Los afiliados del Sinpe (Sistema de Pagos Electrónicos) que estén en operación
deberán cumplir con nuevas disposiciones a más tardar el próximo 30 de junio de 2024.
Así lo dispuso el Banco Central de Costa Rica, mediante la emisión de una nueva norma que establece los requisitos y disposiciones de carácter complementario al Reglamento del Sistema de Pagos del Banco Central.
La intención es regular los aspectos relacionados con los controles de ciberseguridad. El banco lo justifica en que el creciente desarrollo del Sinpe ha llevado a la aceleración de los procesos de digitalización de los movimientos de dinero en el ámbito interbancario.
Esto supone una mayor cantidad de transacciones en línea que incrementa los riesgos de ciberataques al sistema. La plataforma tecnológica, desde hace más de 15 años, cuenta con una certificación internacional en seguridad de la información.
Lo anterior incluye una serie de requisitos y controles tecnológicos establecidos con el propósito de proteger la confidencialidad, integridad y disponibilidad de la información que administra el sistema.
No obstante, ahora se emite una norma técnica que tiene por objetivo ampliar el alcance de los controles de seguridad de la información, para extender el radio de acción hasta ciertas áreas tecnológicas propias de las entidades participantes en el Sinpe, fortalecer la red de seguridad del sistema y prevenir riesgos de ciberataques.
Ahora, las entidades afiliadas deberán cumplir una serie de regulaciones dirigidas a adoptar marcos de ciberseguridad adecuados para la protección del sistema, considerando los servicios particulares que cada afiliado, por el nivel de exposición que tiene los servicios por medios digitales.
El Central aclaró que la norma técnica es de acatamiento obligatorio por parte de los afiliados al Sinpe, y como tal constituye un requisito para adquirir y mantener la condición de afiliado.
Los afiliados actuales y los interesados en afiliarse incluso deberán presentar un informe de cumplimiento de parte de un auditor, con no más de un mes de emitida, en la que se especifique que la entidad cumple a cabalidad con los controles establecidos, según sea el nivel de riesgos en el que se ubique.
La certificación tendrá una validez que abarca un periodo que va desde el 1 de julio del año en curso hasta el 30 de junio del año siguiente y podrá ser presentada durante el semestre previo.
ALGUNOS ASPECTOS A REVISAR
Como mínimo, el proceso debe considerar los siguientes aspectos en materia de ciberseguridad:
• Declaración de incidentes.
• Roles y responsabilidades.
• Triage o determinación de severidad.
• Procedimientos detallados de respuesta.
• Plan de comunicación (escalamiento, información de contacto y plantillas para comunicación).
• Instrucciones (playbooks) de respuesta.
• Revisar anualmente o cuando ocurran cambios significativos.
Fuente. Banco Central