Regulación financiera en El Salvador y su impacto en ciberseguridad
La normativa NP23 del Banco Central de Reserva de El Salvador regula el sistema financiero del país y exige a las instituciones financieras implementar políticas de gestión de riesgos y establecer estándares técnicos para los canales de servicios financieros digitales.
La normativa NRP32 tiene como objetivo principal asegurar medidas adecuadas de ciberseguridad para proteger la información financiera de los clientes y prevenir fraudes y ataques cibernéticos.
¿A qué entidades aplica la NRP32?
- Bancos constituidos en El Salvador.
- Sucursales de bancos extranjeros establecidos en El Salvador.
- Sociedades de ahorro y crédito.
- Bancos cooperativos.
- Federaciones conformadas por bancos cooperativos y sociedades de ahorro y crédito regulados por la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito.
Las normas técnicas sobre medidas de ciberseguridad en canales digitales son un conjunto de reglas y procedimientos tecnológicos que deben ser seguidos por las entidades financieras para garantizar la seguridad de los usuarios en el uso de los canales digitales, como la banca móvil, la banca por internet, o la banca telefónica entre otros.
Entre las medidas de ciberseguridad que promueve la NRP32 se incluyen la siguientes
- Monitoreo de redes e infraestructura tecnológica
- Gestión de vulnerabilidades
- Gestión de parches
- Autenticación de múltiples factores
- Herramientas de protección ante suplantación de identidad
- Campañas de educación financiera
- Herramientas antimalware
- Gestión de dispositivos móviles
- Herramientas de prevención de pérdida de datos
- Cifrado
Requisitos de seguridad para la autenticación de clientes en servicios financieros digitales basado en la NRP32
- Las normas establecen requisitos de seguridad para el uso de banca telefónica y canales digitales de entidades financieras.
- Las entidades financieras deben utilizar al menos tres factores de autenticación divididos en tres categorías diferentes: categoría 1, basada en información del contrato y uso de productos y servicios; categoría 2, compuesta por contraseñas; y categoría 3, compuesta por claves dinámicas de un solo uso.
- Se requiere autenticación con factor mínimo de categoría 2 para banca telefónica y categoría 2 ó 3 para canales digitales.
- Las entidades deben inhabilitar acceso si se sospecha o confirma brecha de seguridad y proporcionar información de autenticidad del sitio web o canal digital oficial.
- Las contraseñas deben cumplir con ciertas características de complejidad y tener un vencimiento de no más de 180 días.
- Las claves dinámicas deben contar con medidas de seguridad para garantizar la integridad y la confidencialidad de los datos.
Las entidades pueden ejecutar la aceptación de contratos electrónicos utilizando autenticación de categoría 2 para la afiliación con servicios financieros digitales.
Las pautas a las que las instituciones financieras deben adherirse para garantizar la seguridad y protección de sus clientes al utilizar servicios financieros digitales, incluyen procedimientos para registrar, liquidar y verificar transacciones realizadas a través de canales digitales, así como mecanismos de monitoreo y control para detectar operaciones potencialmente falsas o irregulares.
El incumplimiento de las normas puede resultar en sanciones bajo la Ley de Supervisión y Regulación del Sistema Financiero.
Las normas técnicas sobre medidas de ciberseguridad en canales digitales NRP32 son una medida importante para garantizar la seguridad y protección de los usuarios en el uso de servicios financieros digitales en El Salvador. La implementación de estas normas aumenta la confianza del consumidor en el sistema financiero y fomenta un entorno seguro y estable para el crecimiento de las actividades financieras. Las entidades financieras deben asegurar el cumplimiento de las normas establecidas en la ley y tomar medidas para garantizar la seguridad, para ello se establecen obligaciones y responsabilidades para las entidades financieras en relación con las transacciones realizadas por medio de estos canales.
Estas obligaciones incluyen tratar las transacciones de acuerdo con los criterios establecidos en la Ley de Protección al Consumidor.
¿Cuándo entró en vigor la NRP32?
Las normas entraron en vigor el 8 de marzo de 2022 y fueron modificadas el 30 de diciembre de 2022, afectando a los artículos 3, 21 y 22.
¿Cómo podemos ayudarte a implementar la NRP32?
Desde GlobalSuite Solutions ofrecemos un amplio soporte para la implementación de normas de ciberseguridad, incluyendo las Normas Técnicas sobre Medidas de Ciberseguridad en Canales Digitales NRP32 en El Salvador, Contamos con herramientas y software especializados, como GlobalSuite® Security, No dudes en contactarnos para recibir la mejor asesoría y soluciones integrales para tu organización.