Banxico emite nuevas reglas de ciberseguridad para SPEI y SPID

Morelia, Michoacán. – Dentro de las disposiciones emitidas por el banco central, Banxico, se encuentra el requisito para aquellas entidades participantes en el Sistema de Pagos Interbancarios en Dólares de contar con un Oficial de Seguridad de la Información.
En un esfuerzo por fortalecer la ciberseguridad del Sistema de Pagos Electrónicos Interbancarios (SPEI) y el Sistema de Pagos Interbancarios en Dólares (SPID), el Banco de México (Banxico) ha emitido nuevas normas que previamente fueron puestas a consulta para que los participantes de ambos esquemas pudieran emitir su opinión al respecto.
Banxico publicó ayer tres anuncios en el Diario Oficial de la Federación (DOF) sobre lineamientos mejorados de ciberseguridad para SPEI y SPID.
Entre las normas pertinentes emitidas por el Banco Central se encuentra la circular 11/2023 estipula que las entidades que participan en SPID deben estar equipadas con un Oficial de Seguridad de la Información (CISO).
“El CISO deberá realizar verificaciones regulares del cumplimiento de sus funciones y llevar a cabo verificaciones periódicas de requisitos de seguridad en la infraestructura tecnológica, incluyendo terceros que podrían afectar la operación. Las entidades deberán poner a disposición del CISO el listado actualizado de personas con acceso a información crítica”, explicó Antonio Casas Vessi, abogado asociado del despacho Ramos, Ripoll & Schuster.
Esta circular entrará en vigor a partir del 4 de abril del 2024.
El banco central también emitió la Circular 12/2023, que, según Casas Vessi, tiene como objetivo fortalecer la seguridad y aclarar elementos técnicos, agregando medidas para aumentar la “ciberresiliencia” de los afiliados al SPEI.
Según lo detallado por el abogado, en esta circular se incluyen definiciones como “Ciberresilencia”, que se entenderá como “la capacidad del participante de prevenir, adaptar, responder o recuperar su operación en el SPEI ante ciberataques o incidentes que puedan afectar a la confidencialidad, integridad, disponibilidad o continuidad operativa de la Infraestructura Tecnológica, así como de la información que esta utilice”.
Además de esta definición, se incluyen otros conceptos como Centros de Datos, Infraestructura de Cómputo e Infraestructura de Telecomunicaciones.
“Se incorporan controles adicionales para garantizar la seguridad de la información y se intensifican las medidas de control de acceso y gestión de vulnerabilidades en la IT (tecnología de la información)”, añadió el especialista.
Casas Vessi dijo que el aviso, que incluye las reglas que entrarán en vigor el 19 de diciembre, también establece procedimientos de emergencia para miembros de alto riesgo y requiere informes periódicos de seguridad informática.
Respecto a la circular 13/2023, esta modifica algunas reglas del SPID, con el fin de garantizar la seguridad y el buen funcionamiento de los sistemas de pagos interbancarios en dólares.
Por ejemplo, se añade la definición de aplicaciones SPID según los abogados y, además, se exige que los participantes del sistema tengan documentados procedimientos de seguridad informática para sus TI y   se especifican medidas de seguridad, como el uso de protocolos de comunicación seguros, detección de virus y monitoreo de la integridad de la información, etc.
“Es importante mencionar que la implementación de políticas para el desarrollo seguro del Aplicativo SPID será obligatoria, incluyendo pruebas de penetración y controles de acceso”, acotó Casas Vessi respecto a esta circular, que también se prevé entre en vigor, con algunas de sus disposiciones, a partir del 19 de diciembre próximo.
SPEI y SPID son sistemas administrados por Banxico para transferencias electrónicas de fondos entre afiliados. SPEI habilita acciones mediante el envío de mensajes para indicar si un cliente ha ordenado un pago y, de ser necesario, identificarlo.
Mientras que el SPID es el sistema de pagos que permite realizar transferencias electrónicas interbancarias denominadas en dólares entre cuentas de depósito a la vista que transaccionan dinero en esta denominación.

Source link