Norma Técnica de Requisitos de Ciberseguridad para participar en el SINPE

En 2023, el Banco Central de Costa Rica hizo del conocimiento para los afiliados al Sistema Nacional de Pago Electrónicos (SINPE), la obligación de dar cumplimiento de la Norma Técnica de Requisitos de Ciberseguridad para participar en el SINPE, la cual es de acatamiento obligatorio y forma parte de los requisitos para adquirir y mantener la condición de afiliado en dicha plataforma. El plazo máximo para dar cumplimiento con las disposiciones indicadas en dicha norma, es el 30 de junio del 2024.

Dicha normativa surge como respuesta ante el acelerado proceso de la digitalización, el aumento del número de clientes en los canales digitales y el incremento en la cantidad de transacciones en línea en el SINPE.

El crecimiento de la transaccionalidad en el SINPE, es evidente. Según se indica en el artículo “Uso de SINPE Móvil en 2023 supera la cantidad y el valor de las transacciones realizadas en todo el 2022”, publicado en el periódico El Financiero en fecha 19 de noviembre 2023, pues durante los primeros 11 meses del 2023 se realizaron más de 310,6 millones de operaciones interbancarias (entre cuentas de diferentes entidades) y 143,3 millones de transacciones intrabancarias (entre cuentas de la misma institución financiera); asimismo, dicha publicación advierte que, durante dicho periodo, se realizaron más de 453, 9 millones de transacciones en SINPE móvil, generando así un crecimiento de un 22,12% respecto al 2022 y un 102,96% con respecto al 2021.

La citada Norma Técnica de Requisitos de Ciberseguridad tiene como objetivo principal el fortalecer la red de seguridad del sistema y prevenir los riesgos de ciberataques, esto de forma complementaria a los controles tecnológicos y otros requisitos ya instaurados a nivel de la plataforma tecnológica SINPE como parte de su certificación internacional en temas de seguridad de la información.

Esta nueva normativa provee una clara definición del alcance de los requerimientos técnicos que deberán acatar los afiliados al SINPE, para adquirir y preservar la condición de afiliado, dentro de los cuales se establece la obligación de revisar anualmente, entre otros aspectos regulatorios, infraestructura requerida para operar, equipos de conexión, usuarios, capa de intercambio de datos y servidores interconectados. Además, la normativa define los tipos de controles obligatorios y opcionales con los cuales se deben cumplir, así como las pruebas a realizar para la evaluación de las 16 áreas de control. Se advierte que los controles obligatorios son aquellos que deben ser atendidos de forma integral y completa, mientras que los opcionales son controles que fortalecen aún más el ambiente de ciberseguridad, los cuales podrían ser, en una etapa posterior, podrían convertirse en obligatorios por valoración y disposición del Banco Central de Costa Rica.

En general, se puede denotar los esfuerzos del Banco Central de Costa Rica, para garantizar la implementación de controles efectivos para prevenir los riesgos asociados a ciberseguridad, ante el acelerado uso de transacciones digitales en los últimos años en el SINPE, procurando de esta manera mantener la confianza en el sistema por parte de las entidades financieras, instituciones públicas, usuarios y público general.

Los afiliados al SINPE deberán realizar un adecuado análisis y valoración de sus políticas, procedimientos y controles en materia de ciberseguridad para estar en cumplimiento con estas nuevas disposiciones regulatorias a más tardar el 30 de junio del 2024. En BDO, contamos con un equipo especializado en el área de Consultoría que puede asesorarles en el proceso de evaluación de cumplimiento, conforme los lineamientos establecidos en la normativa.