Es conocido que el Sistema Nacional de Pagos Electrónicos (SINPE) ha experimentado un notable desarrollo en la digitalización de los movimientos de fondos monetarios entre bancos y entidades financieras. Esta evolución ha resultado en un significativo aumento en las transacciones en línea y a su vez, en un incremento en los riesgos relacionados con ciberataques en esta plataforma de pagos.
Por esta razón, el Banco Central de Costa Rica (BCCR) ha establecido la «Norma Técnica – Requisitos de Ciberseguridad para Participar en ek Sinpe» que deberán cumplir todas las entidades afiliadas a más tardar a Junio 2024.
Con el objetivo de salvaguardar la confidencialidad, integridad y disponibilidad de la información que administra SINPE y mantener la confianza de las entidades financieras, instituciones públicas y el público en general, el BCCR estableció una normativa que complementa el Reglamento del Sistema de Pagos y el marco normativo vigente, centrada en los controles de ciberseguridad que deben cumplir todas las entidades afiliadas al SINPE.
Esta nueva norma técnica amplía el alcance de los controles de seguridad de la información, extendiéndose a diversas áreas tecnológicas propias de las entidades participantes en SINPE. El propósito principal es fortalecer aún más la seguridad del sistema y prevenir los riesgos asociados a posibles ciberataques.
«La cobertura de esta norma aplica a las organizaciones afiliadas al sistema de SINPE. El cumplimiento de esta norma técnica va más allá de hacer «check» en algunos controles diciendo «ya cumplí», sino que su propósito es fortalecer la ciberseguridad, de tal manera que estas organizaciones entiendan cómo los controles deben aplicarse y cómo aprovechar los esfuerzos e inversiones que tienen actualmente para que se facilite el cumplimiento de esta norma técnica», explicó Juan Bustos, country manager de SISAP en Costa Rica.
Esta norma técnica será obligatoria para todos los afiliados al SINPE y constituirá un requisito esencial para la incorporación y permanencia en el sistema. Además, se realizará una revisión anual de la normativa, y los ajustes aplicados se notificarán en julio de cada año, entrando en vigor a partir del año siguiente.
Ante incumplimientos de los controles requeridos, se establecerán las siguientes medidas:
Entidades en proceso de autorización: no se autorizará la suscripción al SINPE hasta que se cumplan todos los requisitos establecidos.
Afiliados actuales: en caso de incumplimiento parcial o total de esta normativa, el BCCR analizará el caso y comunicará la falta a las máximas autoridades de la entidad, pudiendo iniciar un proceso administrativo para determinar las sanciones respectivas.
Es importante destacar que los afiliados del SINPE que ya están en operación deberán atender el cumplimiento de esta norma técnica a más tardar el 30 de junio de 2024.
Bustos indicó que SISAP, como representante de Verizon, más de 15 años certificando al Banco Central de Costa Rica en temas de ciberseguridad. Ahora, el Banco Central vio necesario que las instituciones afiliadas también fortalezcan sus sistemas de seguridad, coadyuvados por el buen resultado del programa y certificación de Verizon.
«Todas las empresas, entidades u organizaciones que ya estén afiliadas a SINPE o que eventualmente quieran hacer uso de este servicio de pagos electrónicos, deben estar certificados con esta nueva norma técnica del Banco Central. Incluso, todos los años deben mantener dicha certificación. En caso de no ser así, podrían ver afectado su negocio y servicios que brindan», agregó.