Banxico endurece las reglas para operar en el sistema SPEI
El Banco de México (Banxico) endureció este viernes las medidas que deben seguir las instituciones del sector financiero nacional que usan el sistema SPEI para transferencias de dinero, luego de que en abril y mayo cinco empresas financieras sufrieran un robo por un total de unos 300 millones de pesos a través de hackeos .
Pruebas de confianza a personal que opere las herramientas que se conectan al SPEI y los terceros que les proveen servicios, destacan entre las nuevas medidas.
"El Banco ha determinado establecer obligaciones adicionales a los participantes del SPEI para reforzar las políticas y controles de seguridad en las transferencias de fondos, mejorar los esquemas de respuesta ante posibles riesgos y contar con una identificación plena de las operaciones, en particular cuando se traten de transferencias a empresas que pueden permitir la salida de recursos del sector financiero hacia activos virtuales", anunció Banxico en un comunicado.
Lee: Así fueron los hackeos en el caso SPEI
Banxico emitió las circulares 10/2018 y 11/2018 en las que que fija un total de nueve medidas relacionadas con el SPEI, cuatro de las cuales son disposiciones de carácter general sobre políticas y procedimientos extra que deben seguir los participantes y cinco más para robustecer la seguridad en la prestación de servicios.
Algunas medidas de las circulares entrarán en vigor el próximo lunes 30 de julio, y otras hasta 60 días hábiles después de ese lunes. En algunas medidas, Banxico indicó que si no pueden cumplirlas en el plazo acordado, deberán notificarlo.
Las medidas para los participantes son las siguientes:
1. Deberán seguir los protocolos de acción ante posibles ataques a la infraestructura tecnológica relacionada con el SPEI, que establezca el Banco de México en su carácter de administrador del sistema, mediante los avisos que este emita.
2. Deberán contar con protocolos y procedimientos que documenten las medidas y acciones a tomar en caso de que se materialicen riesgos de ciberseguridad en su infraestructura tecnológica, en sus canales electrónicos y en la infraestructura tecnológica provista por terceros que pudiera afectar la operación de la institución financiera en el SPEI;
3. Deberán establecer e implementar pruebas de confianza e integridad a su personal, así como al de terceros que provean servicios de tecnología de la información y comunicación, que tengan acceso a información y sistemas relevantes en su operación con el SPEI;
4. Deberán designar un oficial de seguridad de la información responsable del diseño, implementación y verificación de las políticas de prevención de riesgos de ciberseguridad, así como de la implementación de medidas correctivas ante la materialización de estos riesgos que pudiera afectar la operación de la institución en el SPEI.
Para firmas de activos virtuales:
5. Deberán identificar aquellas cuentas pertenecientes a este tipo de clientes con el fin de estar en posibilidad de implementar validaciones adicionales previas a la acreditación de recursos provenientes de transferencias de fondos a través del SPEI.
6. Aquellos participantes en el SPEI que lleven cuentas a nombre de los clientes indicados deberán abonar los recursos correspondientes a las órdenes de transferencias de fondos que reciban, al día hábil siguiente al de su recepción, hasta en tanto cuenten con la autorización del Banco de México, como administrador del SPEI, para llevar a cabo en plazos distintos, validaciones adicionales que tengan como propósito asegurar la legitimidad de dichas órdenes.
7 Deberán abstenerse de poner a disposición de este tipo de clientes los recursos correspondientes a las órdenes de transferencias que reciban, el mismo día de su recepción, en aquellos casos en que el Banco de México emita avisos ante posibles ataques a la infraestructura tecnológica del sistema.
8. Las cuentas que los participantes del SPEI lleven a este tipo de empresas deberán ser cuentas de depósito de dinero a la vista abiertas únicamente en aquellas instituciones financieras facultadas para ofrecerlas (instituciones de crédito, sociedades financieras populares, sociedades financieras comunitarias y sociedades cooperativas de ahorro y préstamo).
9. Deberán abstenerse de proveer cuentas a estas empresas con la finalidad de que estas sean, a su vez, asignadas a clientes para la transferencia de recursos destinados a la compra de activos virtuales.