Dentro de las disposiciones emitidas por el banco central se encuentra el requisito para aquellas entidades participantes en el Sistema de Pagos Interbancarios en Dólares de contar con un oficial de seguridad de la información.
Con el fin de robustecer la ciberseguridad para el Sistema de Pagos Electrónicos Interbancarios (SPEI) y el Sistema de Pagos Interbancarios en Dólares (SPID), Banco de México emitió nuevas reglas, que previamente fueron puestas a consulta para que los participantes de ambos esquemas pudieran emitir su opinión al respecto.
Ayer, en el Diario Oficial de la Federación (DOF), Banxico publicó tres circulares relacionadas con el robustecimiento de los lineamientos de ciberseguridad tanto para SPEI como para el SPID.
Dentro de lo relevante de las disposiciones emitidas por el banco central, se encuentra, dentro de la circular 11/2023, el requisito para aquellas entidades participantes en el SPID de contar con un oficial de seguridad de la información (CISO).
“El CISO deberá realizar verificaciones regulares del cumplimiento de sus funciones y llevar a cabo verificaciones periódicas de requisitos de seguridad en la infraestructura tecnológica, incluyendo terceros que podrían afectar la operación. Las entidades deberán poner a disposición del CISO el listado actualizado de personas con acceso a información crítica”, explicó Antonio Casas Vessi, abogado asociado del despacho Ramos, Ripoll & Schuster.
Esta circular entrará en vigor a partir del 4 de abril del 2024.
Asimismo, el banco central emitió la circular 12/2023, donde, de acuerdo con Casas Vessi, se busca fortalecer la seguridad y clarificar elementos técnicos, además de agregar medidas para mejorar la ciberresiliencia de los participantes en el SPEI.
Según lo detallado por el abogado, en esta circular se incluyen definiciones como “Ciberresilencia”, que se entenderá como “la capacidad del participante de prevenir, adaptar, responder o recuperar su operación en el SPEI ante ciberataques o incidentes que puedan afectar a la confidencialidad, integridad, disponibilidad o continuidad operativa de la Infraestructura Tecnológica, así como de la información que ésta utilice”.
Además de esta definición, se incluyen otros conceptos como Centros de Datos, Infraestructura de Cómputo e Infraestructura de Telecomunicaciones.
“Se incorporan controles adicionales para garantizar la seguridad de la información y se intensifican las medidas de control de acceso y gestión de vulnerabilidades en la IT (tecnología de la información)”, añadió el especialista.
En esta circular, donde algunas disposiciones entran en vigor a partir del 19 de diciembre próximo, también se establecen procedimientos de contingencia para participantes con un porcentaje de participación significativo e incluye una exigencia de informes periódicos sobre seguridad informática, según Casas Vessi.
Respecto a la circular 13/2023, esta modifica algunas reglas del SPID, con el find e garantizar la seguridad y el buen funcionamiento de los sistemas de pagos interbancarios en dólares.
Por ejemplo, de acuerdo con el abogado, se agrega la definición de Aplicativo SPID y, además, se exige que los participantes de dicho sistema cuenten con procedimientos documentados para la seguridad informática en su IT y se especifican medidas de seguridad, como el uso de protocolos seguros de comunicación, detección de virus, monitoreo de integridad de la información, entre otros.
“Es importante mencionar que la implementación de políticas para el desarrollo seguro del Aplicativo SPID será obligatoria, incluyendo pruebas de penetración y controles de acceso”, acotó Casas Vessi respecto a esta circular, que también se prevé entre en vigor, con algunas de sus disposiciones, a partir del 19 de diciembre próximo.
Tanto el SPEI como el SPID son sistemas operados por Banxico para transferencias de fondos electrónicos entre los participantes. El SPEI permite realizar operaciones mediante el envío de información para indicar si un cliente ordenó el pago y en su caso, identificarlo.
Mientras que el SPID es el sistema de pagos que permite realizar transferencias electrónicas interbancarias denominadas en dólares entre cuentas de depósito a la vista que transaccionan dinero en esta denominación.
También te puede interesar leer: Inteligencia artificial y seguridad: los retos que vienen