El Banco de México (Banxico) se dio a la tarea de determinar establecer obligaciones adicionales a los participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI) para reforzar las políticas y controles de seguridad en las transferencias de fondos, mejorar los esquemas de respuesta ante posibles riesgos y contar con una identificación plena de las operaciones.
Esto, indicó, con el propósito de cumplir con la finalidad que la ley le confiere para propiciar el buen funcionamiento de los sistemas de pagos y para lo cual, ha procurado que los participantes en el, cuenten con estándares de seguridad adecuados para operar en dicho sistema y en particular cuando se traten de transferencias a empresas que pueden permitir la salida de recursos del sector financiero hacia activos virtuales.
De conformidad con los “Principios para reforzar la seguridad de la información en el sistema financiero” las disposiciones de carácter general sobre políticas y procedimientos adicionales que habrán de seguir los participantes en el SPEI, atenderán aspectos como:
Seguir los protocolos de acción ante posibles ataques a la infraestructura tecnológica relacionada con el SPEI, que establezca Banxico en su carácter de administrador del sistema, mediante los avisos que este emita; Contar con protocolos y procedimientos que documenten las medidas y acciones a tomar en caso de que se materialicen riesgos de ciberseguridad en su infraestructura tecnológica, en sus canales electrónicos y en la infraestructura tecnológica provista por terceros que pudiera afectar la operación de la institución financiera en el SPEI.
Tendrán que establecer e implementar pruebas de confianza e integridad a su personal, así como al de terceros que provean servicios de tecnología de la información y comunicación, que tengan acceso a información y sistemas relevantes en su operación con el SPEI; Habrán de designar un oficial de seguridad de la información responsable del diseño, implementación y verificación de las políticas de prevención de riesgos de ciberseguridad, así como de la implementación de medidas correctivas ante la materialización de estos riesgos que pudiera afectar la operación de la institución en el SPEI.