Archivos de la etiqueta: Resolución SBS Perú

03Mar/21

Resolución SBS nº 6523-2013, de 30 de octubre de 2013

Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS nº 6523-2013, de 30 de octubre de 2013. (Modificado por artículo séptimo de la Resolución SBS nº 504-2021 de 19 de febrero de 2021)

Lima, 30 de octubre de 2013

Resolución S.B.S. nº 6523 -2013

El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

CONSIDERANDO:

Que, el numeral 34 del artículo 221° de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley n° 26702 y sus normas modificatorias, en adelante Ley General, faculta a las empresas del sistema financiero a expedir y administrar tarjetas de crédito y débito, de acuerdo con lo dispuesto en el Capítulo I del Título III de la Sección Segunda de la Ley General;

Que, el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS n° 264-2008 y sus normas modificatorias, establece normas referidas a las condiciones contractuales, remisión de información y medidas de seguridad aplicables, con especial énfasis en la verificación de la identidad del titular o usuario y el establecimiento de límites de responsabilidad en el uso fraudulento de dichas tarjetas;

Que, las tarjetas de crédito y débito constituyen un medio de pago, sustituto del dinero en efectivo, lo que ha estimulado la intensificación de su uso, razón por la cual resulta necesario aprobar disposiciones que refuercen las medidas establecidas, con respecto a la expedición y administración de tarjetas de crédito y establecer medidas similares para el caso de tarjetas de débito;

 Que, asimismo, resulta necesario adecuar y emitir disposiciones sobre tarjetas de crédito y débito, de acuerdo con lo dispuesto por el Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero aprobado por la Resolución SBS n° 8181-2012 y sus normas modificatorias;

Que, a efectos de recoger las opiniones de los usuarios y del público en general respecto de las propuestas de modificación a la normativa del sistema financiero, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Riesgos y de Asesoría Jurídica, así como de la Gerencia de Productos y Servicios al Usuario; y,

En uso de las atribuciones conferidas por los numerales 7, 9 y 19 del artículo 349º de la Ley General;

RESUELVE:

Artículo Primero

Aprobar el Reglamento de Tarjetas de Crédito y Débito, según se indica a continuación:

“REGLAMENTO DE TARJETAS DE CRÉDITO Y DÉBITO

CAPÍTULO I.- ASPECTOS GENERALES

Artículo 1°.- Alcance

El presente Reglamento es aplicable a las empresas de operaciones múltiples, a que se refiere el literal A del artículo 16º de la Ley General, autorizadas a expedir y administrar tarjetas de crédito y débito, en adelante empresas.

Artículo 2°.- Definiciones

Para efectos de lo dispuesto en el presente Reglamento, se considerarán las siguientes definiciones:

1. Cajero automático: conforme a la definición del Reglamento de Apertura, Conversión, Traslado o Cierre de Oficinas, Uso de Locales Compartidos, Cajeros Automáticos y Cajeros Corresponsales, aprobado por la Resolución SBS n° 6285-2013 y sus normas modificatorias.

2. Canal: cualquier medio físico o virtual al que accede el usuario para efectuar operaciones monetarias (banca por internet, cajeros automáticos, terminales de punto de venta, entre otros).

3. Circular de pago mínimo: Circular que establece las disposiciones referidas a la metodología del cálculo del pago mínimo en líneas de crédito de tarjetas de crédito y otras modalidades revolventes para créditos a pequeñas empresas, microempresas y de consumo, Circular n° B- 2206-2012, F- 546-2012, CM-394-2012, CR-262-2012, EDPYME-142-2012.

4. Código: Código de Protección y Defensa del Consumidor, aprobado por la Ley n° 29571 y sus normas modificatorias.

5. Comportamiento habitual de consumo del usuario: se refiere al tipo de operaciones que usualmente realiza cada usuario con sus tarjetas, considerando diversos factores, como por ejemplo el país de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la información histórica de las operaciones de cada usuario que registra la empresa.

6. Contrato: documento que contiene todos los derechos y obligaciones que corresponden al titular y a las empresas, incluyendo los anexos que establecen estipulaciones específicas propias de la operación financiera que es objeto del pacto, y que ha sido debidamente celebrado por las partes intervinientes.

7. Días: días calendario.

8. EMV: estándar de interoperabilidad de tarjetas Europay, Mastercard y Visa.

9. Factor de autenticación: conforme a la definición señalada en la Circular G-140-2009, referida a la gestión de la seguridad de la información.

10. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley n° 26702 y sus normas modificatorias.

11. Micropago: operaciones por montos poco significativos determinados por la empresa, en las que no se requiere la clave secreta u otro medio de autenticación por parte de los usuarios al momento de efectuar el consumo u operación.

12. Negocios afiliados: empresas o personas que aceptan tarjetas de crédito o débito como medio de pago por los productos y/o servicios que ofrecen.

13. Reglamento: Reglamento de Tarjetas de Crédito y Débito.

14. Reglamento de Transparencia: Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS N° 8181-2012 y sus normas modificatorias.

15. Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

16. Tarjeta: tarjeta de crédito y/o débito, según corresponda, que puede permitir la realización de retiros y/u otras operaciones a través de los canales ofrecidos por la empresa emisora, así como ser utilizado como medio de pago de bienes o servicios en la red de negocios afiliados.

17. Terminales de punto de venta: dispositivos de acceso tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por negocios afiliados o usuarios para efectuar operaciones con tarjetas.

18. Titular: persona natural o jurídica a la que, como consecuencia de la celebración de un contrato con las empresas, se le entrega una tarjeta.

19. Usuario: persona natural que se encuentra autorizada para utilizar la tarjeta.

20. Deuda en cuotas: conforme a la definición de la Circular de Pago Mínimo. (1)

21. Deuda revolvente: conforme a la definición de la Circular de Pago Mínimo. (1)

22. Fecha de corte: fecha en la que se cierra un periodo de facturación. En la fecha de corte se determina la totalidad de la deuda revolvente registrada a dicha fecha, la suma de las cuotas que corresponde pagar en el período, las comisiones, los gastos, el interés compensatorio generado por la deuda revolvente en el periodo de facturación y el interés moratorio o penalidad aplicable en caso de incumplimiento del pago dentro del plazo establecido en el estado de cuenta del periodo de facturación anterior. (1)

Artículo 3°.- Tarjeta de crédito

La tarjeta de crédito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a una línea de crédito revolvente, otorgada por la empresa emisora a favor del titular. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones o, de así permitirlo la empresa emisora y no mediar renuncia expresa por parte del titular, hacer uso del servicio de disposición de efectivo u otros servicios asociados, dentro de los límites y condiciones pactados; obligándose a su vez, a pagar el importe de los bienes y servicios adquiridos, obligaciones pagadas, y demás cargos, conforme a lo establecido en el respectivo contrato.

Artículo 4°.- Tarjeta de débito

La tarjeta de débito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a depósitos previamente constituidos. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones, efectuar el retiro de los depósitos realizados a través de los canales puestos a disposición por la empresa emisora u otros servicios asociados, dentro de los límites y condiciones pactados, debitándose los montos correspondientes de sus depósitos.

CAPÍTULO II.- DISPOSICIONES GENERALES APLICABLES A LAS TARJETAS DE CRÉDITO

Artículo 5°.- Contenido mínimo del contrato

El contrato de tarjeta de crédito deberá contener, como mínimo, la siguiente información:

1. Las condiciones aplicables para la reducción o aumento de la línea de crédito y los mecanismos aplicables para requerir el consentimiento previo del usuario en caso se busque realizar un aumento de la línea conforme lo dispone el artículo 30° del Reglamento de Transparencia, cuando corresponda.

2. Forma y medios de pago permitidos.

3. Procedimientos y responsabilidades de las partes en caso de extravío de la tarjeta de crédito o de la sustracción, robo o hurto de esta o la información que contiene.

4. Casos en los que procede el bloqueo o anulación de la tarjeta de crédito y la resolución del contrato.

5. Condiciones aplicables a la renovación del contrato, de ser el caso.

6. Periodicidad con la que se pondrá a disposición o entregará los estados de cuenta.

7. A nombre de quién se emitirán los estados de cuenta, titular o usuario, de ser el caso.

8. Condiciones de emisión y remisión o puesta a disposición, según corresponda, del estado de cuenta en forma física o electrónica y plazo de aceptación del estado de cuenta.

9. El orden de imputación aplicable para el pago de la línea de crédito debe ser claro y, en el caso de contratos celebrados con usuarios bajo la protección del Código, no puede conllevar un agravamiento desproporcionado del monto adeudado para el titular. (2)

Para tal efecto, la aplicación del pago debe considerar lo siguiente:

9.1 Primero debe aplicarse a cubrir el pago mínimo, considerando los componentes de dicho concepto previstos en la Circular de Pago Mínimo.

9.2 El pago por montos inferiores al pago mínimo se aplica en la forma en la que lo determinen las empresas conforme lo dispone el artículo 87 del Código. Respecto del capital, el pago se aplica primero a la deuda en cuotas, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor, y posteriormente, a los saldos resultantes del capital de cada deuda revolvente, dividido entre el factor revolvente, siguiendo el orden decreciente descrito.

9.3 Si el monto materia de pago excede el pago mínimo realizado conforme a lo establecido en el numeral 9.1, el exceso se aplica de la siguiente forma:

(i) En primer lugar, a la deuda revolvente existente al momento de pago. En este caso, la aplicación se realiza empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

(ii) Si se cubrió totalmente la deuda indicada en el inciso (i) precedente, y aún queda un saldo por aplicar, se debe considerar lo siguiente:

a. Si el saldo es mayor a dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto como un pago anticipado, procediendo a la reducción del número de cuotas con la consecuente reducción del plazo del crédito.

En caso existan dos o más cuotas futuras con la misma tasa de interés, se prioriza el pago de la más antigua, de lo contrario, se empieza por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

b. Si el saldo es menor o igual al equivalente de dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto a la deuda revolvente que se contraiga, a los intereses de dicha deuda y a otros cargos generados (comisiones o gastos), de ser el caso.

De no existir deuda revolvente, o en caso que el saldo exceda la deuda revolvente a la fecha de corte, este se aplica a las cuotas que se incluyen en el nuevo pago mínimo, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor. (3)

9.4 El orden de imputación de pagos establecido en el numeral precedente no resulta aplicable cuando:

(i) Existe efectiva negociación; es decir, cuando se haya informado al titular sobre las consecuencias e implicancias económicas de la regla de imputación de pagos negociada y la cláusula que la contenga no constituya una condición masiva que forme parte del contrato de adhesión y que condicione su suscripción; y se permita evidenciar que el titular ha influido en el contenido de la cláusula; o,

(ii) El cliente, en cada oportunidad en que se realice el pago, solicite su aplicación en orden distinto, en cuyo caso la empresa debe mantener constancia de dicha decisión; o, como pago anticipado, para lo cual resulta aplicable lo indicado en el literal a. del inciso (ii) del numeral 9.3.4

10. Las condiciones generales en las que opera la autorización del exceso de línea de crédito, que deberán ser fijadas hasta por un monto razonable que responda, entre otros criterios, a la capacidad de pago del titular, así como al perfil ordinario de montos de consumo de este.

11. Información sobre la prestación de los servicios asociados a las tarjetas de crédito señalados en el artículo 7° del Reglamento.

12. Condiciones generales en las que opera la supresión y reactivación de los servicios señalados en el artículo 7° del Reglamento, cuando corresponda; así como el tratamiento que se otorgará, con relación a estos servicios, a las tarjetas adicionales.

13. Otros que establezca la empresa o la Superintendencia, mediante oficio múltiple.

Artículo 6°.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito

Las tarjetas de crédito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta de crédito o nombre comercial que la empresa asigne al producto; y la identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de crédito.

3. Nombre del usuario de la tarjeta de crédito y su firma. Las firmas podrán ser sustituidas o complementadas por una clave secreta, firma electrónica u otros mecanismos que permitan identificar al usuario antes de realizar una operación, de acuerdo con lo pactado.

4. Fecha de vencimiento.

El plazo de vigencia de las tarjetas de crédito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 7°.- Servicios asociados a las tarjetas de crédito

Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso de uno o más de los siguientes servicios:

1. Disposición de efectivo: deberá otorgársele la posibilidad, para cada operación, de decidir si estas disposiciones deberán ser cargadas en cuotas fijas mensuales y el número de cuotas aplicable a estas.

2. Operaciones de compra, consumos o pagos por internet, a través de una página web distinta a la de la empresa.

3. Consumos u operaciones efectuadas en el exterior, con presencia física de la tarjeta.

4. Otras previstas por la empresa en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para contratar la tarjeta de crédito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte de su contenido.

Artículo 8°.- Tarjeta de crédito adicional

La tarjeta de crédito adicional es emitida a un usuario, a solicitud y bajo la responsabilidad del titular, al amparo del contrato celebrado con el titular y de la misma línea de crédito otorgada a este o parte de ella.

La tarjeta de crédito adicional a la tarjeta principal solo podrá emitirse cuando exista autorización expresa de su titular, utilizando los medios establecidos por las empresas para dicho efecto.

Artículo 9°.- Cargos

Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 7° del Reglamento, en caso corresponda; así como las demás obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de crédito.

Artículo 10°.- Contenido mínimo de los estados de cuenta

El estado de cuenta debe contener como mínimo lo siguiente:

1. Nombre del titular o usuario, según lo establecido en el contrato, al que se le asigna una tarjeta de crédito.

2. Número de identificación de la tarjeta de crédito, entendiendo por este como mínimo a los últimos cuatro (4) dígitos de la tarjeta de crédito.

3. Periodo del estado de cuenta y fecha máxima de pago.

4. Monto mínimo de pago, conforme a la Circular de pago mínimo. Se deberá desglosar el monto que será utilizado para el pago del principal, los intereses, comisiones y cualquier otro concepto aplicable, conforme a la referida Circular.

5. Pagos efectuados durante el periodo informado; es decir, antes de la fecha de corte, indicando la fecha en que se realizó el pago y el monto.

6. Deberá indicarse la relación de todos los consumos u otras operaciones, y el establecimiento afiliado en que se realizaron, de ser el caso; así como la fecha y el monto de las operaciones registradas en el periodo informado. En el caso de consumos u otras operaciones en cuotas fijas, se deberá indicar el número de cuotas pactadas.

7. La cuota fija total que corresponda al periodo de facturación; es decir la suma de las cuotas fijas por los consumos u otras operaciones efectuadas que corresponde pagar en el periodo. Asimismo, deberá desglosarse la cuota fija total y cada cuota fija que la compone precisando el monto que corresponde al principal, intereses y las comisiones y gastos, en caso corresponda. En el supuesto de que por razones operativas, debidamente justificadas ante la Superintendencia, no se pueda mostrar el desglose por cada cuota antes indicado, las empresas deberán informar solo la información que corresponde a la cuota fija total del período.

8. Saldo adeudado a la fecha de corte.

9. Monto total y monto disponible en la línea de crédito.

10. Tasa de interés compensatorio efectiva anual aplicable a cada consumo u operación bajo modalidad revolvente o cuotas fijas, así como la tasa de interés moratorio efectiva anual o penalidad por incumplimiento aplicable a la fecha del estado de cuenta. Se presentará la información desagregada por cada consumo u operación en aquellos casos en los que la empresa ofrezca tasas diferenciadas.

11. Fecha en la cual se hará el cargo por la renovación de la membresía, el periodo al que corresponde el referido cargo y el monto correspondiente, en caso se realicen cobros por este concepto.

12. La información que se detalla a continuación deberá presentarse en el anverso del estado de cuenta, en forma destacada y fácilmente identificable, con tipo de letra sombreado o resaltado y con un tamaño no menor a tres (3) milímetros de acuerdo con el siguiente texto:

“INFORMACIÓN IMPORTANTE:*

Si solo realiza el pago mínimo de su deuda en soles y no realiza más operaciones, esta se cancelará en ____ meses, pagando S/. _____ de intereses y S/._____ por comisiones y gastos.

Si solo realiza el pago mínimo de su deuda en dólares y no realiza más operaciones, esta se cancelará en ____ meses, pagando US$_____ de intereses y US$_____ por comisiones y gastos”.

13. La información que se detalla a continuación deberá ser presentada en el estado de cuenta con un tamaño no menor a tres (3) milímetros:

“La información referida al cálculo del pago mínimo y sus ejemplos se encuentra a su disposición a través de los siguientes canales ___________________”.

– “Si hubiera pactado la posibilidad de:

a) disposición de efectivo;

b) compras, consumos o pagos por internet a través de una página web distinta a la de la empresa; o,

c) consumos u operaciones en el exterior con presencia física de la tarjeta, recuerde que tiene el derecho de solicitar su supresión a través de los siguientes canales________. “

Artículo 11°.- Puesta a disposición o envío y recepción del estado de cuenta y procedimiento de reclamos

Las empresas deberán remitir o poner a disposición de los titulares de tarjetas de crédito el estado de cuenta por lo menos mensualmente. Para tal efecto, deberán otorgar a los titulares la posibilidad de elegir la recepción de la mencionada información a través de uno o ambos de los mecanismos señalados a continuación:

1. Medios físicos (remisión al domicilio señalado por el titular).

2. Medios electrónicos (por medio de la presentación de dicha información a través de la página web, correo electrónico, entre otros).

Las empresas y los titulares podrán pactar que no se remita o ponga a disposición el estado de cuenta, en caso no exista saldo deudor.

Asimismo, en caso de incumplimiento en el pago, cesará la obligación de las empresas de remitir los estados de cuenta, siempre que hayan transcurrido cuatro (4) meses consecutivos de incumplimiento. Las empresas y los titulares podrán pactar un plazo menor al señalado anteriormente.

Las empresas deberán entregar los estados de cuenta en un plazo no menor a cinco (5) días hábiles previos a su fecha máxima de pago. Si los titulares no recibieran los estados de cuenta oportunamente tendrán el derecho de solicitarlos a las empresas y estas la obligación de proporcionar copia de estos, en las condiciones establecidas en los contratos, incluso en aquellos casos en que la no remisión se debiera a lo dispuesto en el párrafo anterior.

Los titulares podrán observar el contenido de los estados de cuenta dentro del plazo establecido en el contrato, el cual no podrá ser menor a los treinta (30) días siguientes contados a partir de su fecha de entrega.

Transcurrido el plazo de treinta (30) días antes referido o el que se hubiese pactado, se presume que se ha agotado la vía interna para presentar reclamos sobre el estado de cuenta en las empresas. Cabe precisar que esta presunción no enerva los derechos de los titulares establecidos en el ordenamiento legal vigente para reclamar en las instancias administrativas, judiciales y/o arbitrales correspondientes.

CAPÍTULO III.- DISPOSICIONES APLICABLES A LAS TARJETAS DE DÉBITO

Artículo 12°.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito

Las tarjetas de débito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta o nombre comercial; y la identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de débito.

3. Fecha de vencimiento.

4. Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 13°.- Servicios asociados a tarjetas de débito

Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso, de uno o más de los siguientes servicios, según corresponda:

1. Operaciones de compra, consumos o pagos por internet a través de una página web distinta a la de la empresa.

2. Consumos u operaciones efectuadas en el exterior con presencia física de la tarjeta.

3. Otras previstas por la empresa, en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para celebrar el contrato de depósito o de la tarjeta de débito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte del contenido del contrato de depósito o de la tarjeta de débito.

Artículo 14°.- Cargos

Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.

CAPÍTULO IV.- OTROS ASPECTOS APLICABLES A LAS TARJETAS DE CRÉDITO Y DÉBITO

SUBCAPÍTULO I.- MEDIDAS DE SEGURIDAD APLICABLES A TARJETAS DE CRÉDITO Y DÉBITO

Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas

Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las siguientes medidas:

1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación.

2. Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras.

3. En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea.

4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.

Artículo 16°.- Medidas de seguridad respecto a los usuarios

Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios:

1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

2. En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave.

3. En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera.

4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.

6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse.

Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones

Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios:

1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.

2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.

3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.

4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.

5. Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad.

6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

Artículo 18°.- Medidas en materia de seguridad de la información

Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestión de seguridad de la información y de continuidad del negocio.

Asimismo, en torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad:

1. Implementar y mantener la configuración de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados.

2. Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología.

3. Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio.

4. Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas.

5. Implementar y actualizar software y programas antivirus en computadores y servidores.

6. Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas.

7. Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario.

8. Implementar políticas de asignación de un identificador único a cada persona que acceda a través de software a los datos de los usuarios.

9. Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros.

10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios.

11. Efectuar análisis de vulnerabilidades periódicos a la red interna y pruebas de penetración externas e internas, así también luego de cambios significativos en la red o sistemas informáticos.

12. Implementar lineamientos y procedimientos de seguridad de la información específicos, incluyendo un programa formal de capacitación en seguridad de la información, en función a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violación de seguridad que sea probado anualmente.

Artículo 19°.- Medidas de seguridad en los negocios afiliados

Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, así como para dar cumplimiento a las condiciones de uso señalados en el Reglamento, por parte de los operadores o establecimientos afiliados.

En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, deberán asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos:

1. Contar con procedimientos de aceptación de las operaciones, incluyendo entre otros la verificación de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable.

2. No guardar o almacenar en bases de datos manuales o computarizadas la información de la tarjeta, más allá de utilizarla para solicitar la autorización de una operación.

3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable.

Artículo 20°.- Requerimientos de seguridad en caso de subcontratación

En los casos de subcontratación, que las empresas realicen para la provisión de servicios con tarjetas, es de aplicación la regulación vigente sobre subcontratación; en particular, debe formalizarse en los acuerdos con terceros para la aceptación de las tarjetas, la necesidad del cumplimiento de estándares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas.

SUBCAPÍTULO II.- OBLIGACIONES ADICIONALES DE LAS EMPRESAS

Artículo 21°.- Mecanismo de comunicación a disposición de los usuarios

Las empresas deberán contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deberá encontrarse disponible las veinticuatro (24) horas del día, todos los días del año.

Se deberán registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se deberá generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, se deberá enviar al titular de las tarjetas una copia del registro de la comunicación efectuada, a través de medios físicos o electrónicos, según elección del propio usuario.

La información referida a los mecanismos de comunicación establecidos por la empresa, para dar cumplimiento a lo dispuesto en los párrafos precedentes, deberá encontrarse publicada en la parte inicial de la página web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea fácilmente identificable.

Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos.

Artículo 22°.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos:

1. Mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude.

2. Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario.

Artículo 23°.- Responsabilidad por operaciones no reconocidas

Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas serán responsables de demostrar que las operaciones fueron autenticadas y registradas.

El usuario no es responsable de ninguna pérdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad:

1. Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene.

2. Por incumplimiento de lo dispuesto por el artículo 21° del Reglamento.

3. Cuando las tarjetas hayan sido objeto de clonación.

4. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones.

5. Por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan.

6. Cuando se haya producido la suplantación del usuario en las oficinas.

7. Operaciones denominadas micropago, pactadas con el titular.

8. Operaciones realizadas luego de la cancelación de la tarjeta o cuando esta haya expirado.

En caso el usuario no se encuentre conforme con los fundamentos efectuados por la empresa para no asumir responsabilidad por las operaciones efectuadas, podrá presentar un reclamo o denuncia, de acuerdo con lo establecido por el marco normativo vigente.

Artículo 24°.- Traslado de costos por la contratación de seguros y/o creación de mecanismos de protección o contingencia

Las empresas no podrán trasladar a los usuarios como gasto o comisión, según corresponda, el costo asociado a la contratación de pólizas de seguro y/o mecanismos de protección o contingencia, que tengan por objeto cubrir las pérdidas generadas como consecuencia de la realización de operaciones no reconocidas, que son de responsabilidad de estas de acuerdo con lo establecido en el artículo 23° del Reglamento.

Artículo 25°.- Devolución o destrucción

En caso de anulaciones de tarjetas, con excepción de los casos de extravío o sustracción, las empresas procurarán la devolución física de la tarjeta encargándose de su destrucción en presencia del titular o del usuario. La misma disposición resulta aplicable cuando se expidan duplicados o nuevas tarjetas en reemplazo de las deterioradas, o en caso de la resolución o término del contrato suscrito. En caso de que la devolución física de la tarjeta no sea posible, el titular o usuario de esta será responsable de su destrucción.

Las empresas deberán comunicar a los establecimientos afiliados la invalidez en los casos de tarjetas anuladas o sustituidas antes del término de su vigencia.

SUBCAPÍTULO III.- EN MATERIA DE SUPERVISIÓN

Artículo 26°.- Comunicación para expedir tarjetas

Las empresas autorizadas, que decidan iniciar la expedición de tarjetas, deberán comunicarlo a la Superintendencia, en un plazo no menor a los treinta (30) días anteriores al inicio de la referida expedición.

Artículo 27°.- Manuales aplicables por la expedición y administración de tarjetas

Las empresas deberán contar con manuales relacionados con la expedición y administración de tarjetas, considerando para tal efecto el cumplimiento de las obligaciones desarrolladas en el Reglamento.

Adicionalmente, dichos manuales deberán considerar los procedimientos, plazos, controles y medidas de seguridad utilizados en la elaboración física, asignación de clave, transporte, entrega y custodia de las tarjetas.

DISPOSICIONES FINALES Y TRANSITORIAS

Primera

Reglamento de Transparencia

Resultan aplicables las disposiciones reguladas en el Reglamento de Transparencia.

Segunda

Cuentas Básicas

Las tarjetas que se otorguen como consecuencia de la contratación de una cuenta básica, y exclusivamente para el uso de dicha cuenta, no se encuentran obligadas a cumplir con las disposiciones contempladas en el artículo 15° del Reglamento sobre el uso de tarjetas con circuito integrado o chip ni las obligaciones establecidas en la cuarta disposición final y transitoria del Reglamento que se encuentren asociadas a la implementación y puesta a disposición de tarjetas con circuito integrado o chip.

La referida disposición podrá aplicarse a otros productos financieros previa autorización de la Superintendencia.

Tercera

Remisión de reportes

Las empresas deberán remitir a la Superintendencia, dentro de los quince (15) días siguientes posteriores al cierre de cada mes, el Reporte nº 7 “Tarjetas de Crédito” del Manual de Contabilidad para las Empresas del Sistema Financiero, vía SUCAVE, de acuerdo con las instrucciones contenidas en el reporte.

Cuarta

Plazo de adecuación

Para cumplir con las exigencias contempladas en el Reglamento, serán de aplicación los siguientes plazos máximos:

1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip, conforme a lo establecido en el artículo 15° del Reglamento. Asimismo, a partir de esa fecha, las empresas deberán dar la posibilidad a los usuarios de cambiar sus tarjetas con banda magnética por tarjetas con chip.

2. Para implementar lo requerido en los artículos 7°, 10°, 13°, el numeral 4 del artículo 16°, así como lo señalado en el artículo 17°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2014.

3. A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes.

4. A partir del 31 de diciembre de 2015, las empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.

5. Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015”.

Artículo Segundo

El Reglamento de Tarjetas de Crédito y Débito, aprobado por el Artículo Primero de la presente Resolución, entrará en vigencia el 1 de abril de 2014, fecha en la cual quedará derogado el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS n° 264-2008 y sus normas modificatorias, así como el artículo 32° del Reglamento de Transparencia de Información y Disposiciones Aplicables a la Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS n° 1765-2005 y sus normas modificatorias.

Regístrese, comuníquese y publíquese.

DANIEL SCHYDLOWSKY ROSENBERG. Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

*La información referida a la deuda en dólares americanos se presentará en caso resulte aplicable.

(1) Numeral incorporado por la Resolución n° 652-2016 del 05/02/2016.

(2) Numeral 9 modificado por la Resolución n° 652-2016 del 05/02/2016.

(3) Numeral 9.3 modificado por la Resolución SBS n° 6617-2016 publicada el 25/12/2016, otorga un plazo de adecuación hasta el 30 de junio de 2017.

(4) Numeral 9.4 modificado por la Resolución SBSnN° 6617-2016 publicada el 25/12/2016, otorga un plazo de adecuación hasta el 30 de junio de 2017.

03Mar/21

Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013, de 18 de octubre de 2013.

Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013, de 18 de octubre de 2013.

Lima, 18 de octubre de 2013

Resolución S.B.S. n° 6283-2013

El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

CONSIDERANDO:

Que, mediante Ley nº 29985 se aprobó la Ley que regula las Características Básicas del Dinero Electrónico como Instrumento de Inclusión Financiera, en adelante la Ley;

Que, mediante Decreto Supremo n° 090-2013-EF se aprobó el Reglamento de la Ley nº 29985 que Regula las Características Básicas del Dinero Electrónico;

Que, ambos dispositivos legales facultan a la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, a emitir normas reglamentarias y complementarias sobre diversas materias relacionadas a las operaciones con dinero electrónico;

Que, en ese sentido resulta necesario establecer el marco normativo bajo el cual se regirá la realización de operaciones con dinero electrónico;

Que, mediante Resolución SBS n° 895-98 y sus normas modificatorias y complementarias se aprobó el Manual de Contabilidad para las Empresas del Sistema Financiero, en adelante Manual de Contabilidad;

Que, a efectos de recoger las opiniones del público en general, se dispuso la prepublicación del proyecto de resolución en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, Riesgos, Estudios Económicos y Asesoría Jurídica, así como de la Gerencia de Productos y Servicios al Usuario; y,

En uso de las atribuciones conferidas en los numerales 7, 9, 13 y 19 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros – Ley n°26702 y sus normas modificatorias, en adelante Ley General, así como las facultades otorgadas en la Ley nº 29985 y su reglamento aprobado por Decreto Supremo n° 090-2013-EF;

RESUELVE:

Artículo Primero.- Aprobar el Reglamento de Operaciones con Dinero Electrónico, según se indica a continuación:

“REGLAMENTO DE OPERACIONES CON DINERO ELECTRONICO

TÍTULO I.- DE LAS DISPOSICIONES GENERALES

Artículo 1.- Alcance

Las disposiciones de la presente norma son aplicables a las empresas de operaciones múltiples comprendidas en el literal A del artículo 16° de la Ley General autorizadas a emitir dinero electrónico, a las empresas emisoras de dinero electrónico a que se refiere el numeral 6 del artículo 17° de la Ley General, al Banco de la Nación, al Banco Agropecuario, así como a las empresas que se consideren dentro del ámbito de la Ley, a criterio de esta Superintendencia, en aplicación de la Quinta Disposición Complementaria Final de la Ley, en adelante emisores de dinero electrónico.

Artículo 2.- Definiciones

Para efectos de lo dispuesto en la presente norma, considérense las siguientes definiciones:

a. Dinero electrónico: aquel definido de acuerdo con lo establecido en el artículo 1° del  Reglamento de la Ley.

b. Emisión: comprende las operaciones de conversión a dinero electrónico, reconversión, transferencias, pagos y cualquier movimiento u operación relacionada con el valor monetario del que disponga el titular y necesaria para dichas operaciones.

c. Ley: Ley que Regula las Características Básicas del Dinero Electrónico, Ley nº 29985.

d. Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo:

Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo, aprobado por Resolución SBS n° 2660-2015. (1)

e. Persona: Se refiere a las personas naturales y personas jurídicas. (1)

f. Reglamento de la Ley: Reglamento de la Ley nº 29985 que Regula las Características Básicas del Dinero Electrónico, Decreto Supremo n° 090-2013-EF.

g. Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero: Reglamento de Transparencia de Información y Contratación con Usuarios del

Sistema Financiero aprobado por la Resolución SBS N° 8181-2012 y sus normas modificatorias.

h. Superintendencia: Superintendencia de Banca, Seguros y AFP.

i. Tarjeta prepago de dinero electrónico: es un soporte para el uso del dinero electrónico, en el cual se almacena valor monetario en una tarjeta, física o virtual, recargable o no, y cuyo uso se encuentra limitado al saldo existente en esta en cada momento.

j. Titular: persona que contrata con el emisor de dinero electrónico la prestación del servicio de emisión de dinero electrónico. También se considera titular a los menores de edad que tengan más de dieciséis (16) años, que cuenten con autorización de su tutor o apoderado legal o que cuenten con capacidad de ejercicio de acuerdo con la normativa vigente.

k. Transacción: Es la ejecución individual de las operaciones de conversión, reconversión, transferencias, pagos y cualquier movimiento u operación relacionada con el valor monetario del que disponga el titular y necesaria para dichas operaciones.

l. Persona natural: Se refiere a las personas naturales o personas naturales con negocio. (2)

m. Cuentas operativas: Son las cuentas de dinero electrónico a que se refiere el artículo 7° del Reglamento de la Ley nº 29985 que mantienen los operadores de cajeros corresponsales o los emisores mismos, con la finalidad de realizar operaciones que permitan el adecuado funcionamiento del servicio de dinero electrónico. (3)

n. Dinero electrónico emitido: Dinero electrónico en las cuentas que mantiene el emisor, sean de usuarios o cuentas operativas. (3)

TÍTULO II.- DEL DINERO ELECTRÓNICO

Artículo 3.- Operaciones con dinero electrónico

Las operaciones que pueden realizarse con dinero electrónico, según el tipo de cuenta de dinero electrónico, son:

a) Conversión.

b) Reconversión.

c) Pagos.

d) Transferencias.

e) Otras operaciones a los que el emisor de dinero electrónico haya sido autorizado por esta Superintendencia.

Artículo 4.- Soportes para uso de dinero electrónico

Los soportes mediante los cuales se puede hacer uso del dinero electrónico pueden ser los siguientes:

a) Teléfonos móviles

b) Tarjetas prepago.

c) Cualquier otro equipo o dispositivo electrónico, que cumpla los fines establecidos en la Ley.

Todos los soportes antes señalados deben contar con plataformas tecnológicas que permitan realizar transacciones en línea y de manera segura, entre los diferentes tipos de usuarios y participantes de la red de dinero electrónico.

La Superintendencia podrá autorizar plataformas tecnológicas que sigan otro esquema de transacciones, si considera que los controles a ser aplicados permiten administrar adecuadamente los riesgos asociados. En estos casos, el emisor de dinero electrónico proveerá información detallada acerca de la modalidad propuesta y adjuntará los informes preparados por la Unidad de Riesgo Operacional o equivalente.

Un mismo soporte puede ser utilizado y/o asociado para realizar transacciones con más de una cuenta de dinero electrónico.

Artículo 5.- Cuentas de dinero electrónico simplificadas

Se consideran “cuentas de dinero electrónico simplificadas” a aquellas cuentas que los emisores de dinero electrónico ponen a disposición de personas naturales y que cumplen con las siguientes condiciones: (4)

a) Son abiertas por personas naturales nacionales o extranjeras residentes.5

b) Cada transacción se encuentra sujeta al límite de mil nuevos soles (S/. 1,000).

c) El saldo consolidado de cuentas de dinero electrónico de un mismo titular, bajo cualquier modalidad, en un mismo emisor de dinero electrónico, no puede ser superior a dos mil nuevos soles (S/. 2,000) en todo momento.

d) Las conversiones a dinero electrónico acumuladas de un mismo titular, bajo cualquier modalidad, en un mismo emisor en un mes, no pueden ser mayores a dos mil nuevos soles (S/. 2,000).

e) Las transacciones acumuladas (conversiones, transferencias, pagos, reconversiones, etc.) de un mismo titular, bajo cualquier modalidad, en un mismo emisor en un mes, no pueden exceder de cuatro mil nuevos soles (S/. 4,000).

f) La apertura de cuentas de dinero electrónico simplificadas y las operaciones de conversión solo pueden ser realizadas en el territorio nacional. Asimismo, dichas cuentas solo pueden ser utilizadas en moneda nacional. (5)

Los emisores de dinero electrónico deben definir procedimientos y medidas con el objetivo de monitorear el cumplimiento de los límites y condiciones antes señaladas.

Cuando los usuarios del dinero electrónico intenten efectuar transacciones que excedan los límites y condiciones antes establecidos, los emisores, a través del dispositivo utilizado, deberán informar a los usuarios que la transacción no puede ser llevada a cabo debido al incumplimiento de los límites.

Artículo 6.- Cuentas de dinero electrónico generales

Las cuentas de dinero electrónico que no cumplan las características para ser consideradas cuentas de dinero electrónico simplificadas, serán consideradas como cuentas de dinero electrónico generales y no estarán sujetas a los límites establecidos en el artículo anterior, pero sí al límite señalado en el literal b) del artículo 5° de la Ley.

Artículo 7.- Régimen Simplificado de conocimiento del cliente y debida diligencia de Lavado de activos y financiamiento del terrorismo Las cuentas de dinero electrónico simplificadas se encuentran incluidas en el régimen simplificado de debida diligencia en el conocimiento de clientes a que alude el artículo 31° del Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo. (6)

Para la apertura de las cuentas de dinero electrónico simplificadas se requerirá, como mínimo, la información correspondiente al nombre completo del titular, así como al número del Documento Nacional de Identidad (DNI) o al número del Carnet de Extranjería, según corresponda. La empresa deberá verificar la información antes señalada con la base de datos del Registro Nacional de Identificación y Estado Civil (RENIEC) o el Registro Central de Extranjería de la Dirección General de Migraciones y Naturalización, según corresponda, lo que podrá realizarse posteriormente a la apertura de la cuenta de dinero electrónico.

Para la apertura de cuentas de dinero electrónico simplificadas que tengan como soporte electrónico teléfonos móviles, se requerirá también el número de servicio de telefonía móvil asociado a dicho soporte electrónico.

Las empresas deberán desarrollar procedimientos de monitoreo, evaluación de riesgo y control a fin de prevenir el abuso de las cuentas de dinero electrónico simplificadas, garantizar su operatividad dentro de las condiciones establecidas y tomar las medidas adicionales que sean apropiadas para mantener el servicio dentro de los niveles propios de una cuenta de bajo riesgo en materia de lavado de activos y de financiamiento del terrorismo.

Las empresas podrán solicitar a la Superintendencia que otros servicios de dinero electrónico de bajo riesgo de lavado de activos y financiamiento del terrorismo sean considerados bajo el régimen simplificado de debida diligencia en el conocimiento de clientes, para lo cual tendrán en cuenta lo establecido en el artículo 31° del Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo. (7)

Artículo 8.- Régimen general de debida diligencia en conocimiento del cliente (8)

Los requisitos de identificación y verificación mínimos aplicables a los titulares para la apertura de las cuentas de dinero electrónico que no cumplan las características para ser consideradas cuentas de dinero electrónico simplificadas, se regirán por el régimen general de debida diligencia en el conocimiento del cliente, de acuerdo con lo establecido en el artículo 30° del Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo, con excepción de aquellos titulares que se encuentren sujetos al régimen reforzado de debida diligencia en el conocimiento del cliente, que señala el artículo 32° del citado Reglamento. (9)

Para la apertura de cuentas de dinero electrónico antes señaladas que tengan como soporte electrónico teléfonos móviles, se requerirá también el número de servicio de telefonía móvil asociado a dicho soporte electrónico.

En el caso de extranjeros la contratación podrá efectuarse únicamente de manera presencial y escrita con la presentación de su Carnet de Extranjería o Pasaporte a satisfacción del emisor de dinero electrónico. La empresa deberá verificar esta información con la base de datos del Registro Central de Extranjería de la Dirección General de Migraciones y Naturalización, lo que podrá realizarse posteriormente a la apertura de la cuenta de dinero electrónico.

Artículo 9.- Transacciones realizadas a través de cajeros corresponsales

Los emisores de dinero electrónico deberán establecer mecanismos que aseguren que las transacciones con dinero electrónico realizadas a través de cajeros corresponsales, cumplan con lo establecido en los párrafos segundo o tercero del artículo 4° de la presente norma, según corresponda; ello implica no solo el registro de las transacciones en las cuentas de dinero electrónico de los titulares, sino también el registro del ingreso o salida de los recursos en los sistemas del emisor.

Conforme lo señalado en el artículo 7° del Reglamento de la Ley, en los casos que los emisores de dinero electrónico utilicen cuentas operativas de dinero electrónico con sus cajeros corresponsales, estas no estarán sujetas al límite establecido en el literal b) del artículo 5° de la Ley, ni a los límites establecidos en el artículo 5° de la presente norma.

Artículo 10.- Información a presentar a la Superintendencia

Los emisores de dinero electrónico deberán presentar a la Superintendencia, vía SUCAVE, el Reporte n° 32-A “Reporte Diario de Dinero Electrónico”. Este Reporte deberá ser presentado diariamente hasta las 15:00 horas del día hábil siguiente.

Asimismo, los emisores de dinero electrónico deberán presentar a la Superintendencia, vía SUCAVE, el Reporte n° 32-B “Reporte Mensual de Dinero Electrónico”. Este Reporte deberá ser presentado mensualmente dentro de los quince (15) días calendario siguientes a la fecha de cierre de cada mes.

TÍTULO III (10).- ASPECTOS APLICABLES EN MATERIA DE TRANSPARENCIA DE INFORMACIÓN, CONTRATACIÓN Y SERVICIOS DE ATENCIÓN AL USUARIO

Artículo 11.- Aspectos generales en materia de transparencia de información y atención al usuario

11.1 La contratación de cuentas de dinero electrónico, tanto simplificadas como generales, se rige por las disposiciones del presente título, el cual desarrolla el Régimen Simplificado de Transparencia establecido con arreglo a la Sexta Disposición Final y Complementaria del Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero, que resulta aplicable en forma complementaria a las disposiciones contempladas en el presente título, según corresponda.

11. 2 Para la prestación del servicio de dinero electrónico, los emisores de dinero electrónico deben poner a disposición de los usuarios, por lo menos, los siguientes canales de presentación de reclamos, que deben ser gratuitos y de fácil acceso:

a) Red de oficinas de atención al público, en caso cuenten con estos canales.

b) Al menos uno de los siguientes: Vía telefónica al número designado para la recepción de reclamos, al correo electrónico o a la página web establecida por el emisor de dinero electrónico para tal efecto.

La red de oficinas de atención al público de los emisores de dinero electrónico debe recibir y canalizar la información de sustento que otorguen los usuarios, como consecuencia de la presentación de un reclamo, sin importar el canal empleado para su presentación.

11.3 La presentación de requerimientos, tales como consultas, solicitudes de información que el emisor posee sobre la relación que mantiene con los usuarios y otras solicitudes por parte de estos, puede ser realizada por los medios y canales que los emisores de dinero electrónico definan para tal efecto, siempre que sean gratuitos y de fácil acceso, considerando lo señalado en la Circular de Servicio de Atención al Usuario.

11.4 Los emisores de dinero electrónico deben proporcionar capacitación adecuada a las personas involucradas en el proceso de contratación y sistema de atención al usuario del servicio de dinero electrónico, de sus oficinas de atención al público y atención por vía telefónica, con la finalidad de asegurar que se encuentren en capacidad de explicar la información que debe brindarse y/o la que sea requerida por los usuarios, considerando lo señalado en el presente título.

Asimismo, los emisores de dinero electrónico deben proporcionar capacitación a las personas involucradas en la operación de los cajeros corresponsales sobre la prestación del servicio de dinero electrónico.

11.5 En caso de requerirse la subcontratación de servicios para dar cumplimiento a lo dispuesto en el presente título, resulta aplicable lo dispuesto en el Reglamento de la Gestión Integral de Riesgos; y no debe quedar duda respecto de la identidad y responsabilidad que corresponde al emisor de dinero electrónico. En el caso de subcontratación del servicio provisto a través de páginas web y/o vía telefónica, el emisor de dinero electrónico debe establecer una conexión directa en su propia página web y/o teléfono para que los usuarios puedan acceder a dichos servicios subcontratados.

11.6 Con excepción de las disposiciones contempladas en el presente artículo sobre la presentación de reclamos y requerimientos, al servicio de dinero electrónico le resultan aplicables las demás disposiciones contenidas en la Circular de Servicio de Atención al Usuario.

Artículo 12.- Información al usuario

Los emisores de dinero electrónico deben brindar y/o poner a disposición de los usuarios, según corresponda al canal empleado, de manera previa a la celebración del contrato, la siguiente información a través de las oficinas de atención al público, en caso cuenten con estas, y en la página web establecida por el emisor:

a) El tarifario, que debe hacer referencia a las comisiones y gastos aplicables.

b) El formulario contractual, que debe contener un resumen de condiciones. El resumen debe incorporar, como mínimo:

i) las comisiones y gastos aplicables a las operaciones con dinero electrónico,

ii) las características y las condiciones para realizar operaciones con dinero electrónico, los límites asociados a las operaciones y las restricciones aplicables a la cuenta dinero electrónico,

iii) los supuestos de responsabilidad de las partes,

iv) los canales disponibles para la atención de requerimientos y reclamos; y,

v) los mecanismos de comunicación a disposición de los usuarios para realizar el bloqueo de las cuentas de dinero electrónico por, entre otros, el extravío, sustracción, robo, hurto o uso no autorizado del soporte entregado por el emisor para el uso de dinero electrónico o de la información que contiene.

Adicionalmente, en caso el emisor de dinero electrónico permita realizar la contratación del servicio de dinero electrónico a través de un número telefónico designado por este y/o de cajeros corresponsales, se debe difundir y poner a disposición de los usuarios, a través de dichos canales, como mínimo:

i) la información a que hace referencia el resumen de condiciones, la que en el caso de contratación presencial por cajeros corresponsales, debe encontrarse en un lugar destacado y de fácil acceso;

ii) la información sobre los canales establecidos para acceder a la información adicional señalada en el presente título, y

iii) la información sobre los canales establecidos para la atención de reclamos y requerimientos.

Artículo 13.- Difusión de aspectos relevantes referidos a los beneficios, riesgos y condiciones del servicio La información sobre aspectos relevantes relacionados principalmente a los beneficios, riesgos y condiciones del servicio se debe incluir en los formularios contractuales y en la página web establecida por el emisor de dinero electrónico.

En dicha página web se debe considerar –como mínimo- la información que se detalla a continuación: a) Las condiciones para el uso, conservación y seguridad del soporte entregado por el emisor para el uso del dinero electrónico, tales como tarjetas u otros, en caso corresponda.

b) El procedimiento aplicable en el caso de fallecimiento del titular de la cuenta de dinero electrónico.

c) El procedimiento para la presentación y atención de las solicitudes de resolución del contrato, indicándole todos los canales puestos a su disposición para tal fin. Dicho procedimiento no puede ser más engorroso que aquel dispuesto para contratar, por lo que no pueden establecerse requisitos o exigencias adicionales que dificulten el ejercicio del derecho a resolver el contrato.

d) El procedimiento aplicable para realizar el bloqueo de la cuenta de dinero electrónico.

e) Otros que establezcan los emisores de dinero electrónico o la Superintendencia, mediante oficio múltiple.

Artículo 14.- Determinación de comisiones y gastos

Para efectos de lo dispuesto en el presente título, se entiende por comisión o gasto a la retribución por la prestación de un servicio efectivo, que incluye la prestación del servicio de dinero electrónico, previamente acordado con el usuario y que cuente con justificación técnica.

Las comisiones son retribuciones por servicios prestados por los emisores de dinero electrónico y los gastos retribuciones por servicios en que incurren los emisores con terceros por cuenta del usuario.

Las disposiciones generales contenidas en el Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero respecto de comisiones y gastos resultan aplicables, en lo que corresponda, atendiendo a las particularidades del servicio de dinero electrónico.

Artículo 14º A.- Contenido mínimo del contrato

El contrato de dinero electrónico debe contener, como mínimo, la siguiente información:

a) Las características y las condiciones para realizar operaciones con dinero electrónico, los límites asociados a las operaciones, así como las restricciones aplicables a la cuenta de dinero electrónico.

b) Las condiciones de reconversión.

c) Las condiciones para el uso, conservación y seguridad del soporte entregado por el emisor para el uso del dinero electrónico, tales como tarjetas u otros en caso corresponda.

d) Los canales puestos a su disposición para la realización de las operaciones con dinero electrónico, indicando los requisitos para su utilización.

e) La posibilidad de que el cliente solicite el bloqueo temporal o definitivo de su cuenta de dinero electrónico por, entre otros, el extravío, sustracción, robo, hurto o uso no autorizado del soporte entregado por el emisor para el uso de dinero electrónico o de la información que contiene.

f) Procedimiento aplicable para la resolución del contrato.

g) Los supuestos de responsabilidad de las partes considerando lo indicado en el artículo 14-E.

h) Otros que establezcan los emisores de dinero electrónico o la Superintendencia, mediante oficio múltiple.

Las cláusulas generales de contratación de los contratos de dinero electrónico deben ser aprobadas, previamente por la Superintendencia, considerando para tal efecto lo dispuesto en el Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero.

Artículo 14º B.- Contratación de dinero electrónico

Los emisores de dinero electrónico pueden celebrar contratos por canales presenciales o no presenciales, excepto en el caso de extranjeros, que solo podrán hacerlo de manera presencial y por escrito según lo establecido en el tercer párrafo del artículo 8°, considerando para tal efecto lo siguiente:

a) La contratación presencial y escrita se realiza a través de la firma-o huella digital, en caso de no saber firmar o estar impedido de hacerlo- del contrato y resumen de condiciones por duplicado, quedando un ejemplar en poder de los emisores de dinero electrónico como constancia de su entrega al cliente.

b) La contratación no presencial o presencial a través de mecanismos distintos al escrito, debe cumplir las siguientes condiciones:

i. La contratación se realiza por teléfono o a través de medios electrónicos.

ii. El emisor de dinero electrónico debe contar con mecanismos adecuados para garantizar la seguridad de la contratación en todas sus etapas y pueda dejarse constancia de la aceptación por parte del titular de la cuenta de dinero electrónico, de las estipulaciones contractuales, las cuales deben estar a disposición previa de los usuarios considerando lo dispuesto en el artículo 12°. En estos casos no se requerirá la firma -o huella digital, en caso de no saber firmar o estar impedido de hacerlo- de los formularios contractuales.

iii. Los emisores de dinero electrónico pueden determinar que el contrato y el resumen de condiciones se entreguen y/o pongan a disposición, según corresponda al canal empleado, a través de alguno de los siguientes medios, siempre que sea comunicado previamente a los titulares de las cuentas de dinero electrónico, a través de medios físicos y/o electrónicos:

– Mediante la entrega del contrato en el domicilio establecido por el cliente.

– Mediante el envío del contrato por correo electrónico, siempre que:

i) se permita su lectura, impresión, conservación y reproducción sin cambios y ii) se cumplan los criterios de seguridad para autenticidad, integridad y disponibilidad, según lo establecido en la Circular G-140-2009 o la que la sustituya.

– Mediante la entrega del contrato en las oficinas de atención al público del emisor de dinero electrónico.

– Mediante la entrega del contrato a través de los cajeros corresponsales con los que opera el emisor de dinero electrónico.

– Mediante una página web señalada por el emisor de dinero electrónico, que permita el acceso del usuario al contrato, siempre que:

i) sea fácilmente identificable,

ii) se permita su lectura, impresión, conservación y reproducción sin cambios y

iii) se guarden las medidas de seguridad apropiadas de autenticidad, integridad y disponibilidad de la información publicada, según lo establecido en la Circular G140-2009 o la que la sustituya.

c) La entrega y/o puesta a disposición del contrato debe realizarse en un plazo máximo de quince (15) días de celebrado.

El emisor de dinero electrónico debe conservar la constancia de la celebración del contrato y de su entrega o puesta a disposición por el plazo establecido en el artículo 183° de la Ley General.

Artículo 14° C.- Modificaciones contractuales

Las modificaciones unilaterales referidas a:

i) comisiones,

ii) gastos; y,

iii) otras estipulaciones contractuales, solo proceden en la medida que su posibilidad haya sido previamente reconocidas en los contratos y comunicadas con una anticipación no menor a cuarenta y cinco (45) días, indicando la fecha o el momento, a partir del cual la modificación entrará en vigencia.

Los emisores de dinero electrónico deben pactar con el cliente los medios de comunicación idóneos para cumplir con la disposición de comunicación previa, considerando para tal efecto lo siguiente:

a) Se debe comunicar a través de medios de comunicación directos, tales como comunicaciones escritas al domicilio del cliente, correos electrónicos, mensajes de texto o comunicaciones telefónicas al cliente, las modificaciones contractuales referidas a:

i. Comisiones y gastos cuando dichas modificaciones generen un perjuicio a los usuarios.

ii. La resolución del contrato por causal distinta al incumplimiento.

iii. La limitación o exoneración de responsabilidad por parte de los emisores de dinero electrónico.

En caso se use mensajes de texto comunicando las modificaciones referidas al inciso i. precedente, estos deben incluir la totalidad de la modificación realizada, conforme se detalla en el literal c) del presente artículo.

En caso se use mensajes de texto comunicando las modificaciones referidas a los incisos ii. y iii. precedentes, estos deben mencionar expresamente que se refiere a los aspectos contemplados en los referidos incisos y remitir de manera precisa y puntual, como mínimo, a dos medios de comunicación complementarios que permitan al usuario acceder y conocer la información completa de las referidas modificaciones.

b) Para comunicaciones sobre modificaciones contractuales de aspectos distintos a los previamente indicados, debe emplearse medios de comunicación que permitan al cliente tomar conocimiento adecuado y oportuno de las modificaciones a ser efectuadas, de acuerdo con lo que para tal efecto se pacte con estos.

c) En las comunicaciones previas sobre modificaciones contractuales debe indicarse de manera expresa:

i. Que se trata de una modificación en las condiciones pactadas, destacando aquellos conceptos que serán materia de cambio y señalando expresamente en qué consisten, a fin de permitir a los usuarios tomar conocimiento de ellos.

ii. Que el cliente puede dar por concluida la relación contractual conforme a los términos del contrato.

d) Debe dejarse constancia respecto de las comunicaciones realizadas a los clientes.

Lo expuesto en el presente artículo no resulta aplicable cuando se trate de modificaciones contractuales que impliquen condiciones más favorables para el cliente las que se aplicarán de manera inmediata, no siendo exigible el envío de una comunicación previa. Sin perjuicio de lo indicado, el emisor de dinero electrónico debe informar de las nuevas condiciones a través de los mecanismos que para tal efecto pacte con los clientes.

Artículo 14° D.- Mecanismo de comunicación a disposición de los usuarios para el bloqueo de cuentas de dinero electrónico

Los emisores de dinero electrónico deben contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios realizar el bloqueo de sus cuentas de dinero electrónico por, entre otros, el extravío, sustracción, robo, hurto o uso no autorizado del soporte entregado por el emisor para el uso de dinero electrónico, o de la información que contiene. Dicha infraestructura debe encontrarse disponible las veinticuatro (24) horas del día, todos los días del año.

Se deben registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se debe generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, en caso el cliente lo solicite, se le debe enviar (a través de medios físicos o electrónicos) y/o poner a disposición, información sobre el registro de la comunicación efectuada, que por lo menos considere la fecha, hora, código de registro y motivo de la comunicación.

La información referida a los sistemas de atención establecidos por los emisores de dinero electrónico para dar cumplimiento a lo dispuesto en los párrafos precedentes, debe encontrarse publicada en la parte inicial de su página web, aun cuando se brinde el servicio de bloqueo a través de un enlace directo a otra página web establecida por el emisor, y en cualquier otro medio a criterio del emisor.

Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos.

Artículo 14° E.- Traslado de costos por la contratación de seguros y/o creación de mecanismos de protección o contingencia

El usuario no es responsable de ninguna pérdida en casos de operaciones no reconocidas que sean consecuencia de:

i) clonación del soporte entregado por el emisor para el uso del dinero electrónico,

ii) cuando las operaciones hayan sido realizadas luego de que el emisor fuera notificado del bloqueo de la cuenta de dinero electrónico,

iii) suplantación del usuario en las oficinas de los emisores de dinero electrónico, o

iv) funcionamiento defectuoso de los canales o sistemas puestos a su disposición por el emisor para efectuar operaciones; salvo que el emisor demuestre la responsabilidad del usuario.

Los emisores de dinero electrónico no pueden trasladar un gasto o comisión dirigido a cubrir el costo asociado a la contratación de pólizas de seguro y/o mecanismos de protección o contingencia, que tengan por objeto cubrir las pérdidas generadas como consecuencia de la realización de operaciones no reconocidas, de conformidad con lo señalado en el párrafo precedente.

TÍTULO IV (11).- DE LAS GARANTIAS

Artículo 15.- Constitución de los fideicomisos

Los emisores de dinero electrónico, en calidad de fideicomitentes, deben constituir en empresas autorizadas para actuar como fiduciarios según la legislación vigente sobre la materia, diferentes del emisor de dinero electrónico, fideicomisos por el cien por ciento (100%) del dinero electrónico emitido, constituyendo patrimonios fideicometidos cuya finalidad exclusiva sea respaldar a los tenedores de cuentas de dinero electrónico.

Asimismo, en el acto constitutivo de los fideicomisos, se deberá designar a un fiduciario sustituto y el procedimiento de sustitución en caso de quiebra o cuando opere otra causal de remoción de este.

Artículo 16.- Valor de los patrimonios fideicometidos

Los emisores de dinero electrónico son responsables de establecer mecanismos para asegurar que el valor del patrimonio fideicometido sea superior o equivalente, en todo momento o por lo menos al cierre diario de operaciones, al valor del dinero electrónico emitido.

Artículo 17.- Fondos de los patrimonios fideicometidos

Los fondos de los patrimonios fideicometidos constituidos por los emisores de dinero electrónico, solo podrán ser invertidos por el fiduciario, de la siguiente forma:

a) Depósitos de disposición inmediata que generen intereses en empresas de operaciones múltiples clasificadas en categoría “A+”, de acuerdo con lo establecido en el Reglamento para la Clasificación de Empresas del Sistema Financiero y de Empresas del Sistema de Seguros, aprobado por la Resolución SBS n° 18400-2010; así como depósitos en el Banco Central de Reserva del Perú. La Superintendencia podrá requerir la diversificación de los referidos depósitos en más de una empresa de operaciones múltiples clasificadas en categoría “A+”.

b) Hasta un máximo del treinta (30%) de los recursos recibidos en bonos del Tesoro o instrumentos emitidos por el Banco Central de Reserva del Perú.

c) Otros activos líquidos que autorice la Superintendencia, la cual podrá requerir la diversificación de las inversiones, según instrumento de inversión y empresa.

En caso el valor del patrimonio fideicometido sea menor al valor del dinero electrónico emitido, dicha diferencia deberá ser cubierta con activos líquidos de propiedad del emisor de dinero electrónico. Los rendimientos del patrimonio fideicometido no serán de libre disponibilidad para el fideicomitente, pasando a formar parte de dicho patrimonio fideicometido.

Las inversiones a que se refieren los literales b) y c) deberán valorizarse al valor razonable de acuerdo con las normas emitidas por la Superintendencia.

DISPOSICIONES FINALES Y COMPLEMENTARIAS

Primera

Esta Superintendencia podrá considerar como dinero electrónico a aquellos servicios brindados por empresas supervisadas por ella, que presenten características similares a las establecidas en el artículo 2° de la Ley.

Segunda (12)

Las empresas de operaciones múltiples autorizadas a emitir dinero electrónico no deberán considerar los activos ni los pasivos correspondientes al dinero electrónico emitido para la elaboración de los Anexos n° 15-A “Reporte de tesorería y posición diaria de liquidez”, n° 15-B “Ratio de cobertura de liquidez“ y n° 15-C “Posición mensual de liquidez” del Manual de Contabilidad contemplados en el Reglamento para la Gestión del Riesgo de Liquidez aprobado por la Resolución SBS n° 9075-2012 y sus normas modificatorias.

Asimismo, solo deberán considerar para la elaboración de los Anexos n° 16-A “Cuadro de Liquidez por Plazos de Vencimiento” y n° 16-B “Simulación de Escenarios de Estrés y Plan de Contingencia”, los pasivos netos correspondientes al dinero electrónico emitido.

Tercera (12)

Para la elaboración de los Anexos 7-A “Medición del Riesgo de Tasa de Interés – Ganancias en Riesgo” y 7-B “Medición del Riesgo de Tasa de Interés – Valor Patrimonial en Riesgo”, las empresas de operaciones múltiples autorizadas a emitir dinero electrónico no deberán considerar los activos ni los pasivos correspondientes al dinero electrónico emitido.

Cuarta (13)

Las cuentas operativas de dinero electrónico, así como las cuentas de dinero electrónico abiertas por personas jurídicas, se encuentran sujetas a las disposiciones contempladas en el Título III

– Aspectos aplicables en materia de transparencia de información, contratación y servicios de atención al usuario, en lo que resulte pertinente, considerando que no les resulta aplicable el Código de Protección y Defensa del Consumidor – Ley n° 29571 y sus normas modificatorias, ni la Ley Complementaria a la Ley de Protección al Consumidor en Materia de Servicios Financieros – Ley n° 28587 y sus normas complementarias. Respecto de las disposiciones en materia de transparencia de información aplicables a dichas cuentas, los emisores se sujetan a la tercera disposición final y complementaria del Reglamento de Transparencia, en lo que corresponda.

Quinta.- (14)

La intervención, así como la disolución y liquidación de un emisor de dinero electrónico no afecta a los recursos que deben ser destinados por dicha empresa a constituir el patrimonio fideicometido para respaldar a los tenedores de cuentas de dinero electrónico, de conformidad con el artículo 15° de este Reglamento.

Las cuentas de dinero electrónico serán transferidas a otro emisor conforme lo determine la Superintendencia, mediante resolución específica, garantizándose en todo momento la integridad de los fondos del público.

En aplicación de lo establecido en numeral 5 del artículo 118° de la Ley General, los pagos que el emisor deba realizar para cubrir las obligaciones resultantes de la compensación de dinero electrónico a que se refiere el Reglamento de los Acuerdos de Pago de Dinero Electrónico, se encuentran excluidos de la masa para fines del proceso de liquidación.

DISPOSICIÓN TRANSITORIA

Las empresas supervisadas que al momento de la entrada en vigencia de la presente norma, brinden servicios que se consideren dinero electrónico, los deberán identificar y ponerlos en conocimiento de esta Superintendencia, dentro de los quince 15 días calendario de la entrada en vigencia de la presente norma, para los fines pertinentes.”

Artículo Segundo

Los servicios financieros a los que se refieren la Segunda Disposición Complementaria Final de la Ley n° 29985 y el artículo 12° del Reglamento de la Ley nº 29985 que Regula las Características Básicas del Dinero Electrónico, aprobado por Decreto Supremo n° 090-2013-EF, consideran a los productos y servicios brindados a los usuarios que impliquen el uso de servicios de telecomunicaciones, en especial a los servicios que usan el teléfono móvil como soporte.

Artículo Tercero

Modificar el Manual de Contabilidad para las Empresas del Sistema Financiero, conforme al Anexo adjunto a la presente resolución, el cual se publica en el Portal Institucional (www.sbs.gob.pe ), según lo dispuesto en el Decreto Supremo n° 001-2009-JUS.

Artículo Cuarto

La presente Resolución entra en vigencia al día siguiente de su publicación en el diario oficial El Peruano, salvo lo dispuesto en el artículo tercero que entrará en vigencia para la información correspondiente al mes de enero de 2014.

Las empresas que al momento de la entrada en vigencia del Reglamento de las Operaciones con Dinero Electrónico brinden servicios que se consideren dinero electrónico, tendrán sesenta (60) días calendario para adecuarse a lo establecido en el Reglamento antes mencionado.

Regístrese, comuníquese y publíquese.

JAVIER POGGI CAMPODÓNICO. Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

—————————————————————————–

(1) Literal sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(2) Literal incorporado por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(3) Literal incorporado por la Resolución SBS n° 465-2017 de 02 de febrero de 2017

(4) Párrafo sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(5) Literal sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(6) Párrafo sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(7) Párrafo sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(8) Nombre de artículo sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(9) Párrafo sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(10) Título sustituido por la Resolución SBS n°4628 de 13/08/2015

(11) Título sustituido por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(12) Disposición sustituida por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(13) Disposición incorporada por la Resolución SBS n°4628 de 13/08/2015 y sustituida por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

(14) Disposición incorporada por la Resolución SBS n° 465-2017 de 02 de febrero de 2017.

28Feb/21

Resolución SBS nº 504-2021 de 19 de febrero de 2021

Resolución SBS nº 504-2021 de 19 de febrero de 2021, que aprueba el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico. (El Peruano, martes 23 de febrero de 2021).

SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

Aprueban el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico

Resolución SBS nº 504-2021

Lima, 19 de febrero de 2021

LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

CONSIDERANDO:

Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante la Resolución SBS nº 272-2017, incorpora disposiciones que tienen por finalidad que las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo adecuados;

Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la Resolución SBS nº 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la gestión efectiva del riesgo operacional;

Que, esta Superintendencia emitió la Circular G-140-2009 con la finalidad de establecer criterios mínimos para una adecuada gestión de la seguridad de la información;

Que, resulta necesario actualizar la normativa sobre gestión de seguridad de la información vía la aprobación de un reglamento, complementario al Reglamento para la Gestión del Riesgo Operacional, tomando en cuenta los estándares y buenas prácticas internacionales sobre seguridad de la información, entre los que se encuentran los publicados por el National Institute of Standards and Technology y la familia de estándares ISO/IEC;

Que, la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos, del sistema financiero, de seguros y privado de pensiones, hace necesario que las empresas de dichos sistemas supervisados fortalezcan sus capacidades de ciberseguridad y procesos de autenticación;

Que, asimismo, es necesario modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS nº 6523-2013 y normas sus modificatorias; el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias; el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus normas modificatorias; así como el Reglamento de Auditoría Externa, aprobado por la Resolución SBS nº 17026-2010 y sus normas modificatorias;

Que, para recoger las opiniones del público, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos, de Conducta de Mercado e Inclusión Financiera y de Asesoría Jurídica; y,

En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley nº 26702 y sus modificatorias, y el inciso d) del artículo 57 de la Ley del Sistema Privado de Administración de Fondos de Pensiones, cuyo Texto Único Ordenado es aprobado por Decreto Supremo nº 054-97-EF;

RESUELVE:

Artículo Primero

Aprobar el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, según se indica a continuación:

Reglamento Para la Gestión de la Seguridad de la Información y la Ciberseguridad

Capítulo I.- Disposiciones Generales

Artículo 1.- Alcance

1.1. El presente Reglamento es de aplicación a las empresas señaladas en los artículos 16 y 17 de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas, al igual que las referidas en los párrafos 1.2 y 1.3.

1.2. También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de dichas instituciones.

1.3. Es de aplicación a las empresas corredoras de seguros de acuerdo con lo dispuesto en la Cuarta Disposición Complementaria Final del presente Reglamento.

Artículo 2. Definiciones

Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes definiciones:

a) activo de información: Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa y tiene un ciclo de vida.

b) amenaza: Evento que puede afectar adversamente la operación de las empresas y sus activos de información, mediante el aprovechamiento de una vulnerabilidad.

c) autenticación: Para fines de esta norma, es el proceso que permite verificar que una entidad es quien dice ser, para lo cual hace uso de las credenciales que se le asignan. La autenticación puede usar uno, dos o más factores de autenticación independientes, de modo que el uso sin autorización de uno de ellos no compromete la fiabilidad o el acceso a los otros factores.

d) canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits.

e) Ciberseguridad: Protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos.

f) credencial: Conjunto de datos que es generado y asignado a una entidad o un usuario para fines de autenticación.

g) directorio: Directorio u órgano equivalente.

h) entidad: Usuario, dispositivo o sistema informático que tiene una identidad en un sistema, lo cual la hace separada y distinta de cualquier otra en dicho sistema.

i) evento: Un suceso o serie de sucesos que puede ser interno o externo a la empresa, originado por la misma causa, que ocurre durante el mismo periodo de tiempo, según lo definido en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

j) Factores de autenticación de usuario: Aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías:

– Algo que solo el usuario conoce.

– Algo que solo el usuario posee.

– Algo que el usuario es, que incluye las características biométricas.

k) identidad: Una colección de atributos que definen de forma exclusiva a una entidad.

l) incidente: Evento que se ha determinado que tiene un impacto adverso sobre la organización y que requiere de acciones de respuesta y recuperación.

m) información: Datos que pueden ser procesados, distribuidos, almacenados y representados en cualquier medio electrónico, digital, óptico, magnético, impreso u otros, que son el elemento fundamental de los activos de información.

n) Interfaz de programación de aplicaciones:

Colección de métodos de invocación y parámetros asociados que puede utilizar un software para solicitar acciones de otro software, lo que define los términos en que estos intercambian datos. También conocido como API, por sus siglas en inglés.

o) Servicios en nube: Servicio de procesamiento de datos provisto mediante una infraestructura tecnológica que permite el acceso de red a conveniencia y bajo demanda, a un conjunto compartido de recursos informáticos configurables que se pueden habilitar y suministrar rápidamente, con mínimo esfuerzo de gestión o interacción con los proveedores de servicios.

p) reglamento: Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

q) reglamento de Gobierno corporativo y de la Gestión Integral de Riesgos: Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por la Resolución SBS nº 272-2017 y sus normas modificatorias.

r) Reglamento para la Gestión de Riesgo operacional: Reglamento para la Gestión de Riesgo Operacional, aprobado por la Resolución SBS nº 2116-2009 y sus normas modificatorias.

s) superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

t) Procesamiento de datos: El conjunto de procesos que consiste en la recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, transferencia, difusión, borrado o destrucción de datos.

u) Usuario: persona natural o jurídica que utiliza o puede utilizar los productos ofrecidos por las empresas.

v) Vulnerabilidad: Debilidad que expone a los activos de información ante amenazas que pueden originar incidentes con afectación a los mismos activos de información, y a otros de los que forma parte o con los que interactúa.

Artículo 3. Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C)

3.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.

3.2. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) implica, cuando menos, los siguientes objetivos:

a) Confidencialidad: La información sólo es disponible para entidades o procesos autorizados, incluyendo las medidas para proteger la información personal y la información propietaria;

b) Disponibilidad: Asegurar acceso y uso oportuno a la información; e,

c) Integridad: Asegurar el no repudio de la información y su autenticidad, y evitar su modificación o destrucción indebida.

Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C)

4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.

4.2. Las disposiciones descritas en el Capítulo II, Subcapítulos I, II, III y IV del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen General):

a) Empresa Bancaria;

b) Empresa Financiera;

c) Caja Municipal de Ahorro y Crédito – CMAC;

d) Caja Municipal de Crédito Popular – CMCP;

e) Caja Rural de Ahorro y Crédito – CRAC;

f) Empresa de Seguros y/o Reaseguros, conforme a lo dispuesto en el párrafo 4.4;

g) Empresa de Transporte, Custodia y Administración de Numerario;

h) Administradora Privada de Fondos de Pensiones;

i) Empresa Emisora de Tarjetas de Crédito y/o de Débito;

j) Empresa Emisora de Dinero Electrónico; y

k) El Banco de la Nación.

4.3. Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simplificado):

a) Banco de Inversión;

b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4;

c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;

d) Empresa de Transferencia de Fondos;

e) Derrama y Caja de Beneficios bajo control de la Superintendencia;

f) La Corporación Financiera de Desarrollo –COFIDE;

g) El Fondo MIVIVIENDA S.A.;

h) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI;

i) El Banco Agropecuario; y,

j) Almacenes Generales.

4.4. Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el Régimen General del presente Reglamento.

4.5. Las empresas señaladas en el Artículo 1, no listadas en los párrafos 4.2 o 4.3 anteriores del presente Reglamento, podrán establecer un sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) conforme a las disposiciones de este Reglamento.

4.6. En caso las empresas del Sistema Financiero listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simplificado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles.

4.7. Las disposiciones descritas en el Capítulo II, Subcapítulo VI (Régimen Reforzado) del presente Reglamento son de aplicación obligatoria a las empresas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo con lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado por la Resolución SBS nº 8425-2011 y sus normas modificatorias.

Artículo 5. Responsabilidades del directorio

El directorio es responsable de aprobar y facilitar las acciones requeridas para contar con un SGSI-C apropiado a las necesidades de la empresa y su perfil de riesgo, entre ellas:

a) Aprobar políticas y lineamientos para la implementación del SGSI-C y su mejora continua.

b) Asignar los recursos técnicos, de personal, financieros requeridos para su implementación y adecuado funcionamiento.

c) Aprobar la organización, roles y responsabilidades para el SGSI-C, incluyendo los lineamientos de difusión y capacitación que contribuyan a un mejor conocimiento de los riesgos involucrados.

Artículo 6. Responsabilidades de la gerencia

6.1 La gerencia general es responsable de tomar las medidas necesarias para implementar el SGSI-C de acuerdo a las disposiciones del directorio y lo dispuesto en este Reglamento.

6.2 Los gerentes de las unidades de negocios y de apoyo son responsables de apoyar el buen funcionamiento del SGSI-C y gestionar los riesgos asociados a la seguridad de la información y Ciberseguridad en el marco de sus funciones.

Artículo 7. Funciones del comité de riesgos

7.1 Adicionalmente a las funciones que se han dispuesto que el Comité de Riesgos de las empresas asuman por parte de la normativa de la Superintendencia, se encuentran las siguientes vinculadas a la seguridad de la información y ciberseguridad:

a) Aprobar el plan estratégico del SGSI-C y recomendar acciones a seguir.

b) Aprobar el plan de capacitación a fin de garantizar que el personal, la plana gerencial y el directorio cuenten con competencias necesarias en seguridad de la información y Ciberseguridad.

c) Fomentar la cultura de riesgo y conciencia de la necesidad de medidas apropiadas para su prevención.

7.2. Para el cumplimiento de las funciones indicadas en el párrafo 7.1, la empresa puede constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC). Para las empresas comprendidas en el régimen simplificado, que no cuenten con un Comité de Riesgos o un CSIC, las funciones antes indicadas son asignadas a la Gerencia General.

Artículo 8. función de seguridad de información y Ciberseguridad

8.1. Son responsabilidades de la función de seguridad de la información y ciberseguridad:

a) Proponer el Plan estratégico del SGSI-C y desarrollar los planes operativos.

b) Implementar y manejar las operaciones diarias necesarias para el funcionamiento efectivo del SGSI-C.

c) Implementar procesos de autenticación para controlar el acceso a la información y sistema que utilice la empresa, y a los servicios que provea.

d) Informar al Comité de Riesgos periódicamente sobre los riesgos que enfrenta la empresa en materia de seguridad de información y ciberseguridad.

e) Informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC, según los lineamientos que este establezca, y a las entidades gubernamentales que lo requieran de acuerdo con la normativa vigente.

f) Evaluar las amenazas de seguridad en las estrategias de continuidad del negocio que la empresa defina y proponer medidas de mitigación de riesgos, así como informar al Comité de Riesgos o CSIC.

g) En general realizar lo necesario para dar debido cumplimiento a lo dispuesto en el presente Reglamento.

8.2. Las empresas deben implementar la función de seguridad de la información y ciberseguridad. Además deben contar con un equipo de trabajo multidisciplinario de manejo de incidentes de ciberseguridad, el cual debe estar capacitado para implementar el plan y los procedimientos para gestionarlos, conformado por representantes de las áreas que permitan prever en ellos los aspectos legales, técnicos y organizacionales, de forma consistente con los requerimientos del programa de ciberseguridad establecidos en este Reglamento.

8.3. Las empresas comprendidas en el régimen simplificado, deben contar con una función de seguridad de la información y ciberseguridad, que cumpla por lo menos con los literales a), e), f) y g) del párrafo 8.1 del presente artículo.

Artículo 9. información a la superintendencia

Como parte de los informes periódicos sobre gestión del riesgo operacional requeridos por el Reglamento para la Gestión del Riesgo Operacional, las empresas deben incluir información sobre la gestión de la seguridad de la información y ciberseguridad.

Capítulo II.- Sistema de Gestión de Seguridad de la Información y Ciberseguridad  (SGSI-C)

Subcapítulo I.- Régimen General del Sistema de Gestión de Seguridad de la Información y Ciberseguridad. (SGSI-C)

Artículo 10. Objetivos y requerimientos del SGSI-C

Son objetivos del SGSI-C los siguientes:

1. Identificar los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos:

a) El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos.

b) Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales.

c) Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación.

d) Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa.

2. Revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el artículo 12 de este Reglamento y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información.

3. Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

Artículo 11. alcance del SGSI-C

El alcance del SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros, que estén bajo responsabilidad de la empresa, conforme a las disposiciones establecidas sobre subcontratación en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

Artículo 12. Medidas mínimas de seguridad de la información a adoptar por las empresas

Las empresas deben adoptar las siguientes medidas mínimas de seguridad de información:

1. Seguridad de los recursos humanos:

a) Implementar protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral.

b) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información.

2. Controles de acceso físico y lógico:

a) Prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota.

b) Implementar procedimientos de administración de accesos, lo que debe incluir a las cuentas de accesos con privilegios administrativos; asegurando una segregación de funciones para reducir el riesgo de error o fraude, siguiendo los principios de mínimo privilegio y necesidad de conocer.

c) Implementar procesos de autenticación para controlar el acceso a los activos de información; en particular, para el acceso a los servicios provistos a usuarios por canales digitales, los procesos de autenticación deben cumplir los requisitos establecidos en el Subcapítulo III del Capítulo II del presente Reglamento.

3. Seguridad en las operaciones:

a) Asegurar y prever el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información.

b) Mantener la operación de los sistemas informáticos acorde a procedimientos previamente establecidos.

c) Controlar los cambios en el ambiente operativo de sistemas, y mantener segregados los ambientes de desarrollo, pruebas y producción.

d) Implementar controles que aseguren la integridad de las transacciones que son ejecutadas en los servicios y sistemas informáticos.

e) Restringir la instalación de software en los sistemas operativos y prevenir la explotación de las vulnerabilidades de seguridad de la información.

f) Contar con protocolos de respuesta y recuperación ante incidentes de malware; generar y probar copias de respaldo de información, software y elementos que faciliten su restablecimiento.

g) Definir, implementar y mantener líneas base de configuración segura para el uso de dispositivos e implementación de sistemas informáticos.

h) Contar con una estrategia de copias de respaldo y procedimientos de restauración de información ante posibles incidentes, de origen interno o externo, que comprometa la disponibilidad de la información para las operaciones y del ambiente productivo del centro de procesamiento de datos.

4. Seguridad en las comunicaciones:

a) Implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta.

b) Asegurar que las redes de comunicaciones y servicios de red son gestionados y controlados para proteger la información.

c) Segregar los servicios de información disponibles, usuarios y sistemas en las redes de la empresa.

d) Implementar protocolos seguros y controles de seguridad para la transferencia de información, dentro de la organización y con partes externas.

e) Asegurar que el acceso remoto, el uso de equipos personales en la red de la empresa, dispositivos móviles y la interconexión entre redes propias y de terceros cuente con controles acorde a las amenazas de seguridad existentes.

5. Adquisición, desarrollo y mantenimiento de sistemas:

a) Implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que se procese y amenazas a las que se encuentren expuestos.

b) Asegurar que se incluyan prácticas de seguridad de la información en la planificación, desarrollo, implementación, operación, soporte y desactivación en las aplicaciones y sistemas informáticos.

c) Limitar el acceso a la modificación de librerías de programas fuente y mantener un estricto control de cambios.

d) Cuando la plataforma operativa sea cambiada, las aplicaciones críticas deben ser revisadas y probadas para evitar efectos adversos en la seguridad de estas.

e) Asegurar que se efectúen pruebas técnicas, funcionales y de seguridad de la información en los sistemas informáticos antes del pase a producción.

f) Implementar y verificar el cumplimiento de procedimientos que incluyan prácticas de desarrollo seguro de servicios y sistemas informáticos.

6. Gestión de incidentes de ciberseguridad:

a) Implementar procedimientos para la gestión de incidentes de ciberseguridad, de acuerdo a lo señalado en el párrafo 8.2 del artículo 8 del presente Reglamento; así también, intercambiar información cuando corresponda, conforme al artículo 16 del presente Reglamento.

b) Implementar una metodología para clasificar los incidentes de ciberseguridad y prever protocolos de respuesta y recuperación.

c) Contar con un servicio de operaciones de seguridad de la información, que incluya capacidades para la detección y respuesta, el monitoreo de comunicaciones en la red interna y el grado de funcionamiento de la infraestructura tecnológica.

d) Contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes, así como también a bases de conocimiento de técnicas y tácticas utilizadas por los agentes de amenazas.

e) Implementar mecanismos de reporte interno de incidentes de ciberseguridad, de acuerdo con lo señalado en el artículo 8 del presente Reglamento, y a la Superintendencia conforme al artículo 15 del presente Reglamento.

f) Identificar las posibles mejoras para su incorporación a la gestión de incidentes de ciberseguridad, luego de la ocurrencia de estos.

g) Preservar las evidencias que faciliten las investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información.

7. Seguridad física y ambiental

a) Implementar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa.

b) Adoptar medidas para evitar pérdida, daño, robo o compromiso de los activos de información y la interrupción de las operaciones, mediante la protección del equipamiento y dispositivos tomando en cuenta el entorno donde son utilizados.

8. Criptografía

a) Utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información, tanto cuando los datos asociados están en almacenamiento y en transmisión.

b) Implementar los procedimientos necesarios para administrar el ciclo de vida de las llaves criptográficas a utilizar.

9. Gestión de activos de información

a) Identificar los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó.

b) Asegurar que el nivel de protección y tratamiento de la información se realice acorde a su clasificación en términos de los requisitos legales, valor, criticidad y sensibilidad a la divulgación o modificación no autorizada.

c) Establecer medidas para evitar la divulgación, modificación, eliminación o destrucción no autorizadas de información, en el uso de dispositivos removibles.

Artículo 13. Actividades planificadas

En el marco del Plan estratégico del SGSI-C, la empresa debe mantener planes operativos, por lo menos para los siguientes fines:

a) Identificar los activos de información, clasificarlos, analizar las amenazas y vulnerabilidades asociadas a estos, y tomar medidas de tratamiento correspondientes.

b) Someter el SGSI-C a evaluaciones, revisiones y pruebas periódicas para determinar su efectividad, mediante servicios internos y externos, y en función al nivel de complejidad y amenazas sobre los activos de información asociados. En función a los resultados que obtenga, debe incorporar las mejoras o adoptar los correctivos.

c) Atender las necesidades de capacitación y difusión, según corresponda a los roles y funciones en la organización, en materia de seguridad de la información y ciberseguridad para asegurar la efectividad del SGSI-C.

d) Desarrollar el programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento.

e) Revisar periódicamente, y actualizar cuando corresponda, las políticas de seguridad de la información que se establezcan para implementar los requerimientos establecidos en el artículo 12 del presente Reglamento.

Subcapítulo II.- Ciberseguridad

Artículo 14. Programa de ciberseguridad

14.1 Toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.

14.2 El PG-C debe prever un diagnóstico y un plan de mejora sobre sus capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cuando menos lo siguiente:

a) Identificación de los activos de información.

b) Protección frente a las amenazas a los activos de información.

c) Detección de incidentes de ciberseguridad.

d) Respuesta con medidas que reduzcan el impacto de los incidentes.

e) Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.

Artículo 15. Reporte de incidentes de ciberseguridad significativos

15.1 La empresa debe reportar a la Superintendencia, en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de:

a) Pérdida o hurto de información de la empresa o de clientes.

b) Fraude interno o externo.

c) Impacto negativo en la imagen y reputación de la empresa.

d) Interrupción de operaciones.

15.2 La empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente.

15.3 La Superintendencia, mediante norma de carácter general, establece el contenido mínimo, formato y protocolos adicionales a utilizar en dicho reporte.

Artículo 16. intercambio de información de ciberseguridad

16.1 La empresa debe hacer los arreglos necesarios para contar con información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades.

16.2 Al intercambiar información relativa a ciberseguridad, la empresa puede suscribir acuerdos con otras empresas del sector o con terceros que resulten relevantes, de forma bipartita, colectiva o gremial, para lo cual definirán los criterios pertinentes.

16.3 Mediante norma de carácter general, la Superintendencia puede establecer requerimientos específicos para que se incorporen en el intercambio de información de ciberseguridad.

Subcapítulo III.- Autenticación

Artículo 17. Implementación de los procesos autenticación

17.1 La empresa debe implementar procesos de autenticación, conforme a la definición establecida en este Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales, previo a lo cual debe evaluar formalmente y tomar medidas sobre:

a) El o los factores de autenticación que serán requeridos.

b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.

c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.

d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.

e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

17.2 Los procesos de autenticación deben ser reevaluados siempre que la tecnología utilizada para su implementación deje de contar con el soporte del fabricante, o tras el descubrimiento de nuevas vulnerabilidades que pueden exponerlos.

17.3 La empresa debe mantener y proteger los registros detallados de lo actuado en cada enrolamiento de usuario, intento de autenticación y cada operación que requiera de autenticación previa.

17.4 La empresa debe contar con herramientas y procedimientos para implementar el monitoreo de transacciones que permita tomar medidas de reducción de la posibilidad de operaciones fraudulentas, que incorpore los escenarios de fraude ya conocidos, y el robo o compromiso de los elementos utilizados para la autenticación.

Artículo 18. Enrolamiento del usuario en servicios provistos por canal digital

18.1 El enrolamiento de un usuario en un canal digital requiere por lo menos:

a) Verificar la identidad del usuario y tomar las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que incluye el uso de dos factores independientes de categorías diferentes, según el literal j) del artículo 2 de este Reglamento.

b) Generar las credenciales y asignarlas al usuario.

18.2 La empresa debe gestionar el ciclo de vida de las credenciales que genere y asigne a sus usuarios, para lo cual debe prever los procedimientos para su activación, suspensión, reemplazo, renovación y revocación; así también, cuando corresponda, asegurar su confidencialidad e integridad.

Artículo 19. autenticación reforzada para operaciones por canal digital

Se requiere de autenticación reforzada para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente, como las operaciones a través de un canal digital que impliquen pagos o transferencia de fondos a terceros, registro de un beneficiario de confianza, modificación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, modificación de límites y condiciones, para lo cual se requiere:

a) Utilizar una combinación de factores de autenticación, según el literal j) del artículo 2 del presente Reglamento que, por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro.

b) Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez.

c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.

Artículo 20. Exenciones de autenticación reforzada para operaciones por canal digital

20.1 Están exentas del requisito de autenticación reforzada indicado en el artículo 19 del presente Reglamento, las siguientes operaciones realizadas por canal digital:

a) Las operaciones de pago, pagos periódicos o transferencia hacia un beneficiario registrado previamente por el usuario como beneficiario de confianza, como destinatario usual de dichas operaciones.

b) Las operaciones de pago, pagos periódicos o transferencias a cuentas en las que el cliente y el beneficiario sean la misma persona, sea natural o jurídica, y siempre que dichas cuentas se mantengan en la empresa.

20.2 Las operaciones de pago que presenten un nivel de riesgo de fraude bajo, como resultado de un análisis del riesgo en línea por operación, están exentas de la autenticación reforzada, siempre que la empresa cumpla con:

i. Implementar alguno de los estándares de la industria de pagos, EMV 3DS y tokenización de pagos EMV, en sus versiones más recientes.

ii. Definir el monto de umbral por operación por debajo del cual aplicará la exención por el citado análisis de riesgos.

iii. Medir periódicamente el ratio de fraude de las operaciones de pago por canal y tipo de operación.

iv. Actualizar periódicamente las reglas aplicables en el análisis de riesgo en función al indicador de riesgo de fraude.

v. Utilizar los datos que estén disponibles por cada tipo de operación, que incluye, pero no se limita a, los asociados al comportamiento del usuario, al medio utilizado y los que de este se pueda obtener para fines del análisis de riesgo.

20.3 Las operaciones no reconocidas por los clientes que hayan sido efectuadas en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales, son responsabilidad de la empresa, para lo cual deben implementar mecanismos que ante el repudio de la operación por parte del usuario garanticen su aplicación inmediata.

Artículo 21. Uso de API para la provisión de servicios en línea

21.1 El uso de interfaces de programación de aplicaciones, para proveer servicios para realizar operaciones, a través de servicios de terceros, requiere que se implementen las siguientes medidas:

a) Análisis de riesgos asociados e implementar las medidas de mitigación.

b) La autenticación mutua de los sistemas y la de los usuarios.

c) La autorización de las operaciones por parte de los usuarios.

d) El cifrado de datos en almacenamiento o transmisión.

e) Prácticas de desarrollo seguro de API y revisión de prácticas de codificación segura.

f) Análisis de vulnerabilidades y pruebas de penetración.

g) La seguridad de la infraestructura tecnológica que lo soporta.

h) Los mecanismos de tolerancia ante fallos y de contingencia.

i) Control de accesos en el entorno de datos, sistemas e infraestructura.

j) Monitoreo de eventos de seguridad de la información y gestión de estos cuando se constituyan en incidentes.

21.2 La empresa debe tomar como referencia estándares y marcos de referencia internacionales, y cuando sea factible adoptarlos en el marco de acuerdos gremiales o sectoriales, para la implementación del intercambio y encriptación de datos, así como la autenticación y la autorización de operaciones, sin que ello sea una lista restrictiva.

21.3 Las especificaciones técnicas de las API utilizadas deben encontrarse documentadas de forma que facilite su auditoría y la implementación necesaria para su uso.

21.4 Las empresas deben implementar las medidas necesarias para garantizar que el tercero autorizado por el usuario, acceda únicamente a la información indicada por este último.

Subcapítulo IV.- Provisión de Servicios por terceros

Artículo 22. Servicios provistos por terceros

En el caso de servicios provistos por terceros en aspectos referidos a gestión de tecnología de la información, a gestión de seguridad de la información o a procesamiento de datos, la empresa, además de cumplir con los requerimientos establecidos en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y el Reglamento para la Gestión de Riesgo Operacional debe:

a) Evaluar las amenazas y vulnerabilidades de seguridad de la información en la provisión de bienes y servicios e implementar medidas de tratamiento.

b) Asegurar que el arreglo contractual con el proveedor y su implementación le permiten cumplir con las obligaciones establecidas en el presente Reglamento.

c) Establecer los roles y responsabilidades que el proveedor asume contractualmente sobre la seguridad de la información y asegurar que la empresa efectúe las implementaciones complementarias correspondientes para la atención de los requerimientos del presente Reglamento.

Artículo 23. Uso de servicios en nube Para hacer uso de los servicios en nube, la empresa debe implementar políticas y procedimientos de seguridad de la información que sean de aplicación específica, que tome en cuenta un marco de buenas prácticas internacionales para el uso de estos servicios, y que además de los requerimientos del artículo 22 del Reglamento, incluya los siguientes aspectos:

a) Requerimientos de seguridad de la información que los servicios de nube deben cumplir y procedimientos para asegurar la implementación antes de su uso.

b) Lineamientos para segregación de redes que permita el aislamiento de la información de la empresa respecto a la de terceros en el entorno compartido del servicio en nube.

c) Evaluación de la disponibilidad de registro de eventos (log) que el proveedor de servicio en nube ofrece y atención de la necesidad de registros adicionales para el monitoreo de seguridad de la información.

d) Previsión de plan de capacitación para los niveles gerenciales, administradores de estos servicios, personal a cargo de su implementación y quienes hacen uso de ellos, sobre aquello necesario para el manejo de la seguridad de la información en estos.

Artículo 24. Servicios significativos de procesamiento de datos

24.1 La contratación de un servicio significativo provisto por terceros para el procesamiento de datos, incluido los servicios en nube, debe ser considerado como un cambio importante en el ambiente informático, siendo aplicable la definición de servicio significativo establecida en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y la normativa vigente asociada a nuevos productos y cambios importantes.

24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio significativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda:

a) Asegurar el acceso adecuado a la información, en tiempos razonables y a solo requerimiento, por parte de la Superintendencia, Auditoría Interna y la Sociedad de Auditoría Externa, en condiciones normales de operación y en regímenes especiales.

b) Gestionar los incidentes de seguridad de la información, conforme al numeral 6 del artículo 12 y de desarrollar las actividades planificadas previstas en el artículo 13 del presente Reglamento, en lo aplicable al servicio significativo de procesamiento de datos del que se trate.

c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor, de acuerdo a los tiempos objetivos de recuperación definidos por la empresa para dichos servicios. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor.

d) Mantener un inventario de los servicios que el proveedor, a su vez, contrata con terceros (contratación en cadena) y que se encuentren relacionados a los servicios contratados por la empresa.

e) Asegurar que la información de carácter confidencial en custodia del proveedor sea eliminada definitivamente ante la resolución del acuerdo contractual.

f) Verificar anualmente que el proveedor de servicios de procesamiento de datos cuenta con controles de seguridad de la información, conforme a la normativa vigente sobre seguridad de la información, en lo aplicable al servicio provisto. Ello puede ser sustentado mediante informes independientes y reportes de auditoría que incluyen en su alcance la verificación de

dichos controles.

g) Cuando se trate de servicios en nube, para cumplir con lo requerido en el literal previo, la empresa debe evidenciar anualmente que el proveedor mantiene vigente las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018, y que cuenta con un reporte SOC 2 tipo 2 u otros equivalentes, relevantes al servicio provisto y a la zona o región desde donde se provee el servicio.

24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) o h), del párrafo anterior; por lo menos treinta (30) días calendario antes de iniciar la provisión del procesamiento de datos.

Artículo 25. autorización para la contratación de servicio significativo de procesamiento de datos provisto por terceros desde el exterior

25.1 La empresa debe solicitar autorización de la Superintendencia, previo a la contratación de un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, en caso dicho servicio presente limitaciones para cumplir con los requerimientos establecidos en el párrafo 24.2 del artículo 24 del presente Reglamento, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles. Para solicitar dicha autorización las empresas deben presentar junto con su solicitud, un informe con los sustentos legales de las limitaciones identificadas y una propuesta de plan de implementación de las medidas compensatorias.

25.2 La autorización que conceda esta Superintendencia es específica al proveedor del servicio y, al país y ciudad desde el que se recibe, así como a las condiciones generales que fueron objeto de la autorización, por lo que de existir modificaciones en ellas y, de mantenerse la limitación citada en el párrafo previo, se requiere de un nuevo procedimiento de autorización ante la Superintendencia.

Subcapítulo V.- Régimen Simplificado del SGSI-C

Artículo 26. Sistema simplificado de gestión de seguridad de la información

26.1 El régimen simplificado de gestión de seguridad de la información requiere la planificación y ejecución de las siguientes actividades mínimas, cuya periodicidad por lo menos debe ser anual:

a) Identificar con las unidades de negocio y de apoyo, cuál es la información de mayor importancia, por las obligaciones normativas o contractuales existentes, y por la necesidad de operar.

b) Identificar los dispositivos que se conectan a la red interna y todo software que se encuentre instalado en la infraestructura tecnológica, y asegurar que se encuentren acorde a una configuración segura previamente establecida.

c) Identificar las cuentas de usuario con permisos de acceso habilitados y en particular las que poseen privilegios administrativos con posibilidad de adicionar software a la infraestructura, y mantener el principio de mínimos privilegios otorgados.

d) Implementar y mantener una línea base de seguridad en sistemas operativos y aplicaciones utilizadas, incluidos los correspondientes a dispositivos móviles, estaciones de trabajo, servidores y dispositivos de comunicaciones. Identificar y evaluar la habilitación de las funciones de seguridad integradas en los sistemas operativos.

e) Priorizar y gestionar las vulnerabilidades de seguridad identificadas, para cuya identificación oportuna debe contar con los servicios de información necesarios.

f) Desarrollar una campaña de orientación para la adopción de prácticas seguras dirigida a los empleados, plana gerencial y de dirección.

26.2 En caso la empresa provea alguna de las operaciones indicadas en el artículo 19 del presente Reglamento por canal digital, en lo que corresponda a su implementación, debe cumplir con las disposiciones establecidas en el Subcapítulo III del Capítulo II del presente Reglamento.

26.3 En caso utilice servicios significativos provistos por terceros, en lo que corresponda a su implementación, la empresa debe cumplir con las disposiciones establecidas en el Subcapítulo IV del Capítulo II del presente Reglamento.

26.4 La empresa debe mantener un programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento, con un alcance que por lo menos incluya los servicios indicados en los párrafos 26.2 y 26.3 del artículo 26 del presente Reglamento.

Subcapítulo VI.- Régimen reforzado del SGSI-C

Artículo 27. Requerimientos adicionales para empresa con concentración de mercado

27.1 El directorio debe designar a un director como responsable de velar por la efectividad del sistema de gestión de seguridad de la información, lo que incluye el desarrollo del plan estratégico del SGSI-C.

27.2 La empresa debe someter periódicamente a una evaluación independiente del alcance y la efectividad del SGSI-C; dicha evaluación podrá ser realizada por la unidad de auditoría interna u otro equipo que cumpla el requisito de independencia, siempre que posea experiencia previa y certificaciones internacionales que demuestren la preparación técnica necesaria.

Disposiciones Complementarias finales

Primera

La empresa puede contar con un marco para la gestión de los riesgos asociados a la seguridad de la información, que debe ser integrado en lo que corresponda en la gestión del riesgo operacional, conforme a los lineamientos establecidos en el artículo 22° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

Segunda

Los informes a los que se refieren los literales g) y h) del artículo 12°, y el artículo 27° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos deben incluir la evaluación de los riesgos asociados a la seguridad de la información.

Tercera

En caso de eventos que afecten la continuidad operativa y que tengan como causa probable un incidente de seguridad de la información, es aplicable lo señalado en el artículo 15 del Reglamento para la Gestión de la Continuidad del Negocio, aprobado por la Resolución SBS nº 877-2020, sobre reporte de eventos de interrupción significativa.

Cuarta

La aplicación del presente Reglamento se extiende a las empresas corredoras de seguros del segmento 1, según segmentación establecida en el artículo 36 del Reglamento para la Supervisión y Control de los Corredores y Auxiliares de Seguros aprobado por la Resolución SBS nº 809-2019, a dichas empresas les es exigible el párrafo 26.1 del artículo 26, Subcapítulo V, Capítulo II, del presente Reglamento.

Artículo segundo

Modificar el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus modificatorias, conforme a lo siguiente:

En el Anexo “Actividades Programadas”, sustituir el numeral 3 de la Sección I, el numeral 1 de la Sección II, el numeral 1 de la Sección III, el numeral 2 de la Sección IV, el numeral 3 de la Sección V y el numeral 1 de la Sección VI, conforme a los siguientes textos:

“I. Empresas señaladas en los literales A, B y C del artículo 16º de la Ley General (Excepto las empresas afianzadoras y de garantías), Banco de la Nación, Banco Agropecuario, Fondo Mivivienda y Corporación financiera de desarrollo (COFIDE).

(….)

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(….)”

“II. Empresas de seguros y/o de reaseguros

1) Evaluación de la gestión de los riesgos distintos a los riegos técnicos de seguros, que incluyen riesgo operacional, de mercado, de crédito, entre otros, y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(…)”

“III. Empresas de servicios complementarios y conexos

1) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad.

(…)”

“IV. Empresas Afianzadoras y de Garantías

(…)

2) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre seguridad de la información y Ciberseguridad.

(…)”

“V. Derramas y Cajas de Pensiones

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y Ciberseguridad;

(…)”

“VI. Administradoras privadas de Fondos de Pensiones (AFP)

1) Evaluación de la gestión del riesgo operacional y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio yd e seguridad de la información;

(…)”

Artículo Tercero

Modificar el literal b) del segundo párrafo del artículo 20° Informe sobre el sistema de control interno del Reglamento de Auditoría Externa, aprobado por Resolución SBS nº 17026-2010 y sus modificatorias, de acuerdo a lo siguiente al siguiente texto:

“Artículo 20°.- Informe sobre el sistema de control interno

(…)

b) Evaluación de los sistemas de información de la empresa en el ámbito de la auditoría externa, que incluye, entre otros, el flujo de información en los niveles internos de la empresa para su adecuada gestión, y la revisión selectiva de la validez de los datos contenidos en la información complementaria a los estados financieros (anexos y reportes) que presentan las empresas a esta Superintendencia, según las normas vigentes sobre la materia; donde deben precisarse los sistemas que fueron parte del alcance de dicha evaluación; ,y

(…)”

Artículo cuarto

Modificar el procedimiento nº 123 relativo a la “Autorización del Procesamiento Principal en el Exterior” por “Autorización para la contratación del servicio significativo de Procesamiento de Datos provisto por terceros desde el Exterior” e incorporar el procedimiento nº198 relativo a “Autorización para aplicar el Régimen Simplificado del Sistema de Gestión de la Seguridad de la Información y la Ciberseguridad” en el Texto Único de Procedimientos Administrativos de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, aprobado mediante Resolución nº 1678-2018, cuyo texto se anexa a la presente la presente resolución y se publica en el Portal Web institucional (www.sbs.gob.pe).

Artículo Quinto

Modificar el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 y sus modificatorias, de acuerdo a lo siguiente:

1. Incorporar en el Artículo 2 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 el siguiente texto:

“rr) Proveedor: tercero contratado para brindar bienes y/o servicios a una empresa, incluso bajo la modalidad de subcontratación. Las empresas que forman parte del mismo grupo económico que la empresa contratante también son consideradas como terceros.”

2. Modificar en el Artículo 2 Definiciones y/o referencias, el literal jj) Subcontratación, de acuerdo a lo siguiente:

“jj) Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.”

3. Sustituir el Capítulo IV, así como su referencia en el Índice de dicho Reglamento por “Bienes y/o Servicios Provistos por Terceros”, con el siguiente texto:

“Capítulo IV.- Bienes y/o Servicios Provistos por Terceros

Artículo 35.- Aspectos generales

35.1. Los bienes y/o servicios provistos por terceros son aquellos entregados a la empresa por parte de un proveedor.

35.2. En caso se trate de un bien y/o servicio que pudiera ser desarrollado por la empresa pero decide solicitarlo a través de un tercero, se configura la modalidad de subcontratación.

35.3. Los bienes y/o servicios significativos provistos por terceros son aquellos que, en caso de falla o suspensión, pueden poner en riesgo importante a la empresa al afectar sus ingresos, solvencia, continuidad operativa o reputación. En caso de que algún bien y/o servicio significativo sea provisto por un tercero bajo la modalidad de subcontratación, la subcontratación se considera significativa.

35.4. Un proveedor es considerado significativo cuando provee servicios significativos, se encuentre o no, bajo la modalidad de subcontratación.

Artículo 36.- Bienes y/o servicios provistos por terceros

36.1 Los riesgos asociados a la entrega de bien y/o servicios provistos por terceros deben ser gestionados como parte del marco de gestión integral de riesgos de la empresa.

36.2 La empresa es responsable de los resultados de los bienes y/o servicios provistos por terceros bajo la modalidad de subcontratación.

36.3 La empresa debe realizar una evaluación de los riesgos asociados a los servicios significativos provistos por terceros, ya sea que se encuentren o no bajo la modalidad de subcontratación. Dicha evaluación debe ser presentada al directorio para su aprobación.

36.4 En el caso de subcontratación significativa se debe contar con cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la unidad de auditoría interna, de la sociedad de auditoría externa, así como por parte de la Superintendencia o las personas que esta designe, en los contratos suscritos con los proveedores.

36.5 La subcontratación de las funciones de la gestión de riesgos es considerada como significativa para fines de este Reglamento.

36.6 Esta Superintendencia puede definir requisitos adicionales para algunos bienes y/o servicios específicos provistos por terceros.

artículo 37°.- Autorización para la contratación de bienes y/o servicios significativos provistos por terceros

La contratación de los siguientes bienes y/o servicios significativos requiere autorización previa de esta Superintendencia y debe sujetarse a lo establecido en las normas reglamentarias específicas:

a) La subcontratación significativa de auditoría interna, de acuerdo con lo establecido en el Reglamento de Auditoría Interna o norma que lo sustituya;

b) Otros que indique la Superintendencia mediante norma general.”

Artículo sexto

Modificar el Reglamento de Riesgo Operacional, aprobado por Resolución SBS nº 2116-2009, según se indica a continuación:

1. Sustituir el literal i del artículo 2 y el artículo 14, de acuerdo con el siguiente texto:

“Artículo 2.- Definiciones

(…)

i. Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.

(…)

2. Sustituir el artículo 14 de acuerdo con el siguiente texto:

“Artículo 14.- Bienes y/o servicios provistos por terceros

La empresa debe contar con políticas y procedimientos apropiados para gestionar los riesgos asociados a los servicios provistos por terceros, y contar con un registro de estos.

La empresa debe implementar un procedimiento para la identificación de aquellos proveedores significativos precisando los casos en los que se encuentren bajo la modalidad de subcontratación.

En los casos de servicios significativos, se encuentren o no bajo la modalidad de subcontratación, y de servicios subcontratados la empresa debe considerar los siguientes aspectos:

a) Implementar un proceso de selección del proveedor del servicio.

b) Contar con un contrato, el cual debe incluir acuerdos de niveles de servicio; establecer claramente las responsabilidades del proveedor y de la empresa; establecer la jurisdicción que prevalecerá en caso de conflicto entre las partes; e incorporar los niveles de seguridad de información requeridos.

c) Gestionar y monitorear los riesgos asociados a estos servicios.

d) Mantener un registro que debe contener como mínimo:

i) Nombre del proveedor

ii) Giro o actividad principal de negocio del proveedor

iii) Descripción o listado de los servicios provistos

iv) Países, regiones y/o zonas geográficas desde donde se provee el servicio a contratar

v) Niveles de servicio acordados para su provisión

vi) Si la subcontratación es o no considerada significativa por la empresa

vii) Fecha de inicio del servicio

viii) Fecha de última renovación, si corresponde

ix) Fecha de vencimiento del servicio o la próxima fecha de renovación del contrato, según corresponda”

Artículo Séptimo

Modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS nº 6523-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir los artículos 6 y 12, de acuerdo con el siguiente texto:

“Artículo 6.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito

Las tarjetas de crédito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de crédito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

En el caso de las tarjetas con soporte físico se debe incluir el nombre del usuario de la tarjeta de crédito; información de la que se puede prescindir siempre que la empresa cumpla con el Subcapítulo III del Capítulo II del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por Resolución SBS nº 504-2021.

El plazo de vigencia de las tarjetas de crédito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 12.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito

Las tarjetas de débito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de débito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.”

Artículo octavo

Modificar el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir el artículo 4, de acuerdo con el siguiente texto:

“Artículo 4.- Soportes para uso de dinero electrónico

Los soportes mediante los cuales se puede hacer uso del dinero electrónico pueden ser los siguientes:

a) Teléfonos móviles.

b) Tarjetas prepago.

c) Cualquier otro equipo o dispositivo electrónico, que cumpla los fines establecidos en la Ley

Estos dispositivos deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite el soporte mediante el cual se hace uso del dinero electrónico.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta (marca) al que pertenece, de ser el caso.

Dicha información debe ser mostrada en un espacio visible y de fácil acceso para el usuario.

Un mismo soporte puede ser utilizado y/o asociado para realizar transacciones con más de una cuenta de dinero electrónico.”

Artículo Noveno.- Plazos y Plan de adecuación

1. En un plazo que no debe exceder de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas deben presentar a la Superintendencia, un plan de adecuación al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución, previamente aprobado por el directorio, en el cual incluya:

a) un diagnóstico preliminar de la situación existente en la empresa;

b) las acciones previstas para la total adecuación al Reglamento;

c) los funcionarios responsables del cumplimiento de dicho plan; y

d) un cronograma de adecuación.

2. Las disposiciones señaladas en el Subcapítulo III del Capítulo II y la Tercera Disposición Complementaria Final del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución tienen un plazo de adecuación hasta el 1 de julio de 2022.

3. En un plazo no mayor a treinta (30) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas que cuenten con un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, cuyo marco legal aplicable impida o limite el cumplimiento de las medidas definidas en el párrafo 24.2 del artículo 24 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado en el Artículo Primero de la presente Resolución, deben remitir un informe que contenga:

i) las limitaciones presentadas, dicho informe debe contar con el sustento legal del impedimento de su aplicación y

ii) las medidas compensatorias.

Artículo Décimo.- Vigencia

La presente Resolución entra en vigencia el 1 de julio de 2021, fecha en la que se deroga la Circular G 140-2009, con excepción de lo siguiente:

a. Los párrafos 25.1 y 25.2 del artículo 25 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por el Artículo Primero, que entran en vigencia al día siguiente de publicada la presente Resolución, fecha en la cual se deroga el artículo 7A de la Circular G 140-2009.

b. El Artículo Segundo de la presente Resolución entra en vigencia a partir de la auditoría correspondiente al ejercicio 2022.

c. Los Artículos Séptimo, Octavo y Noveno de la presente Resolución, entran en vigencia al día siguiente de la publicación de la presente Resolución, con excepción de lo indicado en el inciso d. del presente Artículo.

d. El requerimiento asociado a la inclusión conjunta de la información sobre la denominación social de la empresa emisora y el nombre comercial que la empresa asigne al producto de tarjeta de crédito y/o débito, señalado en el Artículo Séptimo de la presente Resolución, así como el requerimiento asociado a la inclusión de la dicha información en los dispositivos de soporte al dinero electrónico, señalado en el artículo Octavo de la presente Resolución; entran en vigencia el 1 de enero de 2022.

Regístrese, comuníquese y publíquese.

SOCORRO HEYSEN ZEGARRA, Superintendenta de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones