Circular CIEX N° 26/2022 de Banco Central de Bolivia, 2022

• Número de circular: CIEX N° 26/2022
• Fecha: 22 Junio 2023

CIRCULAR EXTERNA

La Paz, 22 de junio de 2022

CIEX N° 26/2022

DE: GERENCIA GENERAL

GERENCIA DE ENTIDADES FINANCIERAS

A: ENTIDADES FINANCIERAS, EMPRESAS DE SERVICIOS DE PAGO,

ACCL S.A., UNILINK S.A., EDV S.A.

ASUNTO: REQUERIMIENTOS OPERATIVOS MÍNIMOS DE SEGURIDAD

PARA INSTRUMENTOS ELECTRÓNICOS DE PAGO

Señores:

El Banco Central de Bolivia en el marco de sus atribuciones de regulación del

sistema de pagos nacional y conforme lo establecido en el Artículo 27 del

Reglamento de Servicios de Pago, Instrumentos Electrónicos de Pago,

Compensación y Liquidación (RSPIEPCL), aprobado mediante Resolución de

Directorio del BCB N° 069/2021 de 27.04.2021 y sus modificaciones, remite para su

aplicación y cumplimiento la actualización a los Requerimientos Operativos Mínimos

de Seguridad para:

I. Órdenes electrónicas de transferencia de fondos.

II. Canales electrónicos de pago.

III. Tarjetas electrónicas.

IV. Billeteras móviles.

Los Requerimientos Operativos Mínimos de Seguridad para los citados

instrumentos y canales electrónicos de pago constituyen el marco referencial

normativo para la aplicación de estándares y buenas prácticas en los sistemas de

pago que operan con estos instrumentos. Se deja sin efecto la Circular Externa

CIEX N° 08/2021 de 24.02.2021.

Atentamente.

DOCUMENTO FIRMADO DIGITALMENTE

Rolando Sergio Colque Soldado

GERENTE DE ENTIDADES FINANCIERAS

Rubén Gonzalo Ticona Chique

GERENTE GENERAL

Validar firmas digitales en: validar.firmadigital.bo

RGTCH/RSCS/ampm/pmms

I. Requerimientos Operativos Mínimos de Seguridad para Órdenes

Electrónicas de Transferencia de Fondos

1. Los servicios transaccionales deben funcionar utilizando canales de

comunicación cifrados sobre un servidor seguro bajo el protocolo TLS en su

versión 1.2 o superior, aplicando las actualizaciones de seguridad que

correspondan.

2. El sitio web debe tener un certificado digital de conexión segura, emitido por

una entidad certificadora que permita validar la siguiente información: la

entidad certificante, el nombre de la página web, la razón social de la entidad

financiera propietaria del sitio y el tiempo de validez del certificado.

En ningún caso la vigencia de este certificado digital debe ser superior a la

definida en el Reglamento de Firma Digital para el Sistema de Pagos emitido

por el BCB.

3. La entidad financiera no deberá habilitar una cuenta de acceso a una

aplicación web o móvil, que permita el procesamiento de OETF, sin previo

consentimiento del cliente o titular de la cuenta asociada.

4. Las entidades financieras deben implementar en su operativa, a través de

aplicaciones web y móviles, mecanismos de autenticación robusta para sus

usuarios en los siguientes procesos de autorización:

a) Procesamiento de OETF.

b) Registro y modificación de los datos de beneficiarios, así como otra

información sensible o confidencial cuya modificación podría facilitar la

comisión de delitos o fraudes.

c) Habilitación de tarjetas electrónicas para pagos por internet, así como

para su uso en el extranjero.

d) Definición y modificación de límites transaccionales.

e) Otros inherentes al procesamiento de OETF.

Al menos uno de los factores que se aplique no debe ser reutilizable ni

replicable ni ser susceptible de ser robado vía internet. En caso de que se

utilice una contraseña de un solo uso, su vigencia no deberá ser superior a

dos (2) minutos.

Únicamente para el inicio de sesión se podrá utilizar la autenticación de un

solo factor, en función del análisis y evaluación de riesgos en seguridad de la

información que efectúe la entidad financiera.

5. Las transferencias de fondos deberán ser abonadas a las cuentas de los

beneficiarios una vez que se completen los procesos de validación exigidos