La Superintendencia Financiera de Colombia (SFC) ha publicado el proyecto normativo a través del cual busca actualizar los requerimientos mínimos de seguridad y calidad para la realización de operaciones, así como incluir los conceptos de "ambiente de venta presente", "ambiente de venta no presente" y "administradores de pasarelas de pago o procesadores de pago".

Con estas nuevas instrucciones se pretende fijar los requerimientos mínimos de seguridad que deben cumplir los establecimientos de crédito y las administradoras de sistemas de pago de bajo valor para la realización de operaciones en ambiente de venta no presente que se vinculen a establecimientos de comercio o a administradores de pasarelas o procesadores de pago.

En relación con las nuevas definiciones, este proyecto señala que por “ambiente de venta presente” se entiende aquél en el que el consumidor financiero y el proveedor de bienes y/o servicios se encuentran físicamente presentes durante la realización de la transacción comercial respectiva. En este caso, los datos de la operación se toman a través de la tarjeta de crédito, débito o a través del dispositivo electrónico que las aloje.

En cuanto a la definición de “ambiente de venta no presente”, se establece que es aquél en el que el consumidor financiero y el proveedor de bienes y/o servicios no interactúan físicamente durante la transacción comercial.

Finalmente, los “administradores de pasarelas de pago o procesadores de pago” se definen como las entidades que prestan servicios de aplicación de comercio electrónico para almacenar, procesar y/o transmitir el pago correspondiente a operaciones de venta en línea en ambiente de venta no presente.

Por otra parte, sobre los requisitos mínimos de seguridad, se establecen aspectos relativos a: i) análisis de vulnerabilidades, ii) medios de comunicación, y iii) mecanismos de autenticación.

Se establece que los tres conceptos de venta han de ser efectuados por parte de entidades supervisadas que permitan la ejecución de órdenes electrónicas para la transferencia de fondos, la compra, venta o transferencia de títulos valores y la emisión de pólizas de seguros, por sistemas de acceso remoto para clientes, Internet o dispositivos móviles.

En cuanto a los medios de comunicación, se adicionan la mensajería instantánea o cualquier otra modalidad de comunicación a través de la cual se pueda realizar el envío de información confidencial a los consumidores financieros.

Para los mecanismos de autenticación, el proyecto normativo señala que, en el caso de uso de cajeros automáticos y datáfonos, se deberá emplear alguno de los mecanismos de autenticación fijados en la norma, salvo en los casos de tarjetas que no estén obligadas a cumplir el estándar EMV (chip), caso en el cual se debe establecer un segundo factor de autenticación. Para las operaciones realizadas en internet, por su parte, se deberá dar aplicación de mecanismos de autenticación fuertes. Finalmente, se señala que el canal Banca Móvil podrá ser utilizado a través de aplicaciones de dispositivos móviles (apps).

Por último, este proyecto busca que en los contratos que suscriban los establecimientos de crédito con establecimientos de comercio y administradores de pasarelas de pago se consignen, como mínimo, las siguientes obligaciones a cargo de éstos últimos:

• Contar con certificación PCI.DSS versión 3.0 o posterior
• Contar con política de tratamiento de datos personales
• Adoptar mecanismos de autenticación del consumidor financiero
• Contar con una política de administración del riesgo de lavado de activos y financiación del terrorismo
• Adelantar campañas informativas sobre medidas de seguridad en operaciones
• Informar al consumidor financiero sobre el procedimiento de pago, previo a su realización