SPEI: Requisitos para ser admitido y para permanencia.

/ Administración de Riesgos / Por

1. Introducción

El Sistema de Pagos Electrónicos Interbancarios (SPEI), es un esquema que permite a sus Participantes efectuar transferencias electrónicas en tiempo real de manera segura y eficiente. Con la finalidad de garantizar la integridad, confiabilidad, seguridad y buen uso del sistema, el Banco de México establece una serie de reglas que los participantes deben cumplir para ser admitidos o permanecer como Participantes en el SPEI.

SPEI

2. SPEI

El SPEI es un sistema de pagos desarrollado y operado por el Banco de México, que permite a sus Participantes (Bancos, Casas de Bolsa, Sofipos y otras entidades financieras reguladas) enviar y recibir pagos entre sí, esto permite que los Participantes ofrezcan a sus clientes finales el servicio de transferencias electrónicas en tiempo real, accesible a través de la banca por internet o de la banca móvil.

Según la Circular 13/2017, publicada el 04 de julio de 2017, junto con sus respectivas modificaciones, en la Regla 3a establece que: “… El interesado en actuar como Participante en algún Sistema de Pagos requiere, para ello, obtener autorización previa y por escrito del Banco de México…”; por lo que se requiere presentar al Banco de México una solicitud de admisión conforme a lo dispuesto en las “Reglas del Sistema de Pagos Electrónicos Interbancarios”, detalladas en la Circular 14/2017 y una solicitud de autorización donde señale expresamente su voluntad de sujetarse incondicionalmente a las presentes Disposiciones y a las Normas Internas.

Además, en la Regla 13ª de la Circular 13/2017, menciona que el Participante debe cumplir en todo momento con los requisitos técnicos, operativos, de seguridad informática y de gestión de riesgos operacionales, de protección de clientes emisores, de interoperabilidad y aquellos relacionados con el uso del SPEI en actividades ilícitas. Para ello, deben cumplir con los requisitos permanentes en dicha regla y los considerados en la Circular 14/2017.

3. Requisitos para la admisión como Participante

El participante interesado debe demostrar que cumple con los requisitos que se establecen en la Regla 58a de la Circular 14/2017 y también en los términos de especificaciones detallas en el Apéndice M del Manual de Operación del SPEI (Manual), referente a los Requisitos de Seguridad Informática y de gestión de Riesgo Operacional. A continuación, se presenta información consultada de la Circular 14/2017 publicada en el Diario Oficial de la Federación el 04 de julio de 2017 con la última modificación el 22 de noviembre de 2023 y del Manual de Operación de SPEI Versión 5.4.

3.1. Requisitos en seguridad Informática

El interesado deberá contar con políticas y procedimientos documentados e implementados referente a la Infraestructura Tecnológica, como lo siguiente:

  • Contar con políticas y procedimientos para garantizar la seguridad informática en la Infraestructura Tecnológica, incluyendo un área responsable de verificar el cumplimiento de estas políticas.
  • Contar con medidas y acciones para la atención e incidentes de seguridad de la información en la Infraestructura Tecnológica.
  • Contar con una política escrita para asegurar la solidez de la Infraestructura Tecnológica, que aborde aspectos como la evaluación de protocolos de comunicación, detección de virus y/o códigos maliciosos, administración de vulnerabilidades, inhibición de instalación de cualquier software, gestión de incidentes de seguridad y evaluación de al menos dos años sobre la seguridad informática.
  • Establecer políticas para la implementación del Aplicativo SPEI, asegurando un proceso formal y documentado de desarrollo, considerando la seguridad informática en todas las etapas para una revisión de forma estática y dinámica, además de garantizar procedimientos que permitan la vigilar, auditar y rastrear, accesos y actividades recabadas en un periodo de al menos seis meses.
  • Contar con políticas para el manejo seguro de la información electrónica, incluyendo procedimientos para la destrucción segura de dispositivos, restricción de accesos de dispositivos, detección de alteraciones o falsificación de información, cifrado de información sensible y mantenimiento de inventarios de la infraestructura tecnológica.
  • Se requieren políticas para implementar mecanismos de control de acceso robustos y seguros en la Infraestructura Tecnológica, incluyendo procedimientos para gestionar usuarios, contraseñas, bloqueo de acceso, gestión de privilegios y vigilancia/auditoria de actividades en el Aplicativo SPEI, con resguardo de información de un periodo de al menos seis meses, considerando la atención y seguimiento de posibles eventos de fraude.
  • Y se deben contar con políticas para la comunicación con el Banco de México, incluyendo restricciones de acceso a internet y gestión de redes de telecomunicaciones

Los interesados en ofrecer Canales Electrónicos a sus Clientes Emisores deben tener procesos y sistemas documentados que incluyan:

  1. Estructura organizacional, en la que se separar actividades y roles en el desarrollo y operación de los Canales.
  2. Procedimientos para gestionar vulnerabilidades de seguridad informática.
  3. Proceso formal y documentado del desarrollo de software, incluyendo seguimiento y control de versiones.
  4. Resguardo de bitácoras detalladas sobre la operación de los Clientes Emisores, incluyendo incidencias, con un resguardo de al menos un año.
  5. Controles para el acceso a las bitácoras.
  6. Uso obligatorio de herramientas para detectar virus informáticos y códigos maliciosos.
  7. Medidas y acciones para atender incidentes de seguridad de la información en los Canales Electrónicos.

Además, deben tener políticas documentadas para realizar pruebas de confianza e integridad al personal y terceros que acceden a información y sistemas relevantes para la operación con el SPEI.

3.2. Requisitos de gestión del riesgo operacional

Los requisitos de gestión del riesgo operacional son los siguientes:

  1. Establecer políticas y procedimientos documentados para la administración de riesgos operacionales, que abarquen la identificación, evaluación, monitoreo y mitigación de riesgos, así como roles y responsabilidades definidas; análisis sobre impactos al negocio, contratación y capacitación del personal relacionado en el proceso de SPEI.
  2. Implementar medidas de mitigación de riesgos, como mantener un listado de riesgos operacionales identificados, análisis de capacidad de recursos y lineamientos para la gestión de privilegios de acceso.
  3. Establecer procedimientos documentados para la recuperación y restauración de la operación con el SPEI en casos de riesgos, incluyendo una política de continuidad, acciones para la atención de incidentes, respuesta a emergencias, restablecimiento de la operación normal y un plan de pruebas.

3.3. Requisitos de certificación de los Aplicativos SPEI

Los requisitos de certificación de los Aplicativos SPEI[1] son los siguientes:

  1. Garantizar que el Aplicativo SPEI único o múltiple cumpla con el protocolo de comunicación de cada Instancia del SPEI, cumpliendo con las especificaciones indicadas en la sección 7 del Manual.
  2. Asegurar que cada Aplicativo SPEI procese correctamente los tipos de Órdenes de Transferencia requeridos, incluso en periodos de alto volumen.
  3. Demostrar capacidad para generar y enviar Confirmaciones de Abono de acuerdo con la Regla 20a.
  4. Verificar la capacidad de operar con la infraestructura secundaria en casos de contingencia.
  5. Asegurar la continuidad operativa durante la activación del “Procedimiento de Operación Alterno SPEI” (POA-SPEI) y operar mediante el procedimiento de contingencia “Cliente de Operación Alterno SPEI” (COA-SPEI).

3.4. Requisitos de protección a los Clientes Emisores de los interesados

Los interesados deben cumplir con lo siguiente:

  • Contar con sistemas y medidas de control que aseguren, la automatización de procesamiento de Órdenes de Transferencia de Clientes Emisores, sin intervención manual; tenga la posibilidad de ofrecer la opción de órdenes no automatizadas solo en situaciones de contingencia, con verificación de identidad y autorización.
  • Los interesados distintos a Instituciones de Crédito que ofrezcan a sus clientes Emisores Canales Electrónicos deben establecer claramente los términos y condiciones en los contratos de operaciones a través de Canales Electrónicos; resguardar elementos de verificación de identidad e identificadores de Clientes Emisores; generar una huella digital que compruebe la autenticidad; registrar y almacenar información detallada de todas las actividades relacionadas con las Órdenes de Transferencia y Solicitudes de Envío; revisar al menos anualmente las bitácoras de actividad y notificar eventos inusuales; permitir a los clientes Emisores establecer límites de transferencia y pre-registrar cuentas beneficiarias; entregar notificaciones instantáneas a los clientes sobre operaciones y cambios en la seguridad; monitorear patrones de comportamiento transaccional y detectar fraudes; habilitar mecanismos para reportar extravíos, robos y operaciones no reconocidas; bloquear el acceso después de múltiples intentos fallidos de autenticación y terminar sesiones por inactividad o cambios sospechosos en los parámetros de comunicación del canal.
  • Los interesados deben suscribir el Convenio de Colaboración para la Protección del Cliente Emisor y obtener la autorización para ser admitidos como Participantes.

3.5. Requisitos en materia de Riesgos Adicionales para la admisión como participante

Los interesados sujetos a regulación y supervisión en prevención y detección de delitos previstos en ellos artículos 139 y 148 Bis del Código Penal Federal o que pudieran ubicarse en lo supuestos del artículo 400 Bis del mismo Código, deben cumplir con los siguientes requisitos:

  1. No haber sido sancionados en los últimos tres años por infracciones a dicha regulación.
  2. En caso de sanción, demostrar correcciones realizadas mediante seguimiento de la comisión supervisora o informe de Auditor Externo Independiente.
  3. Informar al Banco de México si hay notificación de infracción, presentando informe de Auditor Externo Independiente sobre causas y plan de corrección.
  4. Las Instituciones de Crédito que no hayan sido supervisadas por la autoridad competente en materia prevención de lavado de dinero y fomento al terrorismo durante los dos años inmediatos, deben demostrar mediante un informe realizado por un Auditor Externo Independiente, que cuentan con la capacidad de dar cumplimiento.
  5. Establecer política y procedimientos documentados para identificar cuentas de clientes involucrados en intercambios de activos virtuales, según la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.

3.6. Requisitos de interoperabilidad

Los interesados que tengan el carácter de Cámaras de Compensación de Transferencias a través de Dispositivos Móviles deben ofrecer servicios a sus clientes sin depender de las compañías de telecomunicaciones contratadas por dichos clientes.

4. Acreditación de los requisitos para ser admitido el participante

Para ser admitido como participante en SPEI, se requiere que el interesado presente una solicitud de admisión en los términos establecidos en el Apéndice N del Manual donde en esta se integre la siguiente documentación: un informe de cumplimiento suscrito por el responsable del cumplimiento normativo, un informe de cumplimiento suscrito por el titular del área de auditoría interna (si cuenta con ella) y un informe suscrito por un Auditor Externo Independiente. Estos informes deben detallar cómo el interesado satisface con los requisitos de seguridad informática, gestión del riesgo operacional, protección a los Clientes Emisores, gestión de Riesgos Adicionales y de interoperabilidad para operar con el SPEI, según lo establecido en la Regla 58ª de la Circular 14/2017.

Estos informes deben ser enviados a la Dirección de Operación y Continuidad de Sistemas de Pagos e Infraestructuras de Mercados, conforme a los lineamientos establecidos en el Apéndice N del Manual correspondiente. En dicho apéndice se especifican las características que debe contener cada informe, así como los requisitos del Auditor Externo Independiente.

Destacando en este sentido a IDEFI CONSULTORES S.C., el cual cuenta con expertos certificados en los campos de COSO, ISO31000, ISO22301, ISO27001, CISO (Chief Information Security), LCSPC (Lead Cybersecurity Professional Certificate), ISO/IEC 22301 INTERNAL AUDITOR, CSFPC (Cyber Security Foundation Professional Certificate) y SAP. Asimismo, contando con una amplia experiencia, colaborando con Instituciones financieras de renombre como Banco del Bajío, S.A., Banco Nacional de Comercio Exterior, S.N.C., Banco Invex, S.A., Vector Casa de Bolsa, S.A., BanCoppel, S.A., entre otros. No lo dudes en contactar a IDEFI CONSULTORES S.C.

Asimismo, Banco de México tiene la facultad de solicitar la documentación, información, ejecución de pruebas e informes adicionales que considere necesarios para verificar el cumplimiento de los requisitos establecidos en la Regla 58ª de la Circular 14/2017. Además, podrá realizar visitas a las instalaciones y sistemas del interesado para verificar dicho cumplimiento.

Una vez que la solicitud presentada de acuerdo con la Regla 57ª de la Circular 14/2017, reúna toda la documentación e información requerida, y que el Banco de México haya realizado las pruebas y visitas pertinentes, este determinará si es apropiado admitir al solicitante como participante en el SPEI. Posteriormente, el Banco de México comunicará su decisión al solicitante para que procedan a celebrar el contrato correspondiente.

5. Requisitos de permanencia

Cada Participante del SPEI debe realizar una evaluación periódica del cumplimiento de los requisitos de seguridad informática, gestión del riesgo operacional, protección a los Clientes Emisores, Riesgos Adicionales e interoperabilidad establecidos en las Reglas 58a. y 58a. Bis de la Circular 14/2017. Además, deben informar a Banco de México sobre cualquier otro riesgo identificado a través de revisiones que deben llevar a cabo cada dos años, de manera alternada, el titular del área de auditoría interna del Participante y los Auditores Externos Independientes.

Este informe debe ser entregado al Banco de México y presentado al comité de auditoría del Participante, si lo hay, en su caso se deberá también adjuntar constancia de la presentación del informe al comité.

Cuando el Banco de México detecte irregularidades o incumplimientos en el Participante del SPEI, puede requerirle la presentación de un plan de cumplimiento forzoso, donde se deben detallar las acciones que tomará para corregir las irregularidades, el plazo para llevarlas a cabo y los responsables de cada acción. El plan debe ser aprobado por Banco de México.

El Participante debe designar a un Auditor Externo Independiente para dar seguimiento a las acciones del plan y para informar al Banco de México sobre el grado de avance y eficiencia de estas.

6. Conclusiones

El SPEI favorece el envío y recibo de pagos de manera instantánea y accesible a través de internet. Sin embargo, para que los Participantes puedan acceder y mantenerse en el uso de este sistema, es obligatorio que cumplan con la normativa establecida por parte del Banco de México, considerando los requisitos de seguridad informática, gestión de riesgos operacionales, certificación de los Aplicativos SPEI, protección a los Clientes Emisores, en materia PLD/FT e interoperabilidad.

Además, la realización de evaluaciones periódicas para verificar el grado cumplimiento de estos requisitos, así como la pronta corrección de cualquier irregularidad detectada, para mantener seguro e integro el sistema SPEI.

Cualquier duda adicional al presente artículo, favor de contactar a IDEFI CONSULTORES S.C., con gusto los asesoraremos.

Referencias

  • Banco de México. Información del SPEI para el público en general. Consultado en: https://www.banxico.org.mx/servicios/sistema-pagos-electronicos-in.html
  • Banco de México (2018). ¿Qué es y cómo funciona el SPEI?.  Consultado en: https://www.banxico.org.mx/spei/d/%7B44351472-054C-58EB-611D-153B1029C2A8%7D.pdf
  • Banco de México (2017). “CIRCULAR 13/2017: Disposiciones Generales Aplicables a las Instituciones de Crédito y Otras Empresas que Presten de Manera Profesional el Servicio de Transferencias de Fondos, así como a los Participantes en los Sistemas de Pagos Administrados por el Banco de México y a los Demás Interesados en Actuar con el Carácter de Participante en Dichos Sistemas”, con sus modificaciones al 22 de noviembre 2023 respectivamente.
  • Banco de México (2017). “CIRCULAR 14/2017 Reglas del Sistema de Pagos Electrónicos Interbancarios”, con sus modificaciones al 22 de noviembre 2023 respectivamente.
  • Banco de México (2020). Manual de Operación del SPEI. Versión 5.4

[1] Aplicativo SPEI: es el programa de cómputo que usan los Participantes para interactuar con el SPEI y que forma parte de la Infraestructura Tecnológica.


Revisa nuestros cursos disponibles en el menú Capacitación

Ve los Temarios aquí
X