Todas las entidades financieras afiliadas al Sistema Nacional de Pagos Electrónicos (Sinpe) deberán fortalecer sus medidas de ciberseguridad antes de que termine 2024.
La norma técnica Requisitos de Ciberseguridad para participar en el Sinpe, emitida por el Banco Central de Costa Rica (BCCR), establece la implementación de 48 controles de ciberseguridad que las instituciones financieras deberán adoptar a más tardar el 30 de junio de 2024.
Esta normativa complementa el Reglamento del Sistema de Pagos emitido por el BCCR y establece directrices obligatorias, como la necesidad de mantener un inventario de activos de software y hardware, así como un registro de cuentas, políticas de contraseñas y autenticación multifactor para los accesos privilegiados de los administradores, por ejemplo.
Francisco Carvajal, director del Departamento Sinpe del Banco Central, explicó a La Nación que el objetivo principal de esta norma es ampliar la cobertura de los controles de seguridad de la información a las áreas tecnológicas propias de las entidades participantes en el Sinpe. Esto busca fortalecer la infraestructura de seguridad del sistema y prevenir posibles riesgos de ciberataques.
Según Carvajal, el Sinpe cuenta con una certificación internacional en seguridad de la información desde hace más de 15 años. Por lo tanto, es fundamental cumplir con los requisitos y controles tecnológicos para garantizar la confidencialidad de los datos que gestiona el sistema.
Juan Bustos, experto en ciberseguridad y director país de Sisap Costa Rica, señaló que las certificaciones obtenidas por Sinpe durante década y media han robustecido la plataforma. Ahora, el Banco Central considera esencial extender esta robustez a las distintas entidades que utilizan el sistema.
“Los principales beneficiarios son los ciudadanos que dependen de la plataforma y que quieren que sea segura, que manejen bien sus datos y que la información sea bien procesada”, indicó.
Francisco Carvajal también destacó que estas implementaciones de seguridad contribuyen a mantener la confianza en el sistema interbancario de pagos, tanto por parte de las instituciones financieras como de las entidades públicas, los usuarios y el público en general.
Por su parte, el experto en ciberseguridad subrayó que todas las entidades que ya estén afiliadas a Sinpe o que aspiren a formar parte de este sistema de pagos deberán certificarse según la nueva normativa y renovarla anualmente. En caso de incumplimiento, los servicios que ofrecen y su actividad comercial podrían verse afectados.
“El cumplimiento de la norma técnica va más allá de hacer un check y decir ‘ya cumplí', sino que su propósito es fortalecer la ciberseguridad de tal manera que estas organizaciones deben entender cómo esos controles pueden aplicarse, cómo aprovechar las inversiones que ya tienen y así facilitar el cumpliemineto de esta norma”, explicó.
Tras consulta de La Nación, algunos bancos reaccionaron a la imposición de la norma. Laura Moreno, vicepresidenta de relaciones corporativas de BAC Credomatic explicó que la entidad que representa ya adoptó los mismos estándares para proteger la plataforma tecnológica que usan sus clientes.
La vocera del BAC catalogó como “positiva” la implementación del reglamento de ciberseguridad, y también mencionó que de momento, no implica cambios en la operación ni costos adicionales para los usuarios.
Por su parte, la oficina de prensa del Banco Popular explicó que la implementación garantizará la confidencialidad, integridad y disponibilidad de la información en beneficio de sus clientes.
Sin embargo, la entidad bancaria mencionó que aún no han definido si el cambio implicaría algún costo adicional en el cobro de comisiones o cambios en las formas de hacer transferencia para sus usuarios, debido a que aún se encuentran en la etapa de análisis de los requisitos solicitados por el BCCR.
La norma técnica es de cumplimiento obligatorio para todos los participantes del Sinpe y será un requisito esencial para la incorporación y permanencia en el sistema. El BCCR llevará a cabo una revisión anual de la normativa, y los ajustes implementados se comunicarán en julio de cada año.
Entre el 1 de enero y el 31 de julio de 2023, se llevaron a cabo un total de 238.702.018 transacciones a través de Sinpe, con un valor acumulado de ¢93,85 billones.