Manual Buenas Practicas Pasarelas - Inicio€¦ · y la Cámara Colombiana de Comercio Electrónico (CCCE), con el apoyo administrativo de la Red Nacional Académica de Tecnología

1

ManualdeBuenasPrácticasdePasarelasdePagoencolombia

Carrera 10 97A-13 OFI304 TORRE A – 3004537 – 312 370 0224 – [email protected]

ManualdeBuenasPrácticasdelasPasarelasdePagoenColombiaObservatorioeCommerce

MinisteriodeTecnologíasdelainformaciónylasComunicaciones

RivierGómez

SubdirectordeComercioElectrónico

EileenMaurenFajardoCoordinadorae-Commerce

EugenioIgnacioSánchezProfesionalEspecializado

CamiloAndrésRamírez

ProfesionalEspecializado

CámaraColombianadeComercioElectrónico

VictoriaEugeniaVirviescasPresidenteEjecutiva

MaríaElviraCastrillónGerenteOperaciones

EquipodelObservatorioJulianaCarmonaGerentedeOperacionesDianaMarcelaRey.DirectoraTécnicaTodoslosderechosreservados.©2018.Bogotá,ColombiaAutor:ErickRincónCárdenas,abogadodelaConsultoraRINCONCARDENAS&MORENO.

I


NDICE

I. Presentación

II. PanoramadelaspasarelasdepagoenColombiaa. Alcancedesusfuncionesb. Clasesdepasarelasdepago.c. Funcionamientodelaspasarelasdepago.d. Riesgosasociadosalfuncionamientoe. Medidasdeprotecciónfrentealosriesgosf. MarconormativodelasPasarelasdePagoenColombia

III. PropuestadeBuenasPrácticasdelasPasarelasdePago.

a. Antecedentesdelapropuestab. PrincipiosFundamentales.

i. Información.ii. Transparencia.iii. Confianza.iv. Fidelidad.v. Privacidad.vi. Seguridad.vii. Orientaciónalcliente.viii. Respetoalmarcolegalyregulatoriovigente.

c. Medidasdeprotecciónfrentealosriesgos.d. DimensionesdelasBuenasPrácticasparalosproveedoresdePasarelasdepago.

i. Seguridadrespectodelrecursohumano.ii. Políticasyestándaresenprocesosyprocedimientos.iii. Seguridaddelainformación.iv. Capacitaciónyconcienciación.v. Seguridadfísica.vi. Continuidaddelnegocio.vii. Valoracióndelosriesgos.viii. Idoneidad.

IV. Glosario

V. Anexos


1. PresentaciónDesdeelaño2017,elMinisteriodeTecnologíasdelainformaciónylasComunicaciones(MinTic)ylaCámaraColombianadeComercioElectrónico(CCCE),conelapoyoadministrativodelaRedNacionalAcadémicadeTecnologíaAvanzada(RENATA),decidieronaunaresfuerzosparacrearelObservatorioeCommerce.Estainiciativapúblico-privada,cuyaprioridadesgenerarinformaciónconfiable para la tomade decisiones que favorezcan la penetración del comercio electrónicoentrelapoblacióncolombiana,definióensuPlanEstratégicolanecesidaddegenerar,desarrollarinvestigacionescualitativasycuantitativassobre larealidadeconómicay jurídicadelcomercioelectrónicoenColombia.Enconcordanciaconestepropósito,estedocumentopresentalosresultadosdelaconsultoríarealizadaporlafirmaRincónCárdenas&Moreno,queduranteelprimersemestredelaño2018tuvolamisióndeanalizarelfuncionamientodelaspasarelasdepagoenColombia,comoactorclavedelafasedegestióndepagosdelacadenadevalordelcomercioelectrónico,paraproponerrecomendaciones que garanticen y generen confianza sobre la actividad comercial de estosproveedores.EstapropuestaserealizóapartirdelaexperienciapreviaquetienelaCCCEfrentealtema,enparticularapartirdelasconclusionesplanteadasportresinsumostécnicos:elMapeodelpagoelectrónicoatravésdetarjetasdecrédito,contratadoporlaCámaradeComercioElectrónicodelamanodeAsobancariayrealizadoporlaconsultoraCrossBorderTecnology.Elsegundoinsumocorrespondealestudiotécnicoquepermitióidentificar97oportunidadesdemejoraalesquemadeoperacióndelpagoelectrónicoparalaadopcióndemedidasdegestiónidóneasyseguras.EltercerinsumogeneradoporlascomisionesdePagosyAntifraude,GobiernoyRegulacióndelaCCCE,quealolargodelaño2017definieronalgunoslineamientosparalaadopcióndebuenasprácticasdelaspasarelasdepagoenColombia.Apartirdelanálisisdeestosantecedentes,elObservatorioavanzóenunafasedediagnósticoconlos actores del ecosistema que permitió identificar de primera mano las inquietudes yrecomendacionesrelativasalfuncionamientodelaspasarelasdepagoenColombia.Entotal,serealizaronmásdediezreunionesconentidadesdelgobierno,labanca,redesprocesadorasdepago y pasarelas, entre las se estableció un diálogo directo con Asobancaria, el Banco de laRepública, la Superintendencia Financiera,Visa, Incocrédito,ACH,BancodeOccidente, BancoDavivienda,MasterCard,MercadoPago,AvisoryPagosonline.Igualmente,enelmarcodeestaconsultoría,serealizóunestudiodelasconductasquehansidoconsideradasanivelinternacionalcomoprácticasidóneaseneldesarrollodelasactividadesquerealizan los operadores de pasarelas de pago. Este análisis está consignado en el documento


BenchmarkInternacionaldeBuenasprácticas,anexadoalfinaldeesteManualyque,atravésdelarevisiónde18documentosdeleyes,regulacionesypautasgeneradosenlaUniónEuropeayEstados Unidos, permitió conocer los alcances de los estándares de funcionamiento de laspasarelas de pago como responsables del almacenamiento de información, procesamiento ytransmisióndelpagocorrespondientealasoperacionesdeventaenlínea.Tras este diagnóstico de los antecedentes técnicos, la consulta a las fuentes de informacióndirecta y la revisiónde la literatura internacional, esteManual presenta58 recomendacionesprácticas sobre la seguridad respecto del recurso humano, los estándares en procesos yprocedimientos,laseguridaddelainformación,lacapacitaciónylaconcientización,laseguridadfísica, la continuidad del negocio y la idoneidad, que se espera sean adoptadas por losproveedoresdelaspasarelasdepago.ElObservatorioeCommerceconesteManualofreceunaherramientatécnicaquebuscaapoyarla toma de decisiones de los actores estratégicos involucrados en el funcionamiento de laspasarelasdepago.InvitamosatodaslasempresasoperadorasdelpagoregistradasenColombiaaadoptarlasrecomendacionesestablecidasenesteManualdeBuenasPrácticas.

ObservatorioeCommerce


2. PanoramadelasPasarelasdepagoenColombiaEl término Pasarela de Pago se encuentra irremediablemente unido al pago con tarjetas decréditoodébitoempleadosen internetdesde sus inicios comerciales, y es conocido tambiéncomoGatewaydepago,paymentGatewayoTPVvirtualporsusimilitudconlosTerminalesPuntodeVentaempleadosencualquierestablecimientocomercialparaefectuarcomprascondichastarjetas.Noobstante,atravésdelaspasarelasdepago,tambiénseprocesanpagoscontarjetasdébito ypagosenefectivoen losdiferentespuntosdepago,pero,paraefectosdelpresentemanual de Buenas Prácticas, el Observatorio eCommerce sólo busca analizar y promover lareflexión sobre la regulación de aquellos pagos que se realizan netamente por medioselectrónicos.SuusoeninternetsehaextendidograciasalosserviciosdeTPV(TerminalPuntodeVenta),lascualessonentregadasporredesaloscomercios,paraquelaspasarelasqueéstosautoricen,lasconfiguren en los Gateway para el enrutamiento. Las entidades bancarias entonces, noproporcionanplataformasqueincorporenelprocesodepagoenlatiendavirtual,únicamenteselimitanaparticiparenlaafiliacióndeadquirencianopresenteyallevaracaboelabonodelosrecursos.Los operadores de dichas pasarelas de pagos deben garantizar no sólo la seguridad de lastransacciones que se realizan por estemedio, sino además la calidad en la prestación de losservicios,elbuenusodelainformación,laintegridadydisponibilidaddeesta,yengeneral,unabuenaoperatividaden laactividadque realiza,para lo cualdebenemplearciertos sistemasyprotocolosdeseguridadquegaranticenlosfactoresmencionados.Si bien actualmente las pasarelas de pago no son entidades vigiladas a través de laSuperintendencia FinancieradeColombia, debidoal fuerte impactoqueestán teniendoenelcomercio,seestábuscandosuregulaciónenformaindirectaatravésdelasentidadesquelasvigilanoelmismosectoralcualsuministranservicios.Aesteefecto,laCircularExterna008de2018expedidaporlaSuperintendenciaFinanciera,imparteobligacionesasociadasaloscanales,medios,seguridadycalidadenelmanejodeinformaciónenlaprestacióndeserviciosfinancierosy realización de operaciones; así como sobre el soporte al momento de la realización deoperacionesmonetariasintroduciendolosconceptosdeambientedeventapresente,ambientedeventanopresenteyentidadesadministradorasdepasarelasdepago.El objetivo de este Manual de Buenas Prácticas es servir como guía de conducta para losoperadoresdepasarelasdepagoenColombia,ensuactividadcomercialdesarrolladaatravésdemedioselectrónicos.


El entorno digital se ha convertido en el escenario propicio para las transformaciones de losmodelos de negocios, la competitividad de las empresas y la inserción en los mercadosinternacionales, lo cual requiere del operador de pasarelas de pago un conocimiento delecosistemadigital,desusriesgoslegalesydelamanerademitigarlos.Eneseordendeideas,elpresentedocumentotienecomoobjetivosespecíficoslossiguientes:

a. Proporcionar lineamientosdeconductasdeseablesen lasactividadesdesarrolladasporlosoperadoresdepasarelasdepago,ensuactividaddentrodelcomercioelectrónico.Elrespetoyobservanciadelosparticipantesenelmercado,contribuiráengranmedidaaunecosistemasano,locualdeberedundarenelinterésyconfianzatantodelpúblico,comodelasentidadesgubernamentalesllamadasaintervenirelsector;

b. Dotaralosoperadoresdepasarelasdepago,deherramientasbásicasparaparticipardelaeconomíadigitalpermitiendoqueelprocesodetransformacióndigitalselleveacabodentrodeparámetroslegalesyregulatoriosquemitiguenlosriesgosdelnegocio;

c. Sugeriralgunaspautasprácticasbasadaseneldesempeñoexitosoyadecuadodenegocioselectrónicos.

I. Pasarelasdepagoyproveedores.

La pasarela de pago, payment gateway, gateway de pago o TPV virtual es el servicio de unproveedordeserviciosdeaplicacióndecomercioelectrónico,conelqueseautorizanpagosanegocioselectrónicos(enlínea),ventasenlíneaaldetalle,negociosconpresenciafísicayenlíneasimultáneamenteonegociostradicionales.Eselequivalentedeunterminalpuntodeventa(TPV)físicoubicadaenlamayoríadelosalmacenesaldetalle.Laspasarelasdepagocifraninformaciónsensibleydatosdelosclientes,comolosnúmerosdetarjetasdecréditoodébito,paragarantizarquela informaciónpasaenformaseguraentreelclienteyelvendedor.Conelcifradoseenvíanlosdatosprotegidosloqueevitaqueseancaptadosporterceros.Paracifrarlosdatos,seutilizaelsistemaTLS(TransportLayerSecurity).

a. Clasesdepasarelasi. PasarelaGateway.Eldinero llegadirectamentea lascuentasdelcomercioque

vende el producto o servicio. El modelo Gateway permite la disponibilidadinmediataderecursosen lascuentasdelcomercio.Loscostosasociadosacadaesquemay los incentivosal controlde fraude sonotros factorespara tenerencuentaalmomentodeseleccionarelmodelo.Noobstante,estemodelorequiere


queelcomerciotengaunrelacionamientoestablecidoconelsectorfinanciero,locualpuededesestimularalospequeñosemprendimientos.Estaspasarelassecaracterizanporserlasgestorasdelaoperacióndelcomercio,dondenohayunatransferenciaderecursosyaqueestosentrandirectamentealacuenta del comercio y, este es quien debe gestionar los procesos operativoscorrespondientesdecontracargoyreversiones.Poresto,lapasarelasolocobraporelprocesamientodelastransacciones,todavezquenohayintermediación,nosepresentancostosdetransferenciadedinerosnideadministracióndeestos.Unadelasprincipalesventajasdeestemodelo,consisteenquecomoeldinerollegadirectamentealascuentasdelestablecimientodecomercio,sinquemedieuntercero,elclientetienedisponibilidadinmediatadesusrecursos,además,estemodelo le permite tener una negociación directa con su banco quien a su vezreducecostosfinancierosasociadosalascomisionesestablecidasensuentidad.

ii. Pasarela Agregadora. El dinero llega directamente a las cuentas de agregador(pasarelaagregadora)delaplataformadepagoydeallísetransfierealascuentasdel comercio. El formato agregador permite que emprendimientos con pocorelacionamiento con los bancos y reconocimiento de marca inicien fácilmenteoperaciones.Noobstante,genera intermediacionesqueeventualmentepuedenincrementarelcostodelastransaccionesparaelcompradoryparaelcomercio.Lacaracterísticaprincipaldelaspasarelasdepagoagregadoras,consisteenqueestas captan y enrutan la transacción hacia la entidad recaudadora y cadacomercioesidentificadoporelcircuitotransaccional.Porestarazón,cuandounusuariofinalrealizaunacompraenunatiendaqueestéintegradaconunapasareladepagoagregadora,recibiráensusextractosbancarios,elnombredelapasarelaynoeldelestablecimientodecomercio(enlaspasarelasGateway, lascomprasquedanregistradasconelnombredelestablecimientodecomercio),esto,siempreycuandolaspasarelashabilitenlaadquirenciabajosurazónsocialyelcódigodeadquirenciaseaelqueconfigurenenlaplataformadelcomercio.Comobeneficiosdelmodeloagregadorsepuedenestablecerlossiguientes:

- Enlamayoríadelaspasarelasnotienecosto,seabrelacuentagratisysetienepermisoparainiciarlasventas.

- Sólocobranporeluso,nohaymensualidadniuncostomínimo,nohaycostodeinstalación.


- Comolosconveniosfinancierossondelapasarela,eslapasarelaquienadelanta procesos de reducción de fraude y aumento de la tasa deaprobación.

- Tienemáspotencialdecrecer,porlafacilidadquetienefrentealmodeloGateway,elcualtiendeasermuchomáscomplejo.

LaprincipaldiferenciaentreelmodeloGatewayyelAgregadorestádadaporelencargadoderecaudarlosdinerosdelascomprasrealizadasporlosusuariosfinales;asílosrecaudos,enlapasarela,asílarelacióndeAdquirenciaenelmodeloagregador,esentreesteyelbanco,mientrasqueenelmodeloGateway,larelaciónesentreelbancoyelcomercio,esporestoqueenelmodeloGatewayeldinerollegaalascuentasdelcomercioquevendeelproductooservicio,mientrasqueenelmodeloagregador,eldinerollegaalascuentasbancariasdelapasarelayéstaposteriormentelastransfierealascuentasdelcomercio.En el siguiente cuadro, se evidencian otras diferencias entre los modelos Gateway yAgregadordelaspasarelasdepago.

ModeloGateway ModeloAgregador.Eldineroseencuentracompensadoencuentaspropias

El dinero inicialmente se encuentra encuentasdelapasareladepagos

Requiere la afiliación al sistemafinancieroparaventasnopresenciales

No requiere afiliación al sistemafinanciero

Mayorestiemposdevinculación MenorestiemposdesalidaaproducciónCostoportransacción,conunmínimomensual

Costoporcentual+ fijopor transacción.Nohaycargofijomensual

Administracióndeldinero. Eldineroesrecaudadodirectamenteporla pasarela (el dinero debe ser retiradodelacuenta)

Operaatravésdelsistemafinanciero Operaatravésdelsistemafinanciero

b. Funcionamiento.

Unapasareladepagofacilitalatransferenciadeinformaciónentreunportaldepago(comounsitio web o un servicio Interactive Voice Response -IVR) y el procesador interfaz o bancoadquirentedemanerarápidaysegura.Cuandounclienteordenaunproductodeunvendedorque tiene habilitado una pasarela de pago, ésta realiza una serie de tareas para procesar latransacción,demaneratransparenteparaelcomprador.Porejemplo:Unclienterealizaunpedidoenunsitiowebpresionandoelbotónde"emitirorden"(osimilar)oingresalosdetallesdesutarjetadecréditoaunservicioIVR.Silaordenesatravésdeunsitio


web, el navegador web del cliente cifra la información que viaja hasta el servidor web delvendedor.EstosehacenormalmentemediantecifradooTransportLayerSecurity.El vendedor reenvía losdetallesde la transaccióna supasareladepago, el cual contiene losdetalles de las cuentas de sus vendedores. Con normalidad, ésta es otra conexión cifradamedianteTLSalservidordepago,almacenadaenlapasareladepago;losdatosdelatransacciónpueden ser capturados por el vendedor y posteriormente reenviados a la pasarela, o, sercapturadosporelvendedor,peroésteposteriormenteleredireccionaasesiónalapasareladepagos,paraqueéstacapture losdatosdel comprador.Elbancoque tenga laAdquirenciadelcomercio,noparticipaenlaautorizacióndelatransacción,participaenelabonodeesta,aldíasiguientehábil.Elbancoadquirentereenvíalainformacióndelatransacciónalbancoemisor(elbancoqueemitiólatarjetadecréditoalcliente)parasuautorización.Elbancoemisordelatarjetarecibeelpedidodeautorizaciónyenvíaunarespuestaalaredparaqueesta laenvíea lapasareladepago.Ademásdedeterminareldestinodelpago (esdecir,"aprobado"o "rechazado"), el códigode respuesta se usa para definir la razónpor la cual latransacciónfalló(cómo,porejemplo,porfondosinsuficientesoenlacealbanconodisponible).Unapasareladepagoprocesadeformaseguralassolicitudesdepagodelosclientesdespuésdeverificarquelainformaciónproporcionadaescorrecta.Unavezqueseverificalainformación,elmétododepagofinanciaelpedidoparaquelatiendaenlíneapuedaconfirmaryprocesarlo.Unapasareladepagodebecumplirconlassiguientescondicionesparaoperarenelpaís:

1. Tenercertificaciónen lanormaPCISecurityStandardsCouncil (PaymentCard IndustryDataSecurity)deacuerdoconsuniveldetransacciones,sugiriendoquesecumplacómomínimoelNivel2.

2. Contar con sistemas de pre-validación y validación a las transacciones recibidas de

comercios,asícomolavalidacióndeloscomerciosagregados.

3. Responsabilidadpormantener índicesdesiniestralidadcontroladosante loscomerciosquenegocianconellas.

4. ReportaraIncocréditoperiódicamenteloscomerciosqueseencuentranafiliadosaellos,confinesestadísticos.Asímismo,ésteevalúaacadaunolosprocesosrealizados.


Esquemadefuncionamientodelpago

• Paso1.Enlapáginadelvendedor,elcompradorseleccionael(los)producto(s)quedeseacomprar y elige la opción de pago con tarjeta de crédito; la página del vendedorredirecciona la transacción a la pasarela de pagos para que el comprador indique lainformacióndelatarjeta.

• Paso2.Lapasareladepagosseencargaderecibirlainformacióndelconsumidor,lacualincluyeidentificacióndelusuarioydatosdelatarjeta.Dichainformaciónestrasladadadeformaencriptadaalasredessegúncorresponda;

• Pasos3y4.Lascorrespondientesredessonquienestienenaccesoalaredbancariaparasolicitarlaaprobacióndelatransacciónalbancoemisordelatarjetadecrédito;

• Pasos5y6.Elbancoemisordelatarjetaenvíalarespuestaalared,sobresilatransacciónfueaprobadaorechazada;

• Paso7.Laredprocesadoraentregalarespuestaenviadaporelbancoemisoralapasarela

depagos;


• Paso8.Lapasareladepagosenvíamensajederespuestaalcompradoryalcomerciante;• Paso9.Encasodequelatransacciónhayasidoaprobadaporelbancoemisor,seprocede

adeducirdelcupodelatarjetadelcompradorelmontodelacompraysetransfierealacuentaderecaudodelcomerciante.

c. Eventosqueponenenriesgoalaspasarelasdepago.

Laspasarelasdepagosonsusceptiblesdesufrirataquesdeciberdelincuentescontrasusistemay normal funcionamiento. Este tipo de vulnerabilidades se debe normalmente a malasconfiguracionesofaltadeactualizacionesporpartedelsoftwarequeconformalatiendavirtual.Acontinuación,sedescribiránlasprincipalesvulnerabilidadesqueloscibercriminalesexplotanensubeneficio:Pago con tarjeta robada: Este tipo de fraude consiste en que un ciberdelincuente utiliza elnúmero de una tarjeta, bien obtenido de la tarjeta física o robando la misma, para realizarcomprasenlatiendavirtual.Malware:Palabraquenacede launiónde los términossoftwaremalintencionado«malicioussoftware».Dentrodeestadefinicióntienecabidaunampliocatálogodeprogramasmaliciosos:virus,gusanos,troyanos,backdoors,spyware,etc.Lanotacomúnatodosestosprogramasessucarácterdañinoo lesivo.Losciberdelincuentesenocasionesutilizanservidoresopáginaswebvulneradasparadistribuirmalwaresinqueelpropietariotengaconocimientodeello.Cross-SiteScripting«XSS»:Brechadeseguridadqueseproduceenlaspáginaswebgeneradasdinámicamente. Enun ataqueporXSS, una aplicaciónWebenvía conun script que se activacuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitiosdinámicosdependendelainteraccióndelusuario,esposibleingresarunscriptmaliciosoenlapágina, ocultándolo entre solicitudes legítimas. Los puntos de entrada comunes incluyenbuscadores,foros,blogsytodotipodeformulariosenlíneaengeneral.UnaveziniciadoelXSS,elatacantepuedecambiarconfiguracionesdeusuarios,secuestrarcuentas,envenenarcookies,exponerconexionesTLS,accedersitiosrestringidosyhastainstalarpublicidadenelsitiovíctima.AtaquesdeinyecciónSQL:InyecciónSQLesunmétododeinfiltracióndecódigointrusoquesesirvedeunavulnerabilidadpresenteenunaaplicaciónenelniveldevalidacióndeentradasparala realización de consultas a una base de datos. El origen de la vulnerabilidad radica en laincorrectavalidaciónde lasvariablesutilizadasenunprogramaquecontieneogeneracódigoSQL.CrossSiteRequestForgery«CSRF»:Estetipodeataqueobligaaunusuariolegítimoaejecutaraccionesnodeseadasenunaaplicaciónwebenlaqueactualmenteestáautenticado.Losataques


CSRFsedirigenespecíficamentealaspeticionesdecambiodeestado,noelrobodedatos,yaqueelatacantenotienemaneradeverlarespuestaalasolicitud.Conlaayudadeingenieríasocial(comoelenvíodeunenlaceporcorreoelectrónico),unatacantepuedeengañaralusuariodeunaaplicaciónwebparaejecucionesaeleccióndelatacante.Silavíctimaesunusuarionormal,un ataque exitoso CSRF puede obligar al usuario a realizar solicitudes fraudulentas como latransferenciadefondos,elcambiodesudireccióndecorreoelectrónico,yasísucesivamente.Silavíctimaesunadministrador,CSRFpuedecomprometertodalaaplicaciónweb.Phishing. Es la denominación que recibe la estafa cometida a través de medios telemáticosmediantelacualelestafadorintentaconseguir,deusuarioslegítimos,informaciónconfidencial(contraseñas, datos bancarios, etc.) de forma fraudulenta. Una vez que los cibercriminalesobtienenlainformaciónlausaránparacometercualquiertipodefraude.Defacement.El objetivo de este tipo de ataque, independientemente de la forma en que esllevadoacabo,esmodificarunapáginaweb totaloparcialmente.Paraellopuedeaccederalgestordecontenidosoelservidorwebdelaorganizaciónpormediodedosvíasdeentradacomoeselpersonaldelaorganizaciónoelsistemainformáticoquedasoportealatiendavirtual.Pagosnoautorizados.Pagosrealizadossinpermisoosinconsentimientodeltitulardelacuenta.Laspasarelasdepagodebenretenerelpagocuandoconsiderenqueesunpagoquenocuentaconeldebidoconsentimientodeltitulardeesta

d. MarconormativopasarelasdepagoenColombia

EnColombiaaúnnosehaexpedidoregulaciónespecíficasobrelascondicionesdeoperacióndelaspasarelasdepagos,noobstante,considerandoqueatravésdeestemecanismo,deunaparte,se permite a los clientes el pago con sus instrumentos como tarjeta débito, tarjeta crédito,transferenciaselectrónicas, siendo lapuertadeentradapara lospagosy,deotra, seproduceintercambiodeinformacióndelpagadoralareddepagosydenuevoalpagadordesdelaentidadfinanciera,laviabilidaddesuutilizaciónestásujetatambiénalasautorizacioneseinstruccionesemitidasporelGobiernoNacionaly laSuperintendenciaFinancieradeColombiaen lamedidaquepodríatipificaractividadesdecaptaciónderecursosdelpúblico,asícomoactividadespropiasde entidades administradoras de sistemas de pago de bajo valor y, en general, de entidadesfinancierasvigiladas.Desde el régimen de cambios internacionales, la regulación no contempla disposicionesespeciales sobre laspasarelasdepagosenel comerciodebienesy servicios.Sinembargo,espertinentemencionar que, de acuerdo con el artículo 4 b) de la Ley 9 de 1991, los artículos2.17.1.1. y 2.17.1.4 del Decreto 1068 de 2015 y las resoluciones vigentes del Banco de la


República,noestápermitidalautilizacióndemecanismosdepagoqueprescindanoimpidanlacanalizaciónporconductodelmercadocambiariodelasoperacionesdecambiosujetasaestaobligación(importaciónyexportacióndebienes).Encomercioexteriordebienes,seexigequelasdivisasqueseadquierenparaelcumplimientodelospagosdelaimportaciónoqueserecibencomo pago de las exportaciones se transfieran o negocien mediante el concurso de losintermediarios del mercado cambiario (IMC) o de las cuentas de compensación, no estandoautorizadosupagofueradedichomercado.Si bien, actualmente las pasarelas de pago no son entidades vigiladas a través deSuperintendencia FinancieradeColombia, debidoal fuerte impactoqueestán teniendoenelcomercio,seestábuscandosuregulaciónatravésde lasentidadesque lasvigilanoelmismosector al cual suministran servicios. A través de la circular Externa 008 de 2018, laSuperintendenciaFinancieraestablece losmecanismosdeprotecciónde la informaciónde losconsumidoresfinancierosalrealizaroperacionesmonetariasusandolosserviciosdelaspasarelasde pago, señalando los estándares de seguridad que deben cumplir dichas plataformas paraprestarsusserviciosatravésdelasentidadesvigiladasporlaentidad(bancosyredesdepago).Noobstante,loanterior,lacircularreiteraquedichaspasarelasnosonentidadesvigiladasporlaentidad.EntalsentidolaSuperintendenciaFinancierafijaunosrequerimientosbásicosquedebencumplirlosestablecimientosdecréditoy losadministradoresdesistemasdepagodebajovaloren lavinculación de administradores de pasarelas de pago para la realización de operaciones enambiente de venta no presente. (Estas obligaciones ya son objeto de cumplimiento). Dichosrequerimientosson:

“2.3.8.Vinculacióndeentidadesadministradorasdepasarelasdepagoyestablecimientosdecomercio.Losestablecimientosdecréditoylosadministradoresdesistemasdepagodebajovalorque vinculen a entidades administradoras de pasarelas de pago o establecimientos decomercioquerealizanlasactividadesseñaladasenelsubnumeral2.2.10.deesteCapítulo,debencumplir,comomínimoconlossiguientesrequerimientos:2.3.8.1. Incluirenloscontratosquecelebrencondichosestablecimientosdecomerciooentidadesadministradorasdepasarelasdepago:2.3.8.1.1. La obligación por parte de los establecimientos de comercio o entidadesadministradorasdepasarelasdepagodecontar,manteneryentregarlacertificaciónPCI-DDSemitidaporunaentidadqueostentelacategoríaQSA(QualifiedSecurityAssessor).2.3.8.1.2. La obligación por parte de los establecimientos de comercio o entidadesadministradoras de pasarelas de pago de contar con una política de tratamiento y


proteccióndedatospersonalesdelosconsumidores,deacuerdoconlodispuestoenlaLey1581de2012yenlaLey1266de2008,enloqueresultepertinente.2.3.8.1.3. La obligación por parte de los establecimientos de comercio o entidadesadministradoras de pasarelas de pago de contar con políticas y procedimientosrelacionadosconlaprevenciónyelcontroldelriesgodelavadodeactivosyfinanciacióndelterrorismo.2.3.8.1.4. La obligación por parte de los establecimientos de comercio o entidadesadministradoras de pasarelas de pago de adelantar campañas informativas sobre lasmedidas de seguridad que deben adoptar los compradores y vendedores para larealizacióndeoperacionesdecomercioelectrónico.”


3. PropuestadeBuenasPrácticasdelasPasarelasdePago3.1. Implementación de autoregulación pasarelas de pago - SRO – self regulatory

organization.

Unaorganizaciónautorreguladoraesunaorganizaciónnogubernamentalquetieneelpoderdecrearyhacercumplirlasregulacionesylosestándaresdelaindustria.Laprioridadesprotegeralosinversoresestableciendoreglasquepromuevanlaéticay la igualdad.AlgunosejemplosdeSRO incluyen lasbolsasdevalores, la InvestmentDealersAssociationofCanaday laNationalAssociationofSecuritiesDealersenlosEstadosUnidos.Comosugiereeltérmino,unaSROseregulaasímisma.Tambiéntieneciertainfluenciaregulatoriasobre una industria o profesión, y esa influencia o autoridadpodría reemplazar la regulacióngubernamentaloserunaadiciónalaregulacióngubernamental.LacapacidaddeunSROparaejercerlaautoridadreguladoranosederivadeunaconcesióndeautoridaddelgobierno.LasSROamenudo logranestoatravésdemecanismos internosquecontrolanel flujodeoperacionescomercialesomedianteunacuerdoexternoentreempresassimilares.LosprincipalesejemplosdeunSROincluyenlaAutoridadReguladoradelaIndustriaFinancierayunavariedaddecámarasdecompensación.Elobjetivodeestasorganizacionesesgobernardesdedentro mientras se evitan los vínculos con el gobierno de un país. Esto es útil cuando susactividadesnosonúnicamentedentrodeunpaís.UnavezqueelSROhaestablecidoregulacionesydisposicionesqueguíanlaactividaddeaquellosqueoperandentrodeél,esasreglassonvinculantes.Lafaltadefuncionamientodentrodelasregulaciones puede tener consecuencias, y una empresa tiene esas reglas detalladas cuandoconsideraasociarseconlaSRO.3.2. Elejemplomexicano

Enel2017,secreólaAsociacióndeAgregadoresdeMediosdePagoenMéxico(ASAMEP),lacualtiene como finalidad autorregular el sector, participar activamente con los organismosreguladorescomoelBancodeMéxicoy fomentar la inclusión financiera.ElobjetivodedichoComitéesquetodos losParticipantesde lasRedesdeMediosdePagoenMéxicotenganvozsobre la regulación y el entorno del sistema de pagos. En dicho Comité se encuentranrepresentados losbancosAdquirientes y Emisores, lasMarcasdeAceptación, lasCámarasdeCompensación,lasCajasPopularesylosAgregadores.Los agregadores son empresas de reciente creaciónqueofrecen el servicio de aceptacióndemétodos de pago electrónicos a través de terminales o de forma virtual. Según datos de laASAMEP,cadaañoentre100y130milcomerciosadoptanestemecanismoparaeficientarsusventas.Estasfintech,deacuerdoconlaorganizaciónFinnovista,representanel25porcientodelasempresasfinanciero-tecnológicasdelpaís,deuntotalde180.Entre los mecanismos que utilizarán para autorregular el sector será la implementación deestándaresdeseguridadylorespectivoacómotratarlainformacióndelosusuarios.


LosobjetivosdelaASAMEPson:ü Laautorregulaciónycumplimentodelmarcoregulatorioporpartedelosmiembrosdela

Asociación.ü Promoverlainclusiónfinancieraatravésdelaaceptacióndemediosdepagoelectrónicos

ensectoresquehabitualmentenosonatendidosdeformadirectaporlabancatradicional.ü Representarasusmiembrosantelaindustriademediosdepago,entidadesregulatorias

ypúblicoengeneral.ü Promoverlainclusiónyparticipacióndenuevosintegrantesenelmercado,fomentando

lacompetenciaenlaindustria.

LaAsociacióndeAgregadoresdeMediosdePagodeMéxico(ASAMEP),estáconformadapormásdetreintaAgregadores,encabezadosporAdolfoBabatz,CEOdeClip,elcualfueelegidocomopresidentededichaorganización;JuanCarlosViramontes,directorgeneraldeMIT,presidentedel Comité de Regulación y Víctor Casanova, de Banwire, presidente del Comité deDifusión.DentrodelosmiembrosfundadoresencontramosaClip,MIT,ConektayBillpocket.AlgunosotrosmiembrosdelaAsociaciónsonallpago,Banwire,FirstData,iZettle,Kiwi,MercadoPago,NetPay,Openpay,PayPalyPayU.3.3. ElCasocolombiano

Durante el desarrollo de la investigación se analizó la viabilidad de proponer un modelo deautorregulación de buenas prácticas en las pasarelas de pago. Sin embargo, a lo largo de lasconsultas realizadas a los agentes estratégicos del ecosistema del comercio electrónico secorroboróqueestapropuestaesinviableporlassiguientestresrazones:

a.Noexisteunvehículo institucionalquepermitacoaccionarel cumplimientodeunasreglas.Lacreacióndeesemecanismoresultacostosaypuedellegarasercomplejooperarcomoárbitro(alautorreguladordelmercadodevaloreslecuestaalañocercade10.000millonesdepesos);b. La asunción de ese vehículo institucional por parte de la Cámara Colombiana deComercioElectrónicoresultatambiéncomplejo,dadalanaturalezagremialdelaCámara,yademásporlasmismasrazoneseconómicasquehacenonerosoelmodelo;c.Lascondicionesheterogéneasdelaspasarelasdepago,hacentambiénpocoprobableladefinicióndeparámetrosdereferenciacomunesquepuedenserexigidasatravésdeunárbitrooterceroquelashagacoercitivas.

Porlotanto,antelacarenciadeladefinicióndeunárbitroparaverificarelcumplimientodeunasreglas,sehaceinviabledenominarelmodelocomodeautorregulación.Porlotanto,elmodelo


queacontinuaciónsedefinetieneelobjetodepromoverlaadopcióndelassiguientesBuenasPrácticas. Se espera, idealmente, que la adopción de estas recomendaciones pueda incluirsecomopartedelasestipulacionescontractualesentrelaspasarelasdepagoylasredescomolosadquirentes(principalmenteBancos)quehacenpartedelosactoresdelaspasarelasdepago.

3.4. PrincipiosfundamentalesElpresenteManualsefundamentaenlossiguientesprincipios, loscualesdefinenelmarcoenquelosoperadoresdelapasareladepagodebendesarrollarsusactividades:Deber de información. El operador de la pasarela de pago se debe abstener de ocultarinformaciónquedebeserconocidaporelcliente.EstocontribuyealclimadeconfianzanecesarioenelComercioElectrónico.Transparencia.Eloperadordepasareladepagodebeadelantartodoslostrámitesyprocesosquesellevenacabodentrodelservicioqueprestaconclaridadylucidez,demodoquesecomprendansinningúntipodedudaoambigüedad.Confianza. El operador de la pasarela de pago debe generar entornos seguros con flujos deinformaciónadecuada,sumadoaunservicioalclientedeóptimacalidad,pararevestiralclienteousuariodeconfianzaenelcomercioelectrónico.Fidelidad.Eloperadordelapasareladepagodebeconducirseconconstanciaenelcumplimientodeloscompromisosadquiridosconlosclientes.Privacidad.Eloperadordelapasareladepagodebeofrecerelmáximogradodereservatantodelas transacciones realizadas, como de la identidad de los clientes; así como de sus datospersonales, generando la confianza necesaria dentro de los negocios electrónicos. Los datospersonalespodránserreveladossiexistepreviamenteautorizaciónexpresadesutitularyconsujeciónalasreglasdelhabeasdata.Seguridad.Eloperadordelapasareladepagodebemantenerunniveldeseguridadacordeconlos procesos y/o datos a tratar. Para lo cual deberán observarse, en todo momento, lasdisposicionesregulatoriasynormativasaplicablesvigentesalcomercioelectrónico.Orientación al cliente. El operador de la pasarela de pago debe esforzarse en satisfacer lasnecesidades y/o los requisitos de sus contratantes y consumidores, dentro del contexto delcomercioelectrónicocomomediotransaccional,inclusoensorprenderlesgratamentesuperandosusexpectativas.Lasorganizacionesdependendesusclientesparasobreviviryporlotantodeben


hacer lo posible para comprender las necesidades, deseos y carencias presentes y futuras detodosellos.Respetoalmarcolegalyregulatoriovigente:Elecosistemadigitalcomoescenarioenelquesellevaacaboelcomercioelectrónicoestáenmarcadoentratados,normas,leyes,regulacionesyen general se rige por reglas jurídicas que tanto en el ámbito internacional como nacionalimpactanlosnegocioselectrónicosydebencumplirseadecuadamenteporlosempresarios.3.5. Medidasdeprotecciónfrentealosriesgos.Los operadores de pasarelas de pago deben adoptar una serie de medidas de protecciónespecíficas contra los tipos de fraude expuestos anteriormente, toda vez que al ser losresponsablesdelservicioqueprestan,esnecesarioqueimplemententodoslosmecanismosdeseguridadposiblesquedetectenyevitenelfraudeylosataquesdeciberdelincuentesfacilitando,además,herramientasasususuariosquemantengansuseguridad.Paraquelaspasarelasdepagofuncionendemaneracorrecta,esnecesarioadoptarlasmedidasdeseguridadquegaranticenunnivelaceptabledeseguridadtantoparaeloperadorcomoparael usuario. Estas son algunas de lasmedidas de seguridad que deben ser adoptadas por losoperadoresdelaspasarelasdepago:Los operadores de las pasarelas de pago deben disponer de un certificadoT LS o TLS que lepermitaidentificarsusitiowebdeformainequívoca,yquegaranticequelainformaciónquesetransmiteentreelnavegadordelusuarioydesuservidorseencuentracifradayprotegida.TransportLayerSecurity(TLS).EsconsideradacomolasiguientegeneracióndelCertificadoTLS;permiteygarantizaelintercambiodedatosenunentornosecurizadoyprivadoentredosentes,elusuarioyelservidor,medianteaplicacionescomoHTTP,POP3,IMAP,SSH,SMTPoNNTP.Esunsistema que está basado en el último certificado TLS y funciona de manera muy similar,básicamente:encriptalainformacióncompartida.EnelprotocoloTLS,sellevaacabouncanalseguro y cifrado entre cliente y servidor en donde se negocia la criptografía delmensaje, seautentificanlasclavesdelcifradoyserealizaunatransmisiónsegura.EnelprotocoloTLSseutilizatantocriptografíaasimétricacomosimétrica.Laprimeraseutilizapararealizarelintercambiodelasclaves,queasuvezseránusadasparacifrarlacomunicaciónmedianteunalgoritmosimétrico.Enelcasode lossitiosweb,parael funcionamientodeesteprotocolo,loquesenecesitautilizaresuncertificadoTLS.Elservidorwebtendráinstaladounoycuandounclienteintenteaccederaél,leremitiráelmismoconlaclavepúblicadelservidor,paraenviardeestaformalaclavequeseusarápararealizarlaconexióndemaneraseguramedianteuncifradosimétrico.


ElprotocoloTLS/TLSnosóloproporcionaconfidencialidadenlainformación,tambiéngarantizasu integridad. Para ello se vale de un código de autenticación de mensaje (MAC, MessageAuthenticationCode).Estecódigosecalculamedianteunafunciónhashconunaclavesecretaquesóloconocenelemisoryelreceptorde lacomunicación(elclienteyelservidor).Deestaforma,siunsólobitdetodalainformaciónesmodificado,elMACserátotalmentediferente,yambaspartespodríansaberenesepuntoquelainformaciónhasidomodificada.Copiasdeseguridad.Losoperadoresdepasarelasdepagotambiénpuedenhacerusodelbackup,que consisteenuna copiade losdatosoriginalesque se realiza conel findedisponerdeunsistemaderespaldoencasodepérdida,deterioroorobodeinformación.Unsistemadecopiasdeseguridadpuedehacerqueunapasareladepagoquesehavistoafectadaporun fallodeseguridadpuedarecuperarsuactividaddiaria.CVV2:Esunamedidadeseguridadqueserequiereparalastransaccionesyqueseencuentraenlapartefrontaldelatarjetadecrédito.Estáconformadoporcuatro(4)dígitosvisiblesenlaparteposteriordelatarjetajuntoalabandamagnética.Sisóloseimplementaestamedidadeseguridadno se conseguirá la seguridadnecesaria, yaqueelCVV está impresoen la tarjetay cualquierpersonaquetengaaccesoaellatendráaccesoalaúnicamedidadeseguridad.3DSecure:EstesistemadeseguridadestápromovidoporVisayMasterCard.Alimplementarelsistema 3DSecure en la pasarela de pago, los negocios ya no son los responsables de lasdevolucionesacausadelasreclamacionesdefraudeporpartedelospropietariosdelatarjeta.Este sistema de verificación transfiere la responsabilidad de una reclamación por fraude a laentidadqueemitiólatarjeta.Esnecesarioconfirmarlostérminosexactoseneldesplazamientodelaresponsabilidadconlaentidadbancariadelatiendavirtual.Elsistema3DSecureverificaqueelclientequeestárealizandolacompraeselverdaderotitulardelatarjeta.AntesdeterminarelprocesodecompraelclientedebedeintroducirunnumeroPINquesoloéldebesaberporloquenopodráterminarelprocesodecompraalguienquenoseasu propietario. El numero PIN pedido por el sistema 3DSecure puede ser de tres tiposdependiendodelprotocolodeseguridadquetengaasignadolaentidadbancariapropietariadelatarjeta:

1. Número PIN de la tarjeta: elmismo número que solicitan los cajeros cuando se hacecualquieroperación;

2. NúmeroPINespecífico:númeroPINespecialyqueesnecesariosolicitaralbancoemisordelatarjeta.ElusodeestenúmeroPINescomúnenlabancaonline;


3. Número PIN enviado por SMS: número PIN enviado por mensaje de texto o SMS alteléfonodelpropietariodelatarjeta.EstenúmeroPINesválidoparaunúnicouso.

3.6. DimensionesdelasBuenasprácticasparalosoperadoresdepasarelasdepago

Las pasarelas además de contar con la certificación PCI DSS que asegura la protección,confidencialidadeintegridaddelosdatosdelostarjetahabientes,alencontrarseexpuestasalosriesgos legales, operacionales y reputacionales deben adoptar estrategias que les permitaprevenirydetenerelfraude,asícomomejorarlaseguridaddecadaunadelasáreasclavesdesusactividades:privacidad,confiabilidad,reembolso,políticas,accesoalservicioyatenciónalcliente.Para apoyar la orientación de estas estrategias de Buenas Prácticas, esteManual identifica acontinuación una serie de recomendaciones al respecto, que han sido agrupadas por sunaturaleza en ocho categorías de análisis a saber: seguridad respecto del recurso humano,estándares en procesos y procedimientos, seguridad de la información, capacitación yconcientización,seguridadfísica,continuidaddelnegocioeidoneidad.Seguridadrespectodelrecursohumano.Serecomiendaalaspasarelas:

1. Diseñaruna“políticamarcoderecursohumanos”quedefinaunmodelodegestiónderecursos humanos de la pasarela de pago, que permita captar, impulsar y retener eltalento humano, haciéndoles partícipes del proyecto y garantizándoles un puesto detrabajodignoyseguro;

2. Definirprogramasdeformaciónquefavorezcan lamejoray laconservacióndelcapitalintelectualylapromocióndelostrabajadoresdentrodelapasareladepagos;

3. Fomentar canales de diálogo y comunicación con los empleados por medio desubcomisionesocomitésdetrabajadores,encuestasdeclimalaboral,encuentrosconelpresidenteyaltosdirectivos,reunionesespecíficas;

4. Establecerunapolíticadeseguridadysaludlaboralquetengacomofinalidad,lograrunentornodetrabajoseguroysaludable;

5. DefinirunCódigoÉticoquerecojalosprincipiosdeactuaciónexigiblesalostrabajadoresydirectivos,cualquieraqueseasuniveljerárquicoofuncional;


6. Establecerprocedimientosnormalizadosparalacontratacióndelpersonal,yseleccióndelosprofesionales,disminuirlatasaderotación.

7. Invertirenlacapacitacióndelosprofesionales,ofrecercursosacargodeunmiembrodelaempresaodeuncursoexterno.

Políticasyestándaresenprocesosyprocedimientos.SerecomiendacomobuenaprácticaparalasPasarelas:

8. Garantizarquelosoperadorestenganunsoportedisponibleyaccesible,sienfrentanalgúnproblema.Eloperador tieneque identificarel tipode soportequeseofrecerá (correoelectrónico,centrodellamadas,etc.),lacapacidadderespuestadelsoporteofrecidoyelcostoinvolucradoenelmismo;

9. Establecerpolíticasclarasparalavinculacióndeloscomercios,lascualesdeberánatenderlodesarrolladoporlaCE8de2018yespecialmentelafirmay/oaceptacióndelostérminosycondicionesdelaPasarela.

10. Definirunapolíticadeprevencióndelavadodeactivosyfinanciacióndelterrorismoque

precise los lineamientos,controlesyaccionesnecesariosparaprotegersedel riesgodeLA/FT,atendiendoalambientenopresencialenelqueoperanlaspasarelasdepago;paraesto, laspasarelasdeberánestablecerprocesosdeconocimientoalclienteexpeditosyconunmínimodedocumentaciónquepermitaelcotejodeidentidadydeorigendesusrecursos,preferiblementeatravésdemecanismoselectrónicostalescomoconsultasenfuentespúblicasobureausdecrédito.

11. Desarrollarprocesosparaidentificar,medir,controlarymonitorearelriesgodeLA/FT;

12. Evaluar el cumplimiento técnico y la efectividad de los estándares internacionales enmateriadegestiónderiesgosdeLA/FT1;

1ConvencióndeVienade1988(ConvencióndeNacionesUnidascontraeltráficodeestupefacientesysustanciaspsicotrópicas,aprobadaporlaLey67de1993),ConveniodelasNacionesUnidasparalarepresióndelafinanciacióndel terrorismode1989 (aprobadapor la Ley808de2003), ConvencióndePalermode2000 (Convenciónde lasNacionesUnidascontraladelincuenciaorganizada,aprobadaporlaLey800de2003),ConvencióndeMéridade2003(Convenciónde lasNacionesUnidas contra la corrupción, aprobadapor la Ley970de2005).Recomendacionesinternacionales de Naciones Unidas, GAFI (Grupo de Acción Financiera Internacional), GAFIC (Grupo de AcciónFinancieradelCaribe),GAFISUD(GrupodeAcciónFinancieradeSudamérica).


13. Cumplirconlosestándaresdedebidadiligencia,implementandomecanismosparalograruna debida diligencia en el conocimiento del cliente, sin recurrir a los mecanismostradicionales(entrevista,formulario);

14. Definir una política de sanciones por el incumplimiento o violación a las políticas deprevencióndeLA/FT;

15. Desarrollar unametodología para la detección de operaciones inusuales, intentadas ysospechosas, y el oportuno y eficiente reporte de estas últimas a las autoridadescompetentes;

16. Losoperadoresdepasarelasdepagodebenaplicarestándaresmínimosparalaadecuadaatenciónymanejodelfraude.

17. Generaruncanaldecomunicaciónparafacilitarelcanjedeinformaciónrelevanteentrelapasarelaylasentidades,endesarrollodelaactividaddeintercambiodeinformación;

18. Notificaraloperador,cuandosebloqueaunatransacciónenunsistemaantifraudeporconsiderarladealtoriesgoosospechosa,lasrazonesporlasqueseniegalatransacción.

19. Estructurarelmodelogerencial,estratégicoyoperativodelProcesadordeInformacióndeFraudedetalmaneraqueseaseguresupuestaenmarchaysuseguimientoatravésdeindicadoresdegestiónyunesquemademejoramientodeoportunidades;

20. Registrarlaoperacióndeanulaciónenelsistemadeinformacióndelasredesparaque

posteriormente lasentidadesseannotificadasyapliquen loscambiosrespectivosenelestadodecuentadelcliente;

21. Diseñar dentro de la relación contractual con el comerciante, un mecanismo deconfirmacióndeinformaciónparaindagardetallesdelatransacciónendisputaantesdegestionaruncontracargo;

22. Definirdentrodelarelacióncontractualconelcomerciante,untiempolímiteenelanálisisde loscontracargos,reversionesyanulacionesparaqueelclientetengaunarespuestaclarasobresureclamación;

23. Establecer dentro de la relación contractual con el comerciante, un protocolo decomunicaciónenelprocesode contracargosparaque sedéun flujode comunicaciónadecuadoyexpeditodetalmaneraqueelclientetengaclaridadsobreaquiéndirigirseylaevolucióndesucasoentreotrosaspectos.


SeguridaddelainformaciónEnestepuntoserecomiendaalasPasarelas:

24. Garantizarquelosservidoresdelapasarelaseansegurosyproporcionenlassiguientestresgarantías:

• Autenticidad.Permitetenerlacertezadequelosdatosdelpagoseestánenviandoalauténticoservidordelaentidadfinanciera;

• Confidencialidad. Asegura que los datos, en el caso de ser capturados por unterceroajenoalatransacción,nopodránserempleadosyaqueviajancifrados;

• Integridad.Garantiza que los datos que llegan al servidor del banco no se hanalteradoporel camino (internet),detectándosea travésde losmecanismosdeseguridaddeTLScualquieralteración.

25. DisponerdeuncertificadoemitidoporunaAutoridaddeCertificación(comoCertificado

TLSSymantec2),quienanalizaexhaustivamentelosdatosdelaentidadsolicitanteylasnormasdeseguridaddesuinfraestructura,paraqueunservidorseaseguro.

26. EmplearporpartedeloperadorelprotocolodeseguridadTLS(SecureSocketsLayer)cuyo

usoprincipalescifrarelnúmerodelastarjetasdecréditoalrealizarcualquiertransacciónonline.

ConsidéresequeelprotocoloTLSofreceserviciodecifradodedatos,autenticacióndelservidor,integridaddemensajesy,enmenormedida,laidentificacióndelclienteparaconexionesTCP/IP(protocolo empleado en internet). TLS proporciona un canal electrónico seguro para realizartransaccionesentre los servidores (banco,entidademisorade la tarjetay tiendaonline)y losnavegadoresatravésdelcual,cifrandolosdatosdecompra,sepuedencelebrartransaccioneselectrónicas con seguridad. Otro protocolo de seguridad utilizado por los operadores de laspasarelas de pago es el SET (Secure Electronic Transaction), el cual se caracteriza por ser unconjuntodenormasdeseguridadcuyofinesasegurarlaidentidaddelaspersonasqueparticipanenunatransacciónelectrónica,protegerlainformaciónqueseenvíaygarantizarqueestanoha

2Enelaño2010,SymantecadquiriólaautoridadcertificadoraVeriSignyactualmenteofrececertificadosdemáximacalidadyseguridadbajosumarca.TodosloscertificadosTLSdeSymantecofrecenvisualizacióndelsellodeseguridadNortonSecuredSeal,


sido manipulada en este proceso. Para ello emplean certificados digitales y software deencriptadoquelohacenmáscomplejodeusaryporlotantomásdifícildeimplantarqueelTLS.

27. Cumplir los requisitos técnicos en la captura, almacenamiento, procesamiento ytransmisióndelainformaciónsensibleydatosdelcliente.EstosrequisitosseencuentranenmarcadosdentrodeseisprincipiosdelaNormasPCI3:

• Construirymantenerunaredsegura;• Protegerlosdatosdelastarjetas;• Mantenerunprogramadegestióndevulnerabilidades;• Implementarmedidasdecontroldeacceso;• Monitorearyprobarregularmentelasredes;• Mantenerunapolíticadeseguridaddelainformación.

28. Tenerunsistemadecopiadeseguridad,tambiénconocidocomobackup.Esunacopiade

losdatosoriginalesqueserealizaconelfindedisponerdeunsistemaderespaldoencasodepérdida,deterioroorobodeinformación;

29. Lossoportesenlosquesepuedenrealizarcopiasdeseguridadsonvariados,elsoporteescogidodependerádelsistemadecopiasqueseelija,delafiabilidadquesenecesitaydelainversióneconómicaquesequierarealizar.Losmásutilizadosson:

• UnidadesUSBydiscosdurosportátiles;• Discosdurosdeequiposespecíficos;• Cintasdeseguridad;• SoportesópticoscomoDVDoCD;• Almacenamientodecopiasenlanube.

30. Analizarlainformacióndelaqueserealizarálacopiadescartandotodalainformaciónque

carezcaderelevancia.Esnecesarioincluirtodoslosequiposdelaorganización;

31. Definir el número de versiones que se almacenará de cada elemento y su períododeconservación,aestaformadeactuarselaconocecomopolíticadecopiasdeseguridad.Estapolíticadependerádeltamañodelaorganizaciónydelvolumendeinformaciónquemanejelapasareladepago;

32. Realizacióndepruebasderestauraciónyaquesilascopiasrealizadassoninaccesiblesoseencuentrandañadasunsistemadepruebasresolveríaesteproblema;

3PCISecurityStandarsCouncil,Normasdeseguridaddedatos.


33. Controldelossoportesdondeserealizalacopiaetiquetandoyregistrandolaubicación

delossoportes.Tambiénhayquellevaruncontroldelavidaútildelsoporte;

34. Documentar el procesode realización y restauraciónde las copias. En casodeutilizaralmacenamientoen lanubehayque contar con laposibilidaddeno tener conexiónainternetademásdeestarinformadoencuantoalaspolíticasdeprivacidadyseguridadencasodealmacenardatossensibles.


i. Capacitaciónyconcientización.

Enesteaspecto,lasPasarelasdeberíantenerencuenta:

35. Desarrollar un plan de concientización y formación para losmiembros de la empresaoperadoradepasareladepago,quetengacomoobjetivolacreacióndeunaculturadeseguridaddentrodelamisma,quereduzcalosriesgosquepuedenafectarlaseguridaddelaempresa;

36. Desarrollodeunplandeformaciónintegralenmateriadeseguridaddela informaciónparatodoslosempleados,proporcionandounmecanismoútilparaformaryconcienciarenseguridad;

37. Desarrollarlaprevencióninternadelfraude.Alcomprenderloshábitosdecompradelosvisitantes del sitio web, el operador de pasarela debe proteger su negocio de lastransaccionesdealtoriesgo.Estodependeráprincipalmentedelasestrategiasinternasyloscontrolesqueusaparaminimizarelfraudeconelfindeevitarpérdidas,asímismo,necesitaconstruirunagestiónderiesgosinfraestructurarobustaeinteligente;

38. Aplicarevaluacionesdefraude.Losmétodosdedeteccióndefraudeayudanaminimizar

elfraudeenlascomprasdemontosgrandesyentransaccionesdealtoriesgo;

39. Crearunprocesoseguroparalasautorizacionesderutaantesdeaceptartarjetasparaelpagoenlínea,procesoqueseaseguroyeficienteparaenviarsolicitudesdeautorizaciónatravésdeinternet;

Recuérdese que el Servicio de verificación de direcciones (AVS) es un sistema de seguridaddiseñadoparacombatirunadelasformasmáscomunesdefraudecontarjetadecréditoenlínea.Porsuparte,laverificacióndelcódigodelatarjetaserealizaapartirdelcódigodetarjetadelcliente,correspondientealcódigodeseguridaddetresocuatrodígitosimpresoenelpaneldefirmadeunatarjetadecréditoencursivainversa,osiguiendoelnúmerocompletoenelanversodelatarjeta.CardCodeVerification(CCV)comparaelcódigodelatarjetadelclienteconelcódigodelatarjetaenelarchivodelemisordelatarjetadecrédito.Lapasareladepagorecibeelcódigoderespuestadeverificacióndelcódigodelatarjetadelbancodelclienteyaceptaorechazalatransacción.


SeguridadfísicaAlrespectosepropone:

40. Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas deintrusión-detecciónodeintrusión-prevención),FIM(monitorizacióndela integridaddearchivos), antivirus, controles de acceso, etc., para asegurarse de que funcionancorrectamenteysegúnloprevisto;

41. Garantizar ladeteccióndetodaslasfallasenloscontrolesdeseguridadysolucionarlasoportunamente.Losprocesospararesponderencasodefallasenelcontroldeseguridadsonlossiguientes:

• Restaurarelcontroldeseguridad;• Identificarlacausadelafalla;• Identificaryabordarcualquierproblemadeseguridadquesurjadurante lafalla

delcontroldeseguridad;• Implementarlamitigación(comoprocesosocontrolestécnicos)paraevitarquela

causareaparezca;• Reanudar la monitorización del control de seguridad, quizás con una

monitorización mejorada durante un tiempo a fin de verificar que el controlfuncionecorrectamente.

42. Ofreceralusuariounsistemaderespaldoparalasfuncionalidadesmínimasencasodequelatiendavirtualnofuncione.Lossistemasderespaldopuedenencontrarseenunaempresaexternaa laorganizaciónodentrode lamisma.Si seencuentradentrode laorganización es conveniente que el sistema de respaldo no comparta ningún tipo deinfraestructura con el servidor principal ya que un problema que afecte al servidorprincipalpodríaafectaralservidorderespaldo;

43. Instalarunfirewall.Unfirewallesunasolucióndehardwareosoftwarequesupervisalaactividad de las conexiones externas (principalmente internet) a una red interna deservidores.Loscortafuegosayudanaeliminaractividadesexternasnoautorizadasonodeseadasyprotegensuredyconexionesdeamenazasexternas;

44. Almacenartodalainformaciónconfidencialseparadadelosservidoresweb,paraobtenermáximaseguridadde la información.Siporalgunarazónesnecesarioalmacenarestosdatos,sedebehacerenunabasededatossegurayencriptadaenunservidorquenoestéconectadoainternet.Si lainformaciónconfidencialsealmacenaenunacopiaimpresa,debeserexaminadaafondoyeliminarlainformaciónregularmente.


Continuidaddelnegocio.Sobreesteparticular,lasPasarelasdeberíanobservar:

45. Formularplanesdecontingenciaycontinuidad.Estrategiasdestinadasalarealizacióndeacciones y gestiones encaminadas a la recuperación de la actividad total o parcial delnegocio en el caso de que se produzcan incidentes de seguridad que afecten a sucontinuidadeneltiempo;

46. Promoverunapolíticaynormativadeseguridaddelainformación:esimportantedefinir,

documentarydifundirlapolíticadeseguridaddentrodelaorganizaciónparaquetodoslos usuarios conozcan cuáles son sus obligaciones en materia de seguridad de lainformación;

47. Generarcontrolesdeaccesológico:instaurarunapolíticadecontraseñasrobustasparaelacceso al sistema operativo y a las aplicaciones corporativas como es el gestor decontenido;

48. Establecer una política de actualizaciones, tanto si es automática como manualsolucionarálasvulnerabilidadesdescubiertasdelossistemasoperativosylasaplicacionesquegestionalaorganización;

49. Aplicarmedidasdeseguridadparalatransmisióndeinformación,detalmaneraquesepuedaprotegerdeformacorrectatodosloscanalesporlosquesetransmiteinformaciónsensiblemedianteelcifradodelamismacomopuedeserelcorreoelectrónicoolapáginaweb;

50. Gestionarsoportesextraíblesqueseconstituyenenunadelasprincipalesamenazasdefugadeinformacióneinfecciónpormalware,porloqueesnecesariocontrolarelaccesoalospuertosenlosequiposdelaorganización.


Valoracióndelosriesgos Esnecesario,destacaralrespectolosiguiente:

51. Desarrollar,previoalingresooficialdelapasarelaalsistemadecomercioelectrónico,unavaloraciónderiesgoteniendoencuentalasituaciónrealdeseguridaddelainformación.Esta valoración de riesgo deberá ser realizada por un tercero que tenga un adecuadoconocimientode seguridadde la informaciónyde lasnormasPCIDSSe ISO270014yconexas.Losaspectosmínimosporobservar,analizaryvalorarsonlossiguientes:• Seguridad de la información. Este aspecto se valora con dos preguntas frente a la

identificación y control de los riesgosde la informaciónenel comercio, y conunapreguntasobreelresponsabledelaseguridaddelainformaciónenelcomercio;

• Seguridad del recurso humano. Se valora con tres preguntas frente a laresponsabilidadyniveldeconcienciadeempleadosytercerosconlaseguridaddelainformaciónenelestablecimiento;

• Seguridad y gestión de los activos. Este aspecto se valora con dos preguntasrelacionadasconlosactivosdelestablecimientoysuclasificaciónenfuncióndelniveldecriticidaddeestos,relacionadosconlagestióndelainformación;

• Seguridad en el acceso a la información y a los activos asociados al proceso deinformación. Se valora este aspecto con tres preguntas sobre los mecanismosexistentes para proteger el acceso no autorizado a la información sensible delestablecimientoysusclientes;

• Seguridaddelasoperaciones.Sevaloracontrespreguntasenfocadasaestablecerla

manera de proteger la operación del establecimiento frente a riesgos decomprometimientodeinformación;

• Seguridaddelascomunicaciones.Sevaloraconunapreguntaquebuscaidentificarelniveldeprotecciónenlosesquemasdecomunicacióndigitalyelectrónica.

Idoneidad

4 Norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de lainformación,asícomodelossistemasquelaprocesan.ElestándarISO27001:2013paralosSistemasGestióndelaSeguridadde la Informaciónpermitea lasorganizaciones laevaluacióndel riesgoy laaplicaciónde loscontrolesnecesariosparamitigarlosoeliminarlos.


Sobrelaidoneidad,debemostenerencuenta:

52. Tener certificación en la norma PCI DSS y cumplirla de acuerdo con su nivel detransacciones;

53. Contar con sistemas de pre-validación y validación a las transacciones recibidas decomercios;

54. Garantizarsuresponsabilidaddemantenerlosíndicesdesiniestralidadcontroladosanteloscomerciosquenegocianconellas;

55. Reportar periódicamente los comercios que se encuentran afiliados a ellos, con finesestadísticos.Asímismo,éstelosevalúaacadauno,losprocesosrealizados.

56. Contratar pólizas de seguro de directores y administradores, Infidelidad y riesgosfinancieros,dañosmaterialesyresponsabilidadextracontractual,asícomounapólizaderiesgocibernético.

57. Teneruncapitalqueatiendaalnivelderiesgooperacional,crediticioylegal,elcualnonecesariamentecorresponderáaltotaldevolumentransaccional.

58. EstarconformadacomosociedadconformelasleyescolombianasydebecontarconJuntaDirectiva(salvolasSociedadesPorAccionesSimplificadas(SAS)quienespordisposiciónlegalLey1258de2008seencuentranexcluidasdeestaexigencia)yRevisorFiscalydelascualessedebenconservarlasActasdereunión.


4. GlosarioAUTENTICACIÓN. Es la verificación de que la página en la que está comprando el usuario oconsumidornoesunaréplicafraudulentarealizadaporuntercero.Eslacapacidaddedemostrarqueunusuarioounaaplicaciónesrealmentequiéndichapersonaoaplicaciónaseguraser.CERTIFICADO ELECTRÓNICO. Es “la certificación electrónica que vincula unos datos deverificación de firma a una persona y confirma la identidad de ésta;” (Directiva 1999/93 CEComunidadEuropea,porlacualseestableceunmarcocomunitarioparalafirmaelectrónica).CIFRADO.Elcifradoeselprocesodetransformarlosdatosdemaneraquenolospuedaleernadiesalvolapersonaautorizadapararecibirlos.COMERCIO ELECTRÓNICO. Abarca las cuestiones suscitadas por toda relación de índolecomercial,seaonocontractual,estructuradaapartirdelautilizacióndeunoomásmensajesdedatos o de cualquier otromedio similar. Las relaciones de índole comercial comprenden, sinlimitarse a ellas, las siguientes operaciones: toda operación comercial de suministro ointercambio de bienes o servicios; todo acuerdo de distribución; toda operación derepresentación o mandato comercial; todo tipo de operaciones financieras, bursátiles y deseguros;deconstruccióndeobras;deconsultoría;deingeniería;deconcesióndelicencias;todoacuerdodeconcesiónoexplotacióndeunserviciopúblico;deempresaconjuntayotrasformasdecooperaciónindustrialocomercial;detransportedemercancíasodepasajerosporvíaaérea,marítimayférrea,oporcarretera;(Ley527/1999).CONSUMIDOR:Todapersonanaturalque,comodestinatariofinal,uselaplataformaparasolicitarpormedio de ésta unmandato remunerado, cuyo encargo consiste en la celebración de uncontratodecompraventaocualquierotrotipodecontratolícito,conelfindeadquirirbienesoservicios.CONTENIDO.Informacióngeneradabajocualquiermodooformadeexpresión,quepuedeserdistribuidaporcualquiermedioyespartedeunmensajequeelsistemadetransferenciaomedionoexaminanimodifica,salvoparaconversiónduranteeltransportedeeste.(Resolución202/10MinisterioTIC)CONTRACARGO.Reclamoformuladoporuncliente,sobreuncargoconelquenoseencuentrasatisfechoyque,porlotanto,noreconoce.Puedengenerarsepordiferentesrazonestalescomo:noautorizacióndelpago,desconocimientodeunodeloscargosasutarjeta,error,insatisfacción,bajacalidad,no recibirelproductoo recibirlo conalgúndefecto, fraude,presentación tardía,entreotros.CORREO ELECTRÓNICO. Es elmensaje de datos que contiene correo electrónico de texto. Elcorreoelectrónicopuedecontenerarchivosadjuntosdetexto,imágenesentreotros.Entiéndaselosarchivosadjuntoscomoparteíntegradelcorreoelectrónico.(Acuerdo3334/06CSJ)FIRMADIGITAL.Seentenderácomounvalornuméricoqueseadhiereaunmensajededatosyque,utilizandounprocedimientomatemáticoconocido,vinculadoa la clavedel iniciadoryaltextodelmensajepermitedeterminarqueestevalorsehaobtenidoexclusivamenteconlaclave


del iniciador y que el mensaje inicial no ha sido modificado después de efectuada latransformación(Ley527/1999)FIRMAELECTRÓNICA.Sonlosdatosenformaelectrónicaconsignadosenunmensajededatos,oadjuntadosológicamenteasociadosalmismo,quepuedaserutilizadoparaidentificaralfirmanteenrelaciónconelmensajededatoseindicarqueelfirmanteapruebalainformaciónrecogidaenelmensajededatos.Unafirmadigitalesunaclasedefirmaelectrónica,adicionalmentelafirmaelectrónicaevidenciacualquiermodificaciónalmensajededatosposterioralenvío.FRAUDEELECTRÓNICO.ElfraudecibernéticoeinformáticoserefierealfrauderealizadoatravésdelusodeunacomputadoraodelInternet.Lapirateríainformática(hacking)esunaformacomúndefraude.Elfraudeelectrónico,eselusodeunacomputadoraconelobjetivodedistorsionardatosparainduciraotrapersonaaquehagaodejedehaceralgoqueocasionaunapérdida.HACKEOÉTICO.Esunaauditoríaefectuadaporprofesionalesde seguridadde la información,quienesrecibenelnombrede“pentester”.Alaactividadquerealizanseleconocecomo“hackingético” o “pruebas de intrusión”. Se define esencialmente como el “arte” de comprobar laexistenciadevulnerabilidadesdeseguridadenunaorganización,paraposteriormenteatravésdeuninforme,revelaraquellosfallosdeseguridadencontrados,mitigarlosalabrevedadposibleyevitarfugasdeinformaciónyataquesinformáticos.INTERACTIVEVOICERESPONSE(IVR).ElIVResunsoftwarecapazderecibirunacomunicacióntelefónica entrante e interactuar con la persona a través de grabaciones de voz y el uso deopcionesdetecladohastallegaralsectoromensajededestino.Elusuariorealizaunallamadaaunnúmerodeteléfono,elsistemadeaudio-respuestacontestalallamadaylepresentaalusuariouna serie de acciones a realizar, esto se hace mediante mensajes (menús de opciones)previamentegrabadosenarchivosdeaudio.INTEROPERABILIDAD. Aptitud de los sistemas y aplicaciones, basados en Tecnologías de laInformación y las Comunicaciones, y los procesos que estos soportan, para intercambiarinformación y utilizar mutuamente la información intercambiada. Para el caso de redes detelecomunicaciones,lainteroperabilidadesinherentealainterconexióndeestas.(CEPAL,LibroblancodeinteroperabilidaddeGobiernoelectrónicoV3.0).LA/FT:HacereferenciaalLavadodeActivosyalFinanciamientodelTerrorismo.MENSAJEDEDATOS.Lainformacióngenerada,enviada,recibida,almacenadaocomunicadapormedios electrónicos, ópticos o similares, como pudieran ser, entre otros, el IntercambioElectrónicodeDatos(EDI),Internet,elcorreoelectrónico,eltelegrama,eltélexoeltelefax.(Ley527/1999).NORMA ISO27001.Norma internacionalquepermiteelaseguramiento, la confidencialidadeintegridaddelosdatosydelainformación,asícomodelossistemasquelaprocesan.ElestándarISO27001:2013para losSistemasdeGestiónde laSeguridadde la Informaciónpermitea lasorganizacioneslaevaluacióndelriesgoylaaplicacióndeloscontrolesnecesariosparamitigarlosoeliminarlos.OPERADOR DE LA PLATAFORMA: Encargado de administrar operativa y funcionalmente laplataformaoporlapersonanaturalojurídicaqueéstadesigne.


PAGOCONDÉBITO.Transacciónrealizadaen laqueelmontoacordadose tomade lacuentacorrienteodeahorrosdequiénpagaysesumaalacuentadequiénseaelbeneficiariodelpago.EstatransacciónesprocesadaatravésdePSE.PAGOCONCRÉDITO.Transacciónquepermiterealizarcomprasquesepaganafuturoporunmontonosuperioraldesignadoporlaentidadbancaria,conlaposibilidadderealizarelpagoenlascuotasmensualespermitidas.PASARELADEPAGOS:ServicioquepermitelarealizacióndepagosporpartedelosConsumidoresdirectamente a los Mandatarios, a través de medios electrónicos utilizando plataformastecnológicas(software).LaCE8lodefineasí:2.2.10.Entidadesadministradorasdepasarelasdepago: entidades que prestan servicios de aplicación de comercio electrónico para almacenar,procesary/otransmitirelpagocorrespondienteaoperacionesdeventaenlínea.PLATAFORMA:AplicativowebymóviladministradoporelOperador,quepermitelaconcurrenciadeConsumidoresyMandatariosparaquepormediodecontratosdemandatoelConsumidorsolicitelagestióndeunencargo.PCIDataSECURITYSTANDARS.Normasdeseguridaddedatosdelaindustriadetarjetasdepago(PCIDSS) sedesarrollaronpara fomentar ymejorar la seguridadde losdatosdel titularde latarjetayfacilitar laadopcióndemedidasdeseguridaduniformesanivelmundial.LasPCIDSSproporcionanunareferenciaderequisitostécnicosyoperativosdesarrolladosparaprotegerlosdatos de los titulares de tarjetas. Se aplican a todas las entidades que participan en elprocesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores,adquirientes, entidades emisoras y proveedores de servicios, como también todas las demásentidadesquealmacenan,procesanotransmitenCHD(datosdeltitulardelatarjeta)oSAD(datosdeautenticaciónconfidenciales).REDPROCESADORADEPAGOS.Aquellaquemanejaunaseriedeherramientasquepermitenlatransferencia de fondos entre los participantes, mediante la recepción, el procesamiento, latransmisión, la compensación y/o la liquidacióndeórdenesde transferencia y recaudo, enelsectorfinanciero.RIESGO DE LA/FT: Es la posibilidad de pérdida o daño que puede sufrir una empresa al serutilizada para cometer los delitos de lavado de activos o financiación del terrorismo. Lascontingencias inherentes al LA/FT se materializan a través de riesgos tales como el legal, elreputacional,eloperativooeldecontagio,alosqueseexponeunaempresa,conelconsecuenteefectoeconómiconegativoqueellopuederepresentarparalaestabilidadfinancieradelamisma,cuandoesutilizadaparatalesactividades.SERVIDOR. Es un sistema o dispositivo de cómputo que gestiona los recursos de red. Confrecuencia,losservidoresactúancomodispositivosdealmacenamientoparalosarchivos.TRANSPORTLAYERSECURITY(TLS).Esunprotocolomedianteelcualseestableceunaconexiónsegurapormediodeuncanalcifradoentreelclienteyservidor.Garantizandoelintercambiodeinformaciónenunentornoseguroylibredeataques.


TÉRMINOSYCONDICIONESDEUSODELAPLATAFORMA:ConstituyenlostérminosquehanderegularelusoquelosConsumidoresdanalaplataforma,asícomolasrelacionescontractualesquesepuedengenerarentreConsumidoresyMandatarios.TERMINALPUNTODEVENTAVIRTUAL(TPV).Esunsistemadepagoonlinequepermitea lastiendasonline,aceptarelpagodesusclientesmediantetarjetasdecréditoodébito.Sellevaacabomedianteuncontratoentreelcomercioylared.


5. ANEXO

BENCHMARKINTERNACIONALBUENASPRÁCTICASDEPASARELASDEPAGO

DimensionesdelasBuenasprácticasparalosoperadoresdepasarelasdepago.

a) Seguridadrespectodelrecursohumano.

b) Políticasyestándaresenprocesosyprocedimientos.

c) Seguridaddelainformación.

d) Capacitaciónyconcientización.

e) Seguridadfísica.

f) Continuidaddelnegocio.

g) Valoracióndelosriesgos.

h) Idoneidad.Elobjetivoprincipaldelpresentemanualdebuenasprácticasesresaltarlasconductasquehansidoconsideradasanivelinternacionalcomoprácticasidóneaseneldesarrollodelasactividadesquerealizanlosoperadoresdepasarelasdepago,yquesirvencomoherramientasqueayudanamitigar los riesgos que se presentan en las actividades comerciales desarrolladas a través demedioselectrónicos.El presente manual tiene como fuentes principales, las leyes, regulaciones y pautas que sepresentanacontinuación:PAUTASPARALOSOPERADORESDEPASARELASDEPAGOPautasparaelfacilitadordepagosporETA(AsociacióndeTransaccionesElectrónicas)El propósito de estas pautas es desarrollar y entregar recomendaciones de efectividadherramientasparafacilitadoresdepagosnuevosyexistentesqueayudenamitigarelriesgoquetienenloscomerciantesyfacilitadoresdepago.


Establecequelosfacilitadoresdepagodebenseguircomomínimolasreglasestablecidaspor los esquemas de tarjetas, las leyes y regulaciones aplicables y los requisitos de losbancosadquirentes.Eldocumentoproporcionaherramientasefectivasparalasuscripción,monitoreoderiesgosylaadministraciónfinancieraasociadaconlafuncióndecustodiadelaliquidacióndefondosalossubmercados.http://www.electran.org/wp-content/uploads/ETA-2016-PaymentFacilitator-Guidelines.pdfEsquemasconTarjetasVisa-ReglasdeVisaCoreydeproductosyserviciosdeVisahttps://usa.visa.com/dam/VCOM/download/about-visa/15-April-2015-Visa-Rules-Public.pdf MasterCardReglas

EstemanualcontienelasReglasparalasmarcasMasterCard,MaestroyCirrus.LasReglasserelacionanconlaActividadrealizadadeconformidadconunaLicenciaqueMasterCardotorgaaunClienteparaelusodeunaomásdeestasmarcasy/opararealizarunaActividaddigital.https://www.mastercard.us/en-us/about-mastercard/what-we-do/rules.htmlAmericanExpressGuía de referencia para los comerciantes de American Express. Describe las políticas yprocedimientosestándardeAmericanExpressquerecaensobrelosfacilitadoresdepagoscomolaspasarelasysobreloscomerciantesengeneral.https://merchant-channel.americanexpress.com/merchant/en_US/merchant-regulationsNormasdeseguridaddedatosdelaindustriadetarjetasdepago(PCIDSS)Estasnormassedesarrollaronparafomentarymejorarlaseguridaddelosdatosdeltitularde la tarjetay facilitar laadopcióndemedidasde seguridaduniformesanivelmundial.Proporcionan una referencia de requisitos técnicos y operativos desarrollados paraprotegerlosdatosdelostitularesdetarjetas.Seaplicanatodaslasentidadesqueparticipanen el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes,procesadores,adquirientes,entidadesemisorasyproveedoresdeservicios,comotambiéntodaslasdemásentidadesquealmacenan,procesanotransmitenCHD(datosdeltitulardelatarjeta)


https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dssDepartamentodetesoreríadeEstadosUnidosLeysecretabancaria(BSA)/LeyesAnti-lavadodedinero(AML)Prescriberegulaciones,llevaacaboactividadesdesupervisióny,cuandoesnecesario,tomamedidascoercitivasparagarantizarquelosbancosnacionales,lasasociacionesdeahorrofederales,sucursalesfederalesy lasagenciasdebancosextranjerostengan loscontrolesnecesarios y proporcionen los avisos oportunos a las fuerzas del orden para disuadir ydetectarellavadodedinero,elfinanciamientodelterrorismoyotrosactosdelictivosyelusoindebidodelasinstitucionesfinancierasdenuestranación.https://www.ffiec.gov/bsa_aml_infobase/documents/bsa_aml_man_2010.pdfLeyesyreglamentosdelaoficinadeprotecciónfinancieradelconsumidor(CFBP)Actosoprácticasdesleales,engañosasoabusivas(UDAAP,porsussiglaseninglés)Reglamentoqueestablecelosactosyprácticasinjustas,engañosasoabusivasquepuedengenerar daños significativos a los consumidores. Establece, además las prácticas queayudan a detectar y la evaluar los riesgos para los consumidores y los mercados deproductosyserviciosfinancierosparaelconsumidor.http://www.dfi.wa.gov/documents/credit-unions/compliance-manual/udaap-overview.pdfComisiónFederaldeComercio(FederalTradeComission)LaLeydelaComisiónFederaldeComercioylaOficinadeProtecciónalConsumidordela(FTC)LaLeydelaComisiónFederaldeComercioeselestatutoprincipaldelacomisión,envirtuddeestaLey(ensuversiónmodificada)laComisiónestáfacultada,para:a) Prevenir losmétodos desleales de competencia y los actos o prácticas desleales o

engañososenelcomerciooqueafectenalcomercio;

b) Buscarreparaciónmonetariayotrassolucionesporlasconductasperjudicialesparalosconsumidores;


c) Prescribirreglasquedefinanconactosoprácticasdeespecificidadqueseaninjustasoengañosas, y que establezcan requisitos diseñados para prevenir dichos actos oprácticas.

d) Recopilarinformaciónyrealizarinvestigacionesrelacionadasconlaorganización,losnegocios,lasprácticasylagestióndelasentidadesdedicadasalcomercio

e) HacerinformesyrecomendacioneslegislativasalCongresoyalpúblico.UnaseriedeotrosestatutosenumeradosaquíseaplicansegúnlaLeydelaFTC.

https://www.ftc.gov/enforcement/statutes/federal-trade-commission-acthttps://www.ftc.gov/about-ftc/bureaus-offices/bureau-consumer-protectionLeyFTCdeinformacióncrediticiajusta(FCRA)El objetivo principal de este documento es exigir a las agencias de informes deconsumidores, que adopten medidas y procedimientos razonables para satisfacer lasnecesidadesdelcomercioelectrónico,demaneraquelainformaciónparaelconsumidorsea justa y equitativa, con respecto a la confidencialidad, exactitud, relevancia y usoapropiadodedichainformaciónenlasactividadesdecomercioelectrónico.Contiene los requisitos que se deben cumplir con relación a la información que estácontenidaenlosreportesdeconsumidores,laidentificaciónyprevencióndelfraudeylasactividadesdedebidadiligenciafrentealfraude.https://www.consumer.ftc.gov/articles/pdf-0111-fair-credit-reporting-act.pdf

PautasFTCdedivulgaciónDot.ComEsta guía de orientación describe la información que las empresas deben considerar amedida que desarrollan su actividad en medios electrónicos en línea, que garanticenprincipalmente la protección al consumidor. Está dirigida, a la orientación de prácticasrelacionadasconlapublicidadenlíneaylainformaciónengañosa.https://www.ftc.gov/sites/default/files/attachments/press-releases/ftc-staff-revises-online-advertising-disclosure-guidelines/130312dotcomdisclosures.pdfPautasdelaFTCparaelmarketingdeopcionesnegativasenlíneaEstablececómosedebedesarrollar,implementaryadministrarunprogramadeprevenciónderobodeidentidad.


Determina laspolíticasyprocedimientosrazonablespara identificar las“banderasrojas”(redflags)derobodeidentidadquesepuedenpresentarenoperacionesrealizadasenelcomercioelectrónico.https://www.ftc.gov/sites/default/files/documents/reports/negative-options-federal-tradecommission-workshop-analyzing-negative-option-marketing-reportstaff/p064202negativeoptionreport.pdfhttps://www.ftc.gov/news-events/press-releases/2014/07/ftc-will-keep-negative-option-ruleits-current-formLafranquiciadelaFTCylaregladeoportunidadesdenegociosTienecomofinalidadprincipal,establecerlasReglasdeoportunidaddenegocios,segúnlacual, losvendedoresdebenbrindara losposiblesclientestoda la informaciónespecíficaquelosayudeaevaluarlaofertacomercial,asegurandoquedichainformaciónlesgaranticeevaluarlosriesgosdecompra.https://www.ftc.gov/sites/default/files/documents/federal_register_notices/business-opportunity-rule-16-cfr-part437/080326businessopportunityrule20.pdfRedFlagsRule

Exige que muchas empresas y organizaciones implementen un programa escrito deprevención de robo de identidad diseñado para detectar las señales de advertencia (obanderasrojas)derobodeidentidadensusoperacionescotidianas.Dichaguíabrindaciertaflexibilidadparaeldiseñodeunprogramaapropiado,teniendoencuentalaentidad,eltamañoylospotencialesriesgosquepuedesufrir.https://www.ftc.gov/tips-advice/business-center/privacy-and-security/red-flags-ruleTheRestoreOnlineShopper’sConfidenceAct

EstaLeyprohíbequeposterioralarealizacióndeunatransacción,cualquiervendedorlecarguea cualquier cuenta financieraunvaloradicionalpor la transacciónen Internet,amenos que el monto adicional haya sido revelado claramente en los términos de latransacciónysehayaobtenidoelconsentimientoinformadoexpresodelconsumidorparaelcargo.Elvendedordebeobtenerelnúmerodelacuentaqueselecobrarádirectamentealconsumidor.https://www.ftc.gov/news-events/press-releases/2014/09/ftc-issues-final-amendments-mail-ortelephone-order-merchandisehttps://www.ftc.gov/


Oficinadelcontralordelamoneda(OCC)Asesoramientoenelprocesamientocomercialhttps://transition.fcc.gov/cgb/policy/TCPA-Rules.pdfGuíadegestiónderiesgos

Contiene información que orienta a los bancos nacionales para la diligencia debida, lasuscripciónyelmonitoreodelasentidadesqueprocesanlospagosparalostelemercaderesy otros clientes comerciales. Como se detalla en varias emisiones de OCC, ciertoscomerciantes, como los telemercaderes, representan un riesgo mayor que otroscomerciantes y requieren una debida diligencia adicional y unmonitoreo cercano. Esteboletíncomplementa,peronoreemplaza,laguíaexistenterelacionadaconlagestiónderiesgos de la Cámara de Compensación Automatizada (ACH), el procesamiento decomerciantesyloschequescreadosremotamente(RCC).http://www.occ.treas.gov/publications/publications-by-type/comptrollers-handbook/pub-chmerchant-processing.pdfGuíadegestióndelriesgoenlarelaciónconterceros

Es una guía dirigida a los bancos en donde establecen las practicas que deberían seradoptadaspor estos, en relación al nivel de riesgo y complejidadde sus relaciones conterceros, que lo ayuden a garantizar prácticas de gestión de riesgos que evalúen,monitoreenyadministrenlosmismos.http://www.occ.treas.gov/news-issuances/bulletins/2015/bulletin-2015-48.htmlhttp://www.occ.gov/news-issuances/bulletins/2013/bulletin-2013-29.htmlCorporaciónFederaldeSegurosdeDepósitos(FDIC,porsussiglaseninglés)Guíasobrelasrelacionesdelprocesadordepagos,manualdeevaluacióndegestiónderiesgos para actividades con tarjeta de crédito, enfoque de supervisión para elprocesamientodepagos,relaciónconclientescomercialesqueparticipanenactividadesdemayorriesgoDocumentodirigidoalosoperadoresdepasarelasdepago,dondeestablecenlosriesgosasociados con el proceso mercantil electrónico que realizan, los riesgos de crédito, detransacción,deliquidación,deconformidad,dereputación.Establecelosparámetrosdeadministraciónquedebenseradoptados.https://www.fdic.gov/news/news/financial/2008/fil08127a.html


https://www.fdic.gov/regulations/examinations/credit_card/https://www.fdic.gov/news/news/financial/2013/fil13043.html

a) Seguridadrespectoalrecursohumano

• AntesdecelebrarunAcuerdocomercial,elFacilitadordepagosdebeasegurarsedequeelposibleComercianteseatodolosiguiente:1. Financieramenteresponsable.

2. Noparticipaenningunaactividadquepuedadañarel sistemao lamarcaa laque

pertenece.

3. Estéoperandodentrodeunajurisdicciónpermitida.

DeacuerdoconlasNormasdeSeguridaddedatosdelaPCI,lasorganizacionestambiéndebenconsiderarlaopcióndesepararlastareasdelasfuncionesdeseguridad,demodoque las funciones de seguridad y auditorías sean independientes de las funcionesoperativas.Enentornosenlosqueunapersonadesempeñavariasfunciones(porejemplo,operacionesdeadministraciónyseguridad),lastareassedebenasignardemaneratalqueninguna persona tenga control completo de un proceso sin un punto de verificaciónindependiente.Porejemplo,lastareasdeconfiguraciónydeaprobacióndecambiossepuedenasignaradospersonasdistintas.

b) Políticasyestándaresenprocesosyprocedimientos

• LaspautasFTCdedivulgaciónDot.Com.Estaguíadeorientacióndescribelainformaciónque las empresas deben considerar amedida que desarrollan su actividad enmedioselectrónicos en línea, para garantizarla protección al consumidor principalmente. Estádirigida, a la orientación sobre prácticas relacionadas con la publicidad en línea y lainformaciónengañosa.

• UnFacilitadordePagosdebeasegurarsedequetienetodoslosderechosnecesarios,sigue

lasleyesoregulacionesaplicables,políticasdeprivacidadoacuerdosparaproporcionarinformacióndeloscomerciantesalapasarela.

• Un facilitador de pagos debe tener un contrato comercial con cada uno de suscomerciantespatrocinados.ElContratocomercialdebetenerencuentalosiguiente:


1. CumplirconsusobligacionesenvirtuddelContratodecomercialde

2. conformidadconlasleyesaplicablesoregulaciones.

3. CumplirlasReglas respectoalusode lasmarcasdepropiedad,aceptación, riesgoadministración,procesamientodetransaccionesycualquierproducto,programaoservicioenelqueelcomerciantedecidaparticipar.

4. NoenviarningunaTransacciónqueseailegaloqueelComerciantedebesaberqueesilegal.

• El facilitadordepagosnodebedepositaruna transacciónhastaqueocurraunade lassiguientessituaciones:1. Latransacciónestácompleta.

2. Losbienesoserviciosseenvíanoseproporcionan,excepto:

a) Sieltitulardelatarjetahaaceptadounatransaccióndeentregadiferidaouna

transaccióndedepósitodiferido.

3. Cuandoseobtieneelconsentimientodeltitulardelatarjetaparalarealizacióndelatransacción.

• ElServiciodelProgramaFacilitadordePagoqueseutiliza,permite:

1. EnviaralAdquiriente registrosde transaccionesválidasenviadasalFacilitadorde

pagosporunComerciante.

2. LosSubmercadosdepagooportunoparalastransaccionesenviadasalFacilitadordePagosporelsubmercado.

3. Suministrar a los submercados todos losmateriales necesarios para efectuar lastransaccionesatravésdelfacilitadordepagos.

4. VerificarqueunSubmercadoseaunaoperacióncomercialdebuena fe, comoseestablece en la sección 7.1.2, "Procedimientos de detección sumergibles" en elCapítulo7delManualdeReglasyProcedimientosdeSeguridad.

5. Mantenernombres,direccionesyURL,sicorresponde,delosSubmercados.


6. MonitorearlaactividadyelusodelasmarcasdecadaSubmercadoalosefectosde

disuadiractividadesfraudulentasyotrasactividadesilícitas.

• Unfacilitadordepagosdebecumplirtodaslassiguientesobligacionesconrespectoacadaunodesussubmercados:

1. Presentartransaccionesválidas.ElfacilitadordepagosdebeenviarasuAdquiriente

losregistrosdelastransaccionesválidasenviadasporunsubmercado,involucrandoalTitulardeTarjetadebuenafe.

2. ElfacilitadordepagosnodebeenviarasuAdquirientecualquierTransacciónqueelFacilitadordePagosoelSubmercadoconozcaodeberíahabersidofraudulentaonoautorizadaporeltitulardelatarjeta,oquesabeodeberíahabersabidoqueestabaautorizadoporelTitulardeTarjeta.

3. ElfacilitadordepagosdebeasegurarsedequecadaunodesussubmercadoscumpleconelEstándaraplicablealoscomerciantes.

c) Seguridaddelainformación

• PautasdelaFTCparaelmarketingdeopcionesnegativasenlínea.Indicacomosedebedesarrollar,implementaryadministrarunprogramadeprevenciónderobodeidentidad.Así mismo, determina las políticas y procedimientos razonables para identificar las“banderasrojas”(redflags)derobodeidentidadquesepuedenpresentarenoperacionesrealizadasenelcomercioelectrónico.

De acuerdo con esta guía, el facilitador debe contar con un programa diseñado paradetectar las “señales rojas”, que, además pueda establecer las acciones apropiadas aimplementarenelcasodeidentificarlas.Dichoprogramadebeencontrarseactualizadoparaquepuedareflejarnuevasamenazas.

• ElFacilitadordePagosdebemantenerunarchivocompletoybiendocumentadoconlos

registrosdelcomerciante,incluidalainformaciónrelacionadainvestigacionesdurantealmenos2añosunaterminadoelAcuerdocomercial.

• Elfacilitadordepagosdebemantener,deformacontinua,losnombres,direccionesyURL

sicorresponde,decadaunodesussumergidores.• Sielnombredeltitulardelatarjeta,elcódigodeservicioolafechadevencimientose

almacenan, procesan o transmiten con el PAN (número de cuenta principal) o se


encuentranpresentesdealgúnotromodoenelentornodedatosdeltitulardelatarjeta,sedebenprotegerdeconformidadconlosrequisitosdelasPCIDSS.

• LosrequisitosdeseguridaddelasPCIDSSseaplicanatodosloscomponentesdelsistemaincluidosenelentornodedatosdeltitulardelatarjetaoconectadosaeste.Eltérmino“componentes del sistema” incluye dispositivos de red, servidores, dispositivosinformáticosyaplicaciones.Loscomponentesdelsistemaincluyen:1. Sistemas que ofrecen servicios de seguridad (por ejemplo, servidores de

autenticación),quefacilitanlasegmentación(porejemplo,firewallsinternos)oquepueden afectar la seguridad del CDE (por ejemplo, servidores de resolución denombresodere-direccionamientoweb).

2. Componentes de virtualización, como máquinas virtuales, interruptores/routersvirtuales,dispositivosvirtuales,aplicaciones/escritoriosvirtualesehipervisores.

3. Los componentes de red incluyen, a modo de ejemplo, firewalls, interruptores,routers,puntosdeaccesoinalámbricos,aplicacionesderedyotrasaplicacionesdeseguridad.

4. Lostiposdeservidoresincluyen,amododeejemplo:web,aplicación,basesdedatos,autenticación,correoelectrónico,proxy,NTP(protocolodetiempodered)yDNS(servidordenombrededominio).

5. Aplicaciones (incluye las compradas y personalizadas, incluso las aplicacionesinternasyexternas,porejemplo,Internet).

6. CualquierotrocomponenteodispositivoubicadoenelCDEoconectadoaeste.

• Los operadores deben realizar una evaluación anual en el sitio. La validación decumplimientosedeberealizarentodosloscomponentesdelsistemadelentornodedatosdeltitulardelatarjeta.

• Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas de

intrusión-detecciónodeintrusión-prevención),FIM(monitorizacióndela integridaddearchivos),antivirus,controlesdeacceso,etc.,paraasegurarquefuncionancorrectamenteysegúnloprevisto.

• Garantizar ladeteccióndetodaslasfallasenloscontrolesdeseguridadysolucionarlas

oportunamente.Losprocesospararesponderencasodefallasenelcontroldeseguridadsonlossiguientes:


1. Restaurarelcontroldeseguridad.

2. Identificarlacausadelafalla.

3. Identificaryabordarcualquierproblemadeseguridadquesurjadurantelafalladel

controldeseguridad.

4. Implementarlamitigación(comoprocesosocontrolestécnicos)paraevitarquelacausareaparezca.

5. Reanudarlamonitorizacióndelcontroldeseguridad,quizásconunamonitorizaciónmejoradaduranteuntiempoafindeverificarqueelcontrolfuncionecorrectamente.

• Sedebenrealizarrevisionesycomunicadosperiódicosparaconfirmarquelosrequisitosde lasPCIDSSsesiguenimplementandoyqueelpersonalcumpleconlosprocesosdeseguridad.Estasrevisionesperiódicasdebenabarcartodaslasinstalacionesyubicaciones,enlasqueseincluyentiendasminoristas,centrosdedatos,etc.,eincluirlarevisióndeloscomponentesdelsistema(omuestrasdeloscomponentesdelsistema)afindeverificarquesiguenimplementadoslosrequisitosdelasPCIDSS.

• Todoslossistemasdebenestarprotegidoscontraelaccesonoautorizadodesderedesnoconfiables,yaseaporingresosalsistemaatravésdeInternetcomocomercioelectrónico,delaccesoaInternetdesdelascomputadorasdemesadelosempleados,delaccesoalcorreoelectrónicode losempleados,deconexionesdedicadascomoconexionesentrenegociosmedianteredesinalámbricasoatravésdeotrasfuentes.

d) Capacitaciónyconcientización

1. Localización y personalización del software de puerta de enlace de pago(desarrollado/codificadointernamente,compradeunasoluciónalojada,licenciadeunproductoprefabricadoocompraysolucióndecódigoabierto).

2. Capacitaciónparalaplanificación,adquisiciónyentregadeunproyectooprograma

complejoconsudebidagobernanza,riesgoygestióndelaspartesinteresadas.

3. Capacitación que le permita lograr una comprensión del proceso de garantía deGateway.


4. Apoyareldesarrolloyelmantenimientodelosprogramasdecapacitación,asícomomanteneruncontantemonitoreodelosmétodosdecapacitación.

5. Coordinaciónconlosdepartamentosdelaorganizaciónencuantoalacapacitaciónen productos, servicios y otros temas. Los facilitadores de capacitación debenasegurarsedequelosprogramasdecapacitaciónseejecutendemaneraadecuadaypuntual,ydeproporcionaractualizacionesa losgerentessobreelprogresodelosprogramas.

6. Monitorear,evaluaryregistrarlasactividadesdecapacitaciónylaefectividaddelasactividadesrealizadasporlosoperadoresdelapasarela.

7. Obtener, organizar y desarrollarmanuales de capacitación ymateriales del cursotalescomofolletosymaterialesvisuales.

8. Identificar,seleccionarycrearcursos,reuniones,talleresyseminariosparasatisfacerlasnecesidadesdecapacitación.


e) Seguridadfísica

1. Losoperadorespuedenutilizarunproveedordeserviciosexternoparaalmacenar,procesarotransmitirdatosdeltitulardelatarjetaensunombre,oparaadministrarcomponentes como routers, firewalls, bases de datos, seguridad física y/oservidores.Enesecaso,laseguridaddelentornodelosdatosdeltitulardelatarjetapodríaverseafectada.

2. ElFacilitadordePagosdebeexigirel cumplimientoPCIDSSasusproveedoresdeservicio.

f) Continuidaddelnegocio

1. UnFacilitadordepagospuedeaceptartransaccionessolodeunaentidadconlaquetengaunacuerdodecomercianteválido.

2. Unfacilitadordepagospuededepositarunatransacciónentreuntitulardetarjetayuncomerciantepatrocinadodel facilitadordepagos,peronodebedepositarunatransacciónennombredeotrofacilitadordepagos.

3. UnfacilitadordepagosdebepagaroacreditarlacuentadesuvendedorpatrocinadoinmediatamentedespuésdelDepósitoderecibodetransacción.Estospagosdebenserlosmismosquelostotalesdelatransacción,menoscualquierdescuentoaplicabledelrecibodetransaccióndecrédito.

4. ElFacilitadordepagospuede,asucriterioobajoladireccióndesuAdquirienteolaCorporación,rescindirinmediatamenteelacuerdodecomerciantesubordinadoporactividadesconsideradasfraudulentasoincorrectasporelFacilitadordepagos,suAdquirienteolaCorporación.

5. LaCorporacióntieneelderechodehacercumplircualquierdisposicióndelasNormasy de prohibir al Facilitador de Pagos participar en cualquier conducta que laCorporación considere que podría dañar o crear un riesgo de lesión para laCorporación,incluyendodañosalareputación,oquepodríaafectarnegativamentela integridad del Sistema de Intercambio, la Información Confidencial de laCorporación.

g) Valoracióndelosriesgos


1. Riesgodelcliente.Lagerenciadebetenerunconocimientoprofundodelosriesgosde lavado de dinero o financiamiento del terrorismo de la base de clientes. Eloperador debe obtener información en la apertura de cuenta suficiente paradesarrollar una comprensión de la normalidad y actividad esperada para laocupación del cliente o las operaciones comerciales. Esta comprensión puedebasarseeneltipodecuentaolaclasificacióndelcliente.

2. Evaluarlaidoneidadyexhaustividaddelaspolíticas,procedimientosyprocesosdedebidadiligenciadelcliente(DDC)deloperadorparaobtenerinformacióndelclienteyevaluarelvalordeestainformaciónenladetección,elmonitoreoyladenunciadeactividadessospechosas.

3. Revisar los procedimientos y procesos de diligencia debida mejorados que eloperadorutilizaparaidentificarclientesquepuedanpresentarunmayorriesgodelavadodedineroofinanciaciónterrorista.

4. LosprocesosadecuadosdemonitoreoeinformesonesencialesparagarantizarqueeloperadortengaunprogramadecumplimientodeBSAadecuadoyefectivo.

5. Losoperadoresdebenimplementarlacapacitación,laspolíticasylosprocedimientosadecuadosparagarantizarqueelpersonalseadhieraalosprocesosinternosparaidentificaryderivaractividadespotencialmentesospechosas.Losoperadoresdebenconocer todos los métodos de identificación y deben asegurarse de monitorearcualquieractividadsospechosa.

6. Los operadores deben establecer políticas, procedimientos y procesos paraidentificar sujetos de derecho de solicitudes de cumplimiento, monitoreando laactividad de transacción de esos sujetos cuando sea apropiado, identificandoactividadinusualopotencialmentesospechosarelacionadaconaquellossujetos.

7. Serequierequelosoperadoresestablezcanunprogramadediligenciadebidaqueincluyapolíticasapropiadas,específicas,basadasenriesgosy,cuandoseanecesario,políticasmejoradas, procedimientos, y controles razonablemente diseñados parapermitirqueeloperadordetecteeinforme,deformacontinua,cualquieractividadconocida o presunta de lavado de dinero realizada a través de o involucrandocualquiercuentacorresponsalestablecida.


h) Idoneidad

• Antes de contratar a un comerciante prospectivo o comerciante patrocinado, unfacilitadordepagosdebellevaracabounarevisióndedebidadiligencia,adecuadaparagarantizarelcumplimientodelaobligacióndelAdquirienteparaelenvíoúnicamentedetransaccioneslegales.

• ContenidorequeridodelAcuerdodelFacilitadordePagos:ElAdquirentedebeincluirtodolosiguienteenunAcuerdo:1. QueelFacilitadordePagosysusComerciantesPatrocinadoscumplanconlasReglas

impuestas.

2. ElcontratodebecontenerelAcuerdodecomerciante,laaceptacióndelatarjetayelpago,ytodoslosrequisitosaplicablesdelsitioweb,especificadoenlasReglas.

3. Elfacilitadordepagosdebefirmaruncontratoconcadacomerciantepatrocinado;

4. El derecho del adquirente de rescindir inmediatamente a un comerciantepatrocinadooelfacilitadordepagosporcausajustificadaoactividadfraudulentaodeotraíndole;

5. Declaracionesqueespecificanqueelfacilitadordepagos:

a) Esresponsabledetodoslosactos,omisiones,disputasdeltitulardelatarjetayotrosserviciosrelacionadosconelclientedeltitulardelatarjetaydelosproblemascausadosporloscomerciantespatrocinadosporelfacilitadordepagos.

b) Esresponsableyfinancieramenteresponsabledecadatransacciónprocesadaennombredelpatrocinadorocomerciante,oparacualquiertransacciónocréditoendisputa.

c) No debe transferir o intentar transferir su responsabilidad financierasolicitandoosolicitandoalostitularesdelatarjetarenunciarasusderechosdedisputa.

d) No debe permitir que un Comerciante Patrocinado transfiera o intentetransferir su responsabilidad financiera al solicitar o exigir a losTarjetahabientesquerenuncienasusderechosdedisputa.


e) Nodebedepositartransaccionesennombredeotrofacilitadordepagos.

f) NodebecontrataraunComerciantePatrocinadocuyocontratoserescindió

enladireccióndeunaagenciagubernamental.

g) Nodebedepositartransaccionesdecomerciantespatrocinadosfueradelajurisdiccióndeladquirente.

h) Debeproporcionarlosnombresdelosprincipalespatrocinadoresysupaísdedomicilio.

i) Debe asegurarse de que sus comerciantes patrocinados cumplan con el

estándardeseguridad (PCIDSS)yelestándardeseguridaddedatosde laaplicación de pago (PA-DSS), este último, en caso de que el facilitador depagos adquiera aplicaciones que procesen, transmitan o almaceneninformación de la tarjeta que participe en procesos de autorización ocompensación.

• Un Facilitador de pagos que tenga un contrato con un Adquiriente para proporcionarservicios relacionados con el pago a un Comerciante patrocinado se considerará unComerciante.

• Si un Adquirente tiene un contrato con un Facilitador de pagos, debe cumplir con lo

siguiente:1. Tenerbuenareputaciónentodoslosprogramasdegestiónderiesgo.

2. Serfinancieramentesólido.

3. Cumplirconunrequisitodecapitalmínimo.

• Unfacilitadordepagosquemuestraunamarcadepropiedaddeunfacilitadordepagoen

su sitioweb,nodebeaceptar tarjetaspara la compraoel intercambiode fotografías,imágenes de video, computadoras. Generando imágenes, caricaturas, simulación ocualquier otro medio o actividad. La violación de este requisito puede resultar en laterminacióndelcontratodelcomerciante,facilitadordepagos.

• UnFacilitadordePagosnopuedeserunSubmercadodeotroFacilitadordePagos,niun

FacilitadordePagospuedeserunFacilitadordePagosparaotroFacilitadordePagos.Un


facilitadordepagosnopuedeserun facilitadordepagosparaunabilleteradigitalporetapas.

• UnFacilitadordePagospuedecelebrarunAcuerdodeSubmercadoconunSubmercadoconelpropósitodefacilitarlaadquisiciónporpartedelAdquirientedeTransaccionesdelSubmercado. El Acuerdo de Submercado debe cumplir con las Normas relativas a losAcuerdosComerciales,ydebeserclaroenidentificaraladquiriente,revelarlainformacióndecontactodeladquiriente,reflejarqueelfacilitadordepagosestácelebrandoelacuerdodecomercializacióncomoagentedelAdquiriente.

• La Pasarela de pago puede reservarse el derecho de determinar si una entidad es unFacilitadordepagosounComercianteypuedeusarcriteriosadicionalesque incluyen,entreotros,elnombredelaentidadqueapareceenelRecibodeTransacciónylaentidadque:poseeotomaposesióndelosbienesoservicios,reservalaventacomouningresooproporcionaservicioalclienteymanejadevoluciones.

Documents

Manual Buenas Practicas Pasarelas - Inicio€¦ · y la Cámara Colombiana de Comercio Electrónico (CCCE), con el apoyo administrativo de la Red Nacional Académica de Tecnología