Tecnología de referencia: recomendaciones relacionadas para agregadores de pagos y pasarelas de pago

Category:
FEMA
Published on:
November 26, 2024

Table of contents

.
Talk to Us
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

One Firm,
Global Solutions

We support cross-border business with confidence and clarity.
Book a Call

En la era del comercio electrónico o comercio rápido, el papel de los agregadores de pagos y las pasarelas de pago es importante. Estas entidades se encargan de los fondos transferidos de los clientes a los proveedores a través de diferentes bancos y canales. Por lo tanto, las entidades que operan como PA y PG deben estar reguladas y monitoreadas.

El RBI ha publicado»Directrices sobre la regulación de los agregadores de pagos y las pasarelas de pago» Véase el documento No. RBI/DPSS/2019-20/174 del 17 de marzo de 2020. El RBI ha especificado las diversas directrices para los agregadores de pagos, como el requisito de autorización, el requisito de capital, el funcionamiento de la cuenta de depósito en garantía, etc.

Además, las directrices también especifican las «Recomendaciones relacionadas con la tecnología de referencia» en el anexo 2. Estas recomendaciones relacionadas con la tecnología son obligatorias para su adopción por parte de las AP. Sin embargo, se recomienda lo mismo para las pasarelas de pago.

Este artículo analiza las recomendaciones relacionadas con la tecnología de referencia proporcionadas por la RI para PA y PG

1. Recomendaciones relacionadas con la seguridad

Las entidades deben tener la siguiente validación para los sistemas de TI y la seguridad:

1.1. Gobernanza de la seguridad de la información:

  • Como mínimo, las entidades llevarán a cabo una evaluación exhaustiva de los riesgos de seguridad de sus personas, TI, entorno de procesos empresariales, etc., para identificar las exposiciones al riesgo con medidas correctoras y los riesgos residuales.
  • Pueden ser una auditoría de seguridad interna o una auditoría de seguridad anual realizada por un auditor de seguridad independiente o un auditor integrado por el CERT-In.
  • Los informes sobre la evaluación de riesgos, la postura de cumplimiento de la seguridad, los informes de auditoría de seguridad y los incidentes de seguridad se presentarán a la Junta.

1.2. Estándares de seguridad de datos:

  • Se implementarán estándares de seguridad de datos y mejores prácticas como PCI-DSS, PA-DSS, los estándares de cifrado más recientes, la seguridad de los canales de transporte, etc.

1.3. Notificación de incidentes de seguridad:

  • Las entidades deberán denunciar los incidentes de seguridad o las violaciones de datos de los titulares de tarjetas a COSTILLA dentro del plazo estipulado.
  • Los informes mensuales de incidentes de ciberseguridad con el análisis de la causa raíz y las acciones preventivas emprendidas se presentarán al RBI.

1.4. Incorporación de comerciantes:

  • Las entidades llevarán a cabo una evaluación de seguridad integral durante el proceso de incorporación de comerciantes para garantizar que los comerciantes cumplan con estos controles de seguridad mínimos de referencia.
  • De acuerdo con las pautas emitidas, las PA realizarán una verificación de antecedentes del comerciante para asegurarse de que este no tenga ninguna intención malintencionada y no venda productos falsos o productos prohibidos.

1.5. Auditoría e informes de ciberseguridad:

  • Las entidades llevarán a cabo y presentarán al Comité de TI:
    • Informes trimestrales de auditoría externa interna y anual;
    • Informes semestrales de evaluación de vulnerabilidades o pruebas de penetración (VAPT);
    • PCI-DSS, incluida la certificación de cumplimiento (AOC) y
    • Informe de cumplimiento (ROC): informe de cumplimiento con las observaciones anotadas, si las hubiera, incluidas las acciones correctivas/preventivas planificadas con la fecha de cierre de la acción;
    • inventario de aplicaciones que almacenan, procesan o transmiten datos sensibles del cliente;
    • El estado de cumplimiento del PA-DSS de las aplicaciones de pago que almacenan o procesan datos de titulares de tarjetas.

1.6. Seguridad de la información:

  • La política de seguridad de la información aprobada por la Junta se revisará al menos una vez al año. La política tendrá en cuenta aspectos como:
    • alineación con los objetivos empresariales;
    • los objetivos, el alcance, la propiedad y la responsabilidad de la política;
    • estructura organizativa de seguridad de la información;
    • funciones y responsabilidades de seguridad de la información;
    • mantenimiento del inventario y los registros de activos;
    • clasificación de datos; etc.
    • autorización; excepciones; conjuntos de conocimientos y habilidades requeridos; formación periódica y educación profesional continua; revisión del cumplimiento y medidas penales en caso de incumplimiento de las políticas.

1.7 Gobernanza de TI: Se elaborará una política de TI para la gestión regular de las funciones de TI y la entidad se asegurará de que exista y se implemente documentación detallada en términos de procedimientos y directrices. El plan estratégico y la política se revisarán anualmente. El marco de gobierno de TI a nivel de junta directiva deberá tener:

  1. Participación de la Junta en la aprobación de las políticas de seguridad de la información, el establecimiento de los procesos/funciones organizacionales necesarios para la seguridad de la información y el suministro de los recursos necesarios.
  2. Comité Directivo de TI con representaciones de diversas funciones empresariales, según corresponda. El Comité asistirá a la Dirección Ejecutiva en la implementación de la estrategia de TI aprobada por el Consejo.
  3. Modelo de información empresarial para permitir el desarrollo de aplicaciones y las actividades de apoyo a la toma de decisiones, de acuerdo con la estrategia de TI aprobada por la junta directiva. El modelo debe facilitar la creación, el uso y el intercambio óptimos de la información por parte de la empresa, de manera que mantenga la integridad y sea flexible, funcional, puntual, segura y resistente a los fallos. El
  4. Plan de gestión de crisis cibernéticas aprobado por el comité estratégico de TI e incluirá componentes como la detección, la contención, la respuesta y la recuperación.

1.8. Diccionario de datos empresariales:

  • Las entidades deberán mantener un «diccionario de datos empresariales» que incorpore las reglas de sintaxis de datos de la organización.
  • Esto permitirá compartir datos entre aplicaciones y sistemas, promoverá una comprensión común de los datos entre los usuarios empresariales y de TI y evitará la creación de elementos de datos incompatibles.

1.9. Evaluación de riesgos:

  • La evaluación de riesgos identificará las combinaciones de amenazas y vulnerabilidades y la probabilidad de impacto en la confidencialidad, la disponibilidad o la integridad de ese activo, desde una perspectiva empresarial, de cumplimiento y/o contractual.

1,10. Acceso a la aplicación:

  • Deberán existir procedimientos documentados para administrar un sistema de solicitud, que sean aprobados por el propietario de la aplicación y que se mantengan actualizados.
  • El acceso a la solicitud se basará en el principio de mínimo privilegio y «necesidad de saber» en consonancia con las responsabilidades laborales.

1.11. Competencia del personal:

  • Los requisitos de recursos capacitados con los conjuntos de habilidades necesarios para la función de TI deben entenderse y evaluarse de manera adecuada de forma periódica.

1.12. Gestión de riesgos de proveedores:

  • Los acuerdos de nivel de servicio (SLA) para el soporte tecnológico, incluidos el BCP-DR y la administración de datos, incluirán categóricamente cláusulas que permitan el acceso reglamentario a estas configuraciones.

1.13. Madurez y hoja de ruta:

  • Las entidades considerarán la posibilidad de evaluar su nivel de madurez de TI, basándose en estándares internacionales bien conocidos, diseñar un plan de acción e implementar el plan para alcanzar el nivel de madurez objetivo.

1,14. Requisito criptográfico:

  • Las entidades seleccionarán algoritmos de cifrado que sean estándares internacionales bien establecidos y que hayan sido sometidos a un riguroso escrutinio por parte de una comunidad internacional de criptógrafos o aprobados por organismos profesionales autorizados, proveedores de seguridad acreditados o agencias gubernamentales.

1,15. Preparación forense:

  • Todos los eventos de seguridad de la infraestructura de la entidad, incluidos, entre otros, las aplicaciones, los servidores, el middleware, los puntos finales, la red, los eventos de autenticación, las bases de datos, los servicios web, los eventos criptográficos y los archivos de registro, se recopilarán, investigarán y analizarán para la identificación proactiva de las alertas de seguridad.

1,16. Soberanía de datos: Las entidades tomarán medidas preventivas para garantizar el almacenamiento de datos en una infraestructura que no pertenezca a jurisdicciones externas. Se considerarán los controles adecuados para evitar el acceso no autorizado a los datos.

1,17. Seguridad de datos en la subcontratación:

Habrá un acuerdo de subcontratación que prevea una cláusula de «derecho a auditar» que permita a las entidades realizar auditorías de seguridad. Alternativamente, los terceros deberán presentar informes anuales de auditoría de seguridad independientes a las entidades.

1,18. Seguridad de las aplicaciones de pago:

Las solicitudes de pago se desarrollarán según las directrices del PA-DSS y se cumplirán según sea necesario. Las entidades revisarán el estado de cumplimiento del PCI-DSS como parte del proceso de incorporación de comerciantes.

2. Otras recomendaciones

Los agregadores de pagos y las pasarelas de pago deben tener en cuenta los siguientes puntos:

  • Las credenciales de la tarjeta del cliente no se almacenarán en la base de datos ni en el servidor al que acceda el comerciante.
  • No se ofrecerá la opción de usar el PIN del cajero automático como factor de autenticación para las transacciones que no estén presentes con la tarjeta.
  • Se aplicarán las instrucciones sobre el almacenamiento de los datos del sistema de pago, según sean aplicables a las OSP.
  • Todos los reembolsos se realizarán al método de pago original, a menos que el cliente acuerde específicamente abonar un modo alternativo.

Conclusión

La clave para operar de manera exitosa y segura como agregador de pagos y pasarela de pagos es la tecnología de la información. Por lo tanto, las PA y las PG deben garantizar que la TI implementada en la entidad se audite, proteja y lleve a cabo con regularidad de acuerdo con las directrices emitidas por el RBI.

CA Kapil Mittal
El Sr. Kapil Mittal es socio de la firma y tiene una sólida formación legal y fiscal con más de 15 años de experiencia. Dirige la Práctica de Asesoramiento y Cumplimiento Tributario de la Firma. Se especializa en
Know More About The Author

Recent Blogs

Asesoría y Consultoría Empresarial
March 9, 2026

Cómo iniciar una oficina de enlace en la India: una guía paso a paso

Contabilidad y teneduría de libros
March 9, 2026

Contabilidad de sociedades de responsabilidad limitada: subcontratación de EE. UU. a la India

Contabilidad y teneduría de libros
March 9, 2026

Contabilidad para contratistas: subcontratación de EE. UU. a la India

Póngase en contacto con nosotros

¡Nos encantaría saber de ti! Rellene el formulario y nos pondremos en contacto con usted lo antes posible.