)
  • Activos virtuales (criptomonedas, tokens, etc.)

El Estado mexicano regula a las Fintech mediante la Ley para Regular las Instituciones de Tecnología Financiera (LRITF), publicada en el Diario Oficial de la Federación el 9 de marzo de 2018, con su última actualización el 24 de enero de 2024. En dicha ley se establecen los siguientes aspectos clave:

  1. Servicios ofrecidos:
    • Apertura y manejo de cuentas de fondos de pago electrónico.
    • Transferencias de fondos entre clientes y otras instituciones.
    • Redención de fondos de pago electrónico por dinero o activos virtuales.
    • Mantenimiento de registros actualizados de las cuentas.
  2. Fondos de Pago Electrónico:
    • Son valores monetarios registrados electrónicamente, equivalentes a una cantidad de dinero en moneda nacional o extranjera, o a activos virtuales determinados por el Banco de México.
  3. Restricciones:
    • No pueden pagar intereses o rendimientos monetarios a los clientes por los saldos acumulados.
    • Deben segregar los recursos de los clientes de los propios y mantenerlos en cuentas de depósito en entidades financieras autorizadas.
  4. Operaciones adicionales:
    • Pueden emitir instrumentos para la disposición de fondos de pago electrónico.
    • Ofrecer servicios de transmisión de dinero y procesamiento de información relacionada con pagos.
    • Realizar operaciones con activos virtuales, sujetas a la autorización del Banco de México.
  5. Supervisión:
    • Están sujetas a la supervisión de la CNBV y el Banco de México, que establecen límites y condiciones para sus operaciones.

Además, para obtener la autorización como Instituciones de Tecnología Financiera, es necesario contar con la aprobación de la CNBV, quien evaluará el cumplimiento de los requisitos legales y normativos correspondientes.

Artículo 48, 54 y 56 de las LRITF

Fintech2

En estos artículos se establecen las bases para garantizar la estabilidad, seguridad y transparencia en las operaciones de las Instituciones de Tecnología Financiera, así como la protección de los intereses de sus usuarios. El Artículo 48 dispone que la CNBV y el Banco de México emitirán normas relacionadas con la seguridad de la información, el registro de cuentas, el uso de tecnologías y la continuidad operativa.

Por su parte, el Artículo 54 establece que las ITF pueden contratar servicios de terceros, tanto en México como en el extranjero, para apoyar sus operaciones. Esto debe realizarse conforme a las disposiciones de la CNBV para las instituciones de financiamiento colectivo, o de manera conjunta con el Banco de México en el caso de las IFPE. Dichas autoridades pueden especificar qué servicios requieren autorización.

El Artículo 56 autoriza a las ITF a utilizar equipos, medios electrónicos, sistemas automatizados y redes de telecomunicaciones, tanto públicas como privadas. También pueden emplear métodos de autenticación, como la firma electrónica avanzada, para ofrecer servicios y permitir operaciones a sus clientes, siempre que cumplan con las normas establecidas por la CNBV y, en su caso, por el Banco de México.

Es importante señalar que, el 28 de enero de 2021, se publicaron en el Diario Oficial de la Federación (DOF) las Disposiciones Aplicables a las Instituciones de Fondos de Pago Electrónico, referidas en los artículos 48, segundo párrafo; 54, primer párrafo; y 56, primer y segundo párrafos de la Ley para Regular las Instituciones de Tecnología Financiera (Disposiciones).

Fundamento de la evaluación de Seguridad de Información y Continuidad Operativa IFPE

El Artículo 56 de las Disposiciones establece que las IFPE deberán contratar los servicios de un tercero independiente para llevar a cabo la evaluación del nivel de cumplimiento de los requerimientos en materia de seguridad de la información y continuidad operativa, de acuerdo con lo previsto en los capítulos II, III, IV y V de las Disposiciones.

El informe resultante de dicha evaluación deberá ser entregado al Órgano de Administración de la IFPE y presentado al Comité de Auditoría, en caso de existir.

En el supuesto de que la evaluación revele observaciones que, a juicio del tercero independiente, constituyan violaciones graves, la IFPE estará obligada a presentar dicho informe a su Consejo de Administración dentro de los veinte días hábiles posteriores a la conclusión de la evaluación. Esta disposición garantiza que las posibles irregularidades sean abordadas de manera oportuna y transparente.

Periodicidad de la evaluación

El Artículo 57 de las Disposiciones establece que la evaluación del nivel de cumplimiento de los requerimientos en materia de seguridad de la información y continuidad operativa deberá realizarse cada dos años, contados a partir de la autorización otorgada por la CNBV.

Asimismo, las instituciones no podrán contratar al mismo tercero independiente, ni a las personas morales que lo representen, para realizar estas evaluaciones por más de dos periodos consecutivos. No obstante, podrán volver a contratarlo una vez transcurrido un intervalo mínimo de cinco años desde la última evaluación que dicho tercero haya realizado para la institución.

Características del Tercero Independiente para realizar la evaluación

El Anexo 6 de las Disposiciones establece las características que debe cumplir el Tercero Independiente:

  1. Requisito de Independencia.

No se considerará que existe independencia del Tercero Independiente o de la persona moral que presta los servicios si se cumplen alguno de los siguientes supuestos: cuando haya una relación de control o dependencia económica, ya sea porque el Tercero ejerza control sobre la institución de fondos de pago electrónico, sea subsidiaria, asociada o pertenezca al mismo grupo empresarial, o bien si los ingresos provenientes de la institución o sus relacionadas representan el 10% o más de sus ingresos totales; si ha existido una relación comercial previa y el Tercero ha sido cliente o proveedor importante, con transacciones que representen el 10% o más de sus ventas o compras totales; si existen vínculos laborales o personales, como que el Tercero o sus socios hayan ocupado cargos directivos en la institución en el último año o tengan inversiones o deudas significativas con ella, exceptuando depósitos a plazo fijo o créditos en condiciones de mercado; si se presentan conflictos de interés, como cuando el Tercero ofrece servicios adicionales que impliquen una incompatibilidad con la evaluación de cumplimiento; si los ingresos del Tercero dependen del resultado de la evaluación o del éxito de operaciones basadas en ella; o si el Tercero tiene cuentas por cobrar vencidas con la institución por servicios previos.

  • Selección del Tercero Independiente.

La IFPE debe seleccionar una persona moral que cumpla con los requisitos establecidos para realizar la evaluación de cumplimiento. Puede elegir distintas personas morales para evaluar seguridad informática, canales de instrucción y continuidad operativa. Sin embargo, si se identifican observaciones parciales o incumplimientos, futuras evaluaciones deben ser realizadas por la misma persona moral hasta que se solucionen, salvo casos de fuerza mayor debidamente justificados ante el Banco de México y la CNBV.

  • Contrato de prestación de servicios.

El contrato entre la institución y el Tercero Independiente debe establecer:

  • Que los Terceros Independientes asignados cumplan con los requisitos del anexo y las disposiciones aplicables.
  • Los términos de entrega de información entre las partes.
  • Que la información y resultados de la evaluación podrán ser solicitados directamente por el Banco de México o la CNBV.
  • Compromisos de confidencialidad y resguardo de la información recabada durante la evaluación.
  • Evaluación de cumplimiento.

La evaluación incluye dos tipos de revisiones:

  • Extra-situ: Análisis de evidencias documentales proporcionadas por la institución.
  • In-situ: Verificación en las instalaciones de la institución, basada en las evidencias presentadas.
  • Características del Tercero Independiente a través de la cual se prestarán servicios de evaluación del cumplimiento.

En materia de seguridad de Información.

  • Certificaciones reconocidas en el ámbito de la seguridad de la información, con alguna de las siguientes: CISSP (Certified Information System Security Professional), CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), o sus equivalentes o aquellas que las sustituyan.
  • Poseer al menos 2 años de experiencia en el ámbito de la seguridad de la información dentro del sector financiero.
  • Haber participado en proyectos relacionados con la seguridad de la información durante los últimos 2 años.

En materia de continuidad operativa:

  • Contar con al menos, con dos de las siguientes certificaciones: ISO 31000, ISO 22301, Basilea II y COSO II, o sus equivalentes, o aquellas que las sustituyan.
  • Poseer experiencia de, al menos, dos años en el desarrollo de auditorías de gestión de continuidad de negocio dentro del sector financiero.

Por lo tanto, IDEFI Consultores cumple con estas características, habiendo realizado servicios de este tipo para las instituciones reguladas por el Banco de México y la Comisión Nacional Bancaria y de Valores durante los últimos 7 años, lo que le permite ofrecer con solvencia los servicios de evaluación de cumplimiento requeridos, garantizando su capacidad para realizar evaluaciones con los más altos estándares del sector.

Aspectos para evaluar de Seguridad de Información y Continuidad Operativa.

Fintech

1)    Seguridad de Información

Para cumplir con la Seguridad de la Información se establecen requisitos y mecanismos para proteger de forma correcta la información de sus clientes y sus operaciones, las IFPE deben abordar los siguientes aspectos.

  • Seguridad en el uso de Canales de Instrucción y Operaciones a través de ellos, la Institución debe garantizar que sean seguros y confiables, esto incluye la implementación de mecanismos de autentificación robustos, como son contraseñas complejas, cuestionarios de seguridad y factores biométricos para verificar la identidad de los clientes, además de procedimientos para que proteger las sesiones de los clientes, la terminación automática por inactividad y la detección de intentos de acceso no autorizados.
  • Protección y cifrado de datos personales y sensibles a excepción de la información relacionada con las operaciones, que debe estar disociada para evitar su vinculación directa.
  • Implementación de controles robustos de acceso físico y lógico a la infraestructura tecnológica, contando con una configuración segura de sistemas y protección ante ataques informáticos, incluyendo la realización de pruebas de escaneo de vulnerabilidades y la actualización periódica de herramientas contra software no autorizado.
  • Mantenimiento de la solidez de la infraestructura tecnológica, incluyendo registros de acceso y actividades, así como una Política Estratégica de Continuidad de Negocio y de Seguridad de la Información, además de procedimientos para la atención de incidentes de seguridad.
  • Designar roles y responsabilidades específicos, como el Oficial en Jefe de Seguridad de la Información (CISO) para supervisar y garantizar el cumplimiento de las políticas de seguridad.

2)    Continuidad Operativa

La continuidad operativa en las IFPE se basa en la implementación de un Plan de Continuidad de Negocio aprobado y supervisado por el director general y, en su caso, el consejo de administración. Este plan debe incluir mecanismos para gestionar contingencias operativas, metodologías para evaluar impactos y pruebas periódicas para garantizar su efectividad. Además, la designación de un responsable especializado y la verificación de certificaciones en terceros contratados son elementos esenciales para asegurar la continuidad de las operaciones.

3)    Disposiciones comunes de Seguridad de Información y de Continuidad Operativa

Las IFPE deben llevar un registro detallado en bases de datos que incluya eventos de seguridad de la información calificados como relevantes, incidentes de seguridad, contingencias operativas y fallas o vulnerabilidades en la infraestructura tecnológica. Este registro debe contener información como la fecha, descripción, duración, servicios afectados, clientes impactados, montos involucrados y las medidas correctivas implementadas, y debe conservarse por un periodo mínimo de 10 años.

En caso de un incidente o evento relevante de seguridad, el director general o administrador único debe notificar de manera inmediata al Banco de México y a la CNBV, proporcionando detalles como la fecha, hora, descripción e impacto inicial, y enviar información adicional dentro de los 5 días hábiles posteriores, según los Anexos 3 y 4 de las Disposiciones.

La investigación del incidente debe ser inmediata, con un plan de trabajo que elimine o mitigue las vulnerabilidades, el cual debe ser enviado a las autoridades en un máximo de 15 días hábiles tras la conclusión del incidente. Además, si la contingencia operativa afecta los canales de atención al público, se debe notificar a las autoridades en un plazo de 60 minutos y realizar la investigación correspondiente en un máximo de 5 días hábiles.

4)    Contratación de Servicios con Terceros y Comisionistas

La evaluación de la continuidad operativa y la seguridad de la información en la contratación de servicios con terceros y comisionistas se fundamenta en la obtención de autorizaciones y la emisión de avisos previos para la contratación de servicios críticos, la formalización de contratos claros que establezcan responsabilidades, límites operativos y medidas de confidencialidad, la realización de auditorías periódicas para verificar el cumplimiento de las disposiciones, el mantenimiento de padrones actualizados de proveedores y comisionistas, y la responsabilidad directa de las Instituciones sobre las operaciones realizadas a través de terceros.

Conclusión

La evaluación de Seguridad de la Información y Continuidad Operativa en las IFPE es un proceso fundamental que garantiza el cumplimiento normativo, la protección de los datos de los clientes y la resiliencia operativa. Las IFPE deben implementar mecanismos sólidos de seguridad, tales como autenticación multifactorial, cifrado de datos y controles estrictos de acceso, además de contar con un Plan de Continuidad de Negocio que sea supervisado directamente por el Director General y el Consejo de Administración. Estas medidas no solo fortalecen la confianza de los clientes, sino que también aseguran la estabilidad y la continuidad de las operaciones en un entorno financiero cada vez más digitalizado y vulnerable a riesgos cibernéticos.

IDEFI Consultores es tu aliado estratégico para llevar a cabo la evaluación integral de Seguridad de la Información y Continuidad Operativa, así como para ofrecerte servicios de consultoría en estricto apego a las Disposiciones, implementando marcos de referencia de primer nivel como CoBIT 2019 (Marco de Gobierno de TIC), NIST Cybersecurity Framework 2.0, y CIS Controls.

Nuestra experiencia y compromiso garantizan que tu institución no solo cumpla con las normativas, sino que además adopte las mejores prácticas internacionales, preparándose eficazmente para afrontar los desafíos de seguridad en el panorama financiero actual. Contáctanos para brindarte una asesoría.

Fuentes de Consulta.

  • CONDUSEF. Fintech: nuevas instituciones financieras. Consultado en https://www.condusef.gob.mx/Revista/PDF-s/245/fintech.pdf
  • CNBV (Octubre del 2018). Instituciones de Tecnología Financiera. Consultado en: https://www.gob.mx/cnbv/acciones-y-programas/instituciones-de-tecnologia-financiera
  • DOF (enero del 2024). Ley para regular las Instituciones De Tecnología Financiera.
  • DOF (enero del 2021). Disposiciones Aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los Artículos 48, Segundo párrafo; 54, Primer Párrafo, y 56, Primer y Segundo párrafos de la Ley para regular las Instituciones de Tecnología Financiera

Revisa nuestros cursos disponibles en el menú Capacitación

Ve los Temarios aquí
X