CIRCULAR 11/2018 dirigida a los participantes del Sistema de Pagos Electrónicos Interbancarios y demás interesados en actuar con tal carácter, relativa a las Reformas a las Reglas del Sistema de Pagos Electrónicos Interbancarios (SPEI), en materia de Mitigación de Riesgos. |
Viernes 27 de Julio de 2018 |
Al margen un logotipo, que dice: Banco de México.
CIRCULAR 11/2018
| A LOS PARTICIPANTES DEL SISTEMA DE PAGOS ELECTRÓNICOS INTERBANCARIOS Y DEMÁS INTERESADOS EN ACTUAR CON TAL CARÁCTER: | | |
| | ASUNTO: | REFORMAS A LAS REGLAS DEL SISTEMA DE PAGOS ELECTRÓNICOS INTERBANCARIOS (SPEI), EN MATERIA DE MITIGACIÓN DE RIESGOS. |
El Banco de México, en su carácter de administrador del Sistema de Pagos Electrónicos Interbancarios (SPEI), con el propósito de continuar propiciando el buen funcionamiento de los sistemas de pagos y el sano desarrollo del sistema financiero, así como la protección de los intereses del público, ha considerado necesario que los participantes en dicho sistema establezcan medidas intensificadas de prevención de riesgos relacionados con el manejo de recursos derivados de transferencias de fondos no autorizadas legítimamente. En particular, es conveniente elevar la atención a aquellos recursos que puedan ser utilizados en adquisiciones de activos virtuales que se realicen sin la plena identificación de los clientes asociados a dichas operaciones. Asimismo, derivado de la operación de los participantes en el SPEI observada a partir de la emisión de las reglas de dicho sistema de pagos mediante la Circular 14/2017, publicada en el Diario Oficial de la Federación el 4 de julio de 2017, es conveniente establecer requerimientos adicionales a dichos participantes en materia de seguridad de la información. De esta forma, las medidas referidas buscan fortalecer los objetivos apuntados por las citadas reglas, consistentes en robustecer la seguridad de los participantes en el SPEI, de manera integral, así como de promover mayores beneficios a la población en general, al establecer prácticas homogéneas sobre el tratamiento que debe darse a cuentas de clientes que puedan implicar un mayor riesgo, con el propósito de propiciar condiciones apropiadas para que se dé un ambiente de control de riesgos adecuado que brinde certeza y confianza tanto a los participantes, como a los usuarios.
Por lo anterior, el Banco de México, con fundamento en los artículos 28, párrafos sexto y séptimo, de la Constitución Política de los Estados Unidos Mexicanos, 2, fracciones I, IV y VIII, y 6, de la Ley de Sistemas de Pagos, 22 de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, 4, párrafo primero, 8, párrafos cuarto y séptimo, 10, párrafo primero, 12, primer párrafo en relación con el 20, fracción XI, y 14 Bis, primer párrafo en relación con el 17, fracción I, del Reglamento Interior del Banco de México, que le otorgan la atribución de expedir disposiciones a través de la Dirección General de Operaciones y Sistemas de Pagos y de la Dirección General Jurídica, respectivamente, así como Segundo, fracciones VI y X, del Acuerdo de Adscripción de las Unidades Administrativas del Banco de México, ha resuelto modificar las fracciones IV y V de la 45a., el primer párrafo de la 58a., el título de la Sección II del Capítulo VI, el primer y segundo párrafos de la 60a., y las fracciones I y II de la 72a., así como adicionar un cuarto párrafo a la fracción I de la 19a., una fracción VI a la 45a., un inciso a Bis) al Apartado A de la fracción I, un inciso g) y un último párrafo al Apartado B de la fracción I y un último párrafo a la fracción V de la 58a., un cuarto párrafo a la 59a., la 59a. Bis, y las fracciones I Bis, III y IV a la 72a., de las Reglas del Sistema de Pagos Electrónicos Interbancarios, contenidas en la Circular 14/2017, para quedar en los términos siguientes:
REGLAS DEL SISTEMA DE PAGOS ELECTRÓNICOS INTERBANCARIOS
"19a. Acreditación de Órdenes de Transferencia Aceptadas por SPEI.- ...
I. ....
....
....
Adicionalmente, tratándose de aquellas transferencias de fondos dirigidas a Cuentas de Clientes Beneficiarios indicados en la Regla 58a., fracción V, último párrafo, los Participantes Receptores respectivos deberán realizar validaciones adicionales a las previstas en las presentes Reglas antes de llevar a cabo el abono a que se refiere esta fracción, para determinar si aceptan las respectivas Órdenes de Transferencias Aceptadas por SPEI y, respecto de dichas validaciones, deberán tomar en cuenta, entre aquellos otros aspectos que determinen, la fecha de apertura de las Cuentas de Clientes correspondientes, así como los patrones transaccionales de estas en comparación con aquellos considerados inusuales. En este supuesto, los Participantes referidos no quedarán obligados a cumplir con los plazos indicados en los párrafos primero y segundo de la presente fracción, según sea el caso, y podrán realizar los abonos correspondientes en el plazo que, al efecto, el Administrador autorice a cada Participante en respuesta a la solicitud que le presente a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos. En tanto los Participantes no cuenten con la autorización del Banco de México a que se refiere este párrafo, deberán llevar a cabo cada uno de los abonos anteriormente referidos en el Día Hábil Bancario inmediato siguiente a aquel en que reciban la Orden de Transferencia respectiva.
..."
"45a. Contingencias.- ...
I. a III. ...
IV. Poner en operación el procedimiento de contingencia denominado "Procedimiento de Operación Alterno SPEI" (POA-SPEI), conforme a lo previsto en la sección 5 del Manual, para lo cual los Participantes, que tengan el carácter de Institución de Crédito o instituciones para el depósito de valores, estarán obligados a continuar con la operación del SPEI mediante el uso del referido procedimiento;
V. Ampliar el horario de operación del SPEI, o
VI. Notificar a todos los Participantes, a través de los medios electrónicos de comunicación que se establezcan en el Manual, avisos sobre situaciones en que deberán elevar sus mecanismos de monitoreo y alerta con respecto a las transferencias de fondos que procesen por medio del SPEI, bajo los términos y sujeto a las condiciones que, al efecto, establezca el Manual."
"58a. Requisitos para la admisión como Participante.- El interesado en actuar como Participante que presente una solicitud de admisión de conformidad con la 57a. de las presentes Reglas deberá acreditar, a satisfacción del Administrador, que cumple con los requisitos que se indican a continuación, en términos de las especificaciones incluidas en el Apéndice M del Manual.
I. ...
A. ...
...
a) ...
a Bis) Las medidas y acciones que deberá adoptar, conforme a lo establecido en el Manual, para la atención de incidentes de seguridad de la información en su Infraestructura Tecnológica o en la infraestructura tecnológica de cualquier tercero que pudiera tener una afectación en la operación o en la Infraestructura Tecnológica del interesado.
...
B. ...
...
a) a f) ...
g) Las medidas y acciones que deberá adoptar, conforme a lo establecido en el Manual,
para la atención de incidentes de seguridad de la información en sus Canales Electrónicos.
Además de lo anteriormente establecido en esta fracción, el interesado en actuar como Participante deberá contar con una política y procedimientos documentados que se obligue a seguir en materia de pruebas de confianza e integridad que deba aplicar a aquellos miembros de su personal, así como de los terceros que provean servicios en materia de tecnologías de la información y comunicación, que tengan acceso a información y sistemas relevantes en la operación con el SPEI.
...
V. ...
...
...
Además de lo anteriormente establecido en esta fracción, el interesado en actuar como Participante deberá contar con una política y procedimientos documentados que se obligue a seguir en la materia indicada en el segundo párrafo de la presente fracción, en la cual incluya, al menos, las actividades que realizará para identificar Cuentas de Clientes correspondientes a sujetos distintos a entidades financieras que ofrezcan de manera habitual y profesional, intercambios o compraventas de activos virtuales a que se refiere el artículo 17, fracción XVI, de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita."
"Sección II
Responsables de cumplimiento normativo y de seguridad de la información del SPEI"
"59a. Responsables de cumplimiento normativo del SPEI.- ...
...
I. y II. ...
...
Lo dispuesto anteriormente será aplicable sin perjuicio de la responsabilidad que corresponda al Participante por las violaciones cometidas a las presentes Reglas."
"59a. Bis. Oficial de Seguridad de la Información del SPEI.- El sujeto que solicite su admisión como Participante deberá designar a una persona que se desempeñe como oficial de seguridad de la información del SPEI, quien deberá tener independencia respecto de las unidades de negocio y las áreas de sistemas informáticos y de auditoría de dicho sujeto, así como quedar encargado de lo siguiente:
I. Participar en la definición y verificar la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad informática señalados en la Regla 58a., fracción I, apartados A y B.
II. Verificar, al menos trimestralmente o antes, en caso de que se presenten los eventos o se detecten las circunstancias o amenazas irregulares a que se refiere la Regla 46a. anterior, que se revisen las actividades realizadas en los diferentes componentes de la Infraestructura Tecnológica del Participante o en los Canales Electrónicos en caso de que el sujeto a que se refiere esta Regla los ofrezca a sus Clientes, incluyendo aquellas del personal técnico que cuente con altos privilegios, tales como administrador de sistemas operativos y de bases de datos, con el fin de detectar actividades inusuales o no autorizadas.
III. Aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas con motivo de las funciones a que se refieren las fracciones I y II anteriores, así como de los hallazgos tanto de auditoría interna como externa relacionada con la Infraestructura Tecnológica y de seguridad de la información.
IV. Validar la gestión de los eventos, circunstancias o amenazas irregulares a que se refiere la Regla
46a. anterior, considerando las etapas de identificación, protección, detección, respuesta y recuperación, así como los aspectos de gobierno, preparación, pruebas, concientización y evaluación y aprendizaje.
VI. Informar al comité de auditoría y al comité de riesgos del Participante o a las instancias que ejerzan dichas funciones, en la sesión inmediata siguiente a la verificación del evento, circunstancia o amenaza irregulares a que se refiere la Regla 46a. anterior, respecto de las acciones tomadas y del seguimiento a las medidas para prevenir o evitar que se presenten nuevamente los mencionados incidentes.
Los Participantes deberán asegurarse de que el oficial de seguridad de la información tenga a su disposición el listado actualizado de las personas que cuenten con acceso a la información relacionada con las operaciones en las que interviene el propio Participante, tanto de aquellas que se encuentren en el extranjero como de los usuarios de la Infraestructura Tecnológica que cuenten con altos privilegios, tales como administración de sistemas operativos y de bases de datos, así como de sus prestadores de servicios. Dicho listado deberá incluir el nivel de acceso y los privilegios asociados a dichos accesos a la Infraestructura Tecnológica propia, así como aquella otra infraestructura tecnológica de terceros que involucren a la operación del SPEI, que corresponda a cada una de dichas personas."
"60a. Registro ante el Administrador.- Cada interesado deberá informar, mediante escrito dirigido al Administrador a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, el nombre de las personas designadas como responsable del cumplimiento normativo del SPEI y oficial de seguridad de la información del SPEI.
El responsable del cumplimiento normativo del SPEI y el oficial de seguridad de la información del SPEI a los que hace referencia el párrafo anterior deberán ser designados por el director general del interesado o por la persona que ocupe el cargo en el interesado que tenga bajo su responsabilidad las funciones de administración.
..."
"72a. Requisitos de permanencia en materia de Riesgos Adicionales.- ...
I. Recabar de los Clientes que realicen operaciones a través del SPEI, al menos, el nombre, denominación o razón social, así como la Clave Única de Registro de Población (CURP) o el Registro Federal de Contribuyentes (RFC) con homoclave para personas físicas y el RFC con homoclave para personas morales, estos últimos salvo en el caso de que los Clientes por su naturaleza no puedan tener estos datos, y deberán incluir dicha información en las Solicitudes de Envío que los Clientes Emisores presenten;
I Bis. Identificar, de entre sus Clientes, a aquellos sujetos referidos en la Regla 58a., fracción V, último párrafo.
Respecto de los Clientes a que se refiere esta fracción, las Cuentas de Clientes que los Participantes les lleven únicamente podrán corresponder a cuentas de depósito de dinero a la vista abiertas en instituciones de crédito, sociedades financieras populares, sociedades financieras comunitarias, sociedades cooperativas de ahorro y préstamo, respecto de las cuales los Participantes recaben la misma documentación y datos de identificación que las disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito establezcan para las cuentas de nivel 4 ofrecidas por dichas instituciones. Asimismo, los Participantes deberán abstenerse de abrir a los Clientes señalados en esta fracción Cuentas de Clientes que estos, a su vez, puedan ofrecer a sus usuarios para el envío o recepción de transferencias de fondos por medio del SPEI a favor de dichos Clientes;
II. Notificar al Administrador respecto a la imposición de alguna sanción de las previstas en la 58a., fracción V, primer párrafo, inciso a), de las presentes Reglas, por parte de su comisión supervisora, a más tardar el quinto Día Hábil Bancario siguiente a aquel en que el Participante reciba la notificación de dicha sanción. La notificación al Administrador deberá señalar la afectación que las
conductas observadas por dicha comisión pudieran ocasionar en el cumplimiento de los requisitos establecidos en las presentes Reglas y deberá estar suscrita por el responsable de cumplimiento normativo del SPEI. El Participante deberá enviar la notificación en los términos establecidos en la 98a. de estas Reglas;
III. En caso de que el Administrador emita el aviso a que se refiere la fracción VI, de la 45a. Regla anterior, relativo a situaciones que obliguen a los Participantes a elevar sus mecanismos de monitoreo y alerta, el Participante Receptor que lleve alguna de las Cuentas de Clientes indicadas en la fracción I Bis anterior y que reciba, a partir del momento de la emisión de dicho aviso, cualquier Orden de Transferencia Aceptada por SPEI dirigida a dicha cuenta, deberá abstenerse de poner a disposición en el mismo Día Hábil Bancario en que haya recibido dicha Orden de Transferencia, los recursos correspondientes al abono que haya resultado procedente realizar, por lo que deberá poner a disposición dichos recursos a partir del siguiente Día Hábil Bancario en que concluya las validaciones a que se refiere el último párrafo de la fracción I de la Regla 19a. anterior, así como aquellas otras que deba llevar a cabo como parte de dichos mecanismos de monitoreo y alerta que deba elevar. Los Participantes Receptores deberán observar lo dispuesto en la presente fracción durante el plazo que el Administrador indique al respecto en la comunicación que emita conforme a la fracción VI, de la 45a. Regla anterior o en alguna otra comunicación posterior, y
IV. Abstenerse, como parte de los servicios que ofrezcan a aquellos Clientes previstos en la fracción I Bis anterior, de emitir Órdenes de Transferencias a nombre del Participante de que se trate y por cuenta de terceros, para abono de los recursos correspondientes en cualquiera de las Cuentas de dichos Clientes abiertas en el mismo Participante o en cualquier otro.
..."
TRANSITORIOS
PRIMERO. Lo dispuesto en las Reglas 19a., 45a., 58a., 59a., 59a. Bis, 60a. y 72a. de la presente Circular entrará en vigor al Día Hábil Bancario inmediato siguiente a la fecha de publicación de esta misma Circular en el Diario Oficial de la Federación.
No obstante lo anterior, aquellos sujetos que, a la fecha de publicación de la presente Circular, hayan quedado admitidos como Participantes del SPEI de conformidad con las Reglas a que se refiere esta misma Circular, quedarán sujetos a lo siguiente:
I. Deberán cumplir con los requisitos a que se refieren las Reglas 58a., fracción V, último párrafo, y 72a. de esta Circular a partir de los tres Días Hábiles Bancarios posteriores a la fecha de publicación de esta misma Circular en el Diario Oficial de la Federación;
II. Deberán designar a la persona que se desempeñe como oficial de seguridad de la información del SPEI de cada Participante, en términos de lo dispuesto en la 59a. Bis de las Reglas contenidas en esta Circular, así como informar al Banco de México el nombre de dichas personas de conformidad con lo establecido en la 60a. de dichas Reglas, a más tardar a los veinte Días Hábiles Bancarios posteriores a la fecha de publicación de esta misma Circular en el Diario Oficial de la Federación, y
III. Deberán cumplir con los requisitos a que se refieren las Reglas 58a., fracción I, apartado A, inciso a Bis), y apartado B, inciso g) y último párrafo, de esta Circular, a partir de los sesenta Días Hábiles Bancarios posteriores a la fecha de publicación de esta misma Circular en el Diario Oficial de la Federación.
SEGUNDO. No obstante lo dispuesto por la regla transitoria anterior, aquellos Participantes del SPEI que estén sujetos a una imposibilidad material para dar cumplimiento a los requisitos a que se refieren las Reglas 58a., fracción V, último párrafo y 72a., fracciones I Bis, III y IV de esta Circular, en los plazos indicados en dicha regla transitoria, deberán notificar la referida situación al Administrador, a través de la Gerencia de Autorizaciones, Consultas y Control de Legalidad, con el fin de que el Administrador resuelva lo que, en su caso, resulte procedente.
Ciudad de México, a 24 de julio de 2018.- El Director General de Operaciones y Sistemas de Pagos, Jaime José Cortina Morfín.- Rúbrica.- El Director General Jurídico, Luis Urrutia Corral.- Rúbrica.
 |