El Open Banking en Colombia se está materializando. Conozca los detalles de la regulación y la postura de la Superintendencia Financiera de Colombia en esta materia.
La Superintendencia Financiera de Colombia (SFC) define el Open Banking, también llamado Finanzas Abiertas, como“La práctica en la cual las entidades vigiladas por la SFC abren sus sistemas para que la información de los consumidores financieros pueda ser compartida de forma estandarizada con otras entidades vigiladas o terceros, con la autorización del consumidor financiero y con el objetivo de que dichas entidades provean servicios a dichos clientes.”
Esta práctica promueve la competencia de los mercados financieros ya que fomenta la profundización de la inclusión financiera y crediticia, propicia la creación de nuevos productos y servicios y mejora el conocimiento y perfilamiento de los consumidores.
Esta apertura de los datos por parte de los consumidores posibilita que las entidades prestadoras de servicios en esta materia puedan comprender mejor las necesidades y hábitos financieros de las personas para así ofrecer servicios financieros personalizados.
Sin embargo, este escenario de información compartida deriva en una gran responsabilidad por parte de las entidades respecto a la implementación de tecnologías que garanticen el manejo adecuado de la información, velando por la privacidad de los datos y asegurando la protección al consumidor en todo momento.
Cuáles son los principales retos de la transición hacia el Open Banking
Tras este sistema que promete mejorar la experiencia transaccional y de obtención de servicios financieros personalizados existen desafíos, principalmente de cumplimiento normativo asociado a estándares tecnológicos, cuya superación permitirá a las entidades financieras o que prestan servicios financieros, garantizar su idoneidad en un marco de seguridad, infraestructura tecnológica y protección de datos a la altura de la innovación.
En Colombia, luego de un estudio profundo, la SFC emitió la Circular Básica Jurídica (C.E. 029/14) que en su Parte I, Título I, Capítulo IX denominado “Reglas Relativas a las Finanzas Abiertas”, dispone con precisión las instrucciones a cumplir por parte de los terceros receptores de datos que les permita compartir la información de los consumidores financieros de forma estandarizada.
Qué son los terceros receptores de datos y qué normativa les aplica
Los terceros receptores de datos son“aquellas personas jurídicas que tratan los datos personales de los consumidores financieros en el marco de las finanzas abiertas.” Estos deben adoptar políticas y procedimientos que deben ser aprobadas por la junta directiva y estar publicada en la página web de la organización. La normativa dispone prácticas seguras para el resguardo de la información, que entre las más importantes dictan:
- Gestionar los riesgos asociados al tratamiento de datos personales del consumidor financiero teniendo en cuenta marcos de referencia como ISO 27001, NIST CSF y OWASP ASVS.
- Mantener cifrados los datos de los consumidores financieros que estén almacenados o en circulación usando estándares y algoritmos reconocidos internacionalmente reconocidos como el Advanced Encription Standar (AES) o el Rivest, Shamir y Adleman (RSA)
- Contar con la certificación PCI-DSS emitida por una entidad que ostente la categoría QSA (Qualified Security Assessor) y soportada por el documento AoC (Attestation of Compliance)
Además de estos puntos clave, la Circular Básica Jurídica también contempla puntos importantes como: contar con sistemas de monitoreo de la información, gestionar las vulnerabilidades de las plataformas que hagan uso de los datos en el marco de las finanzas abiertas, tener procedimientos y políticas para la atención de consultas y reclamos, el tratamiento, revocatoria y supresión de datos personales.
Estándares Tecnológicos y de Seguridad para el Open Banking en Colombia
Las entidades vigiladas y que participen en el esquema de Finanzas Abiertas deberán monitorear que los datos personales de los consumidores financieros se traten en condiciones de seguridad. Para este fin deberán contar con políticas, procedimientos y recursos técnicos y humanos calificados siguiendo instrucciones como:
- Mantener los sistemas relacionados a Open Baking en una red interna separada lógicamente de las demás redes.
- Abstenerse de exponer públicamente los repositorios de información que se utilicen para las Finanzas Abiertas.
- Mantener los registros de auditoría de información (logs) por un término de 5 años por cada solicitud realizada.
También, la legislación indica que se debe monitorear la información que circula en el marco de las finanzas abiertas para que este se ajuste a las especificaciones establecidas entre las entidades vigiladas y los terceros receptores de datos.
Arquitectura, Administración de Datos y Seguridad.
La Circular Básica Jurídica emitida por la SFC explica detalladamente los requisitos mínimos de cumplimiento obligatorio respecto al intercambio automático de información para atender las solicitudes de acceso a datos personales por parte de los terceros receptores de datos en la práctica del Open Banking.
Específicamente en materia de arquitectura las entidades deben:
- Ejecutar el intercambio de información bajo el formato JSON (JavaScript Object Notation)
- Cumplir con el marco de referencia REST y su implementación debe ser RESTful
En materia de administración de datos es deber de las organizaciones:
- Cumplir con el estándar ISO 20022 en lo relacionado con el diccionario de datos y el diccionario de campos.
En materia de seguridad las empresas tienen el deber de:
- Cumplir con el marco FAPI 2.0
- Ejecutar la autorización sobre el protocolo 0Auth 2.0 haciendo uso de mecanismos seguros para la implementación del Token de Acceso haciendo uso del estándar JSON Web Token (JWT)
- Realizar intercambio de información bajo el protocolo TLS garantizando el proceso de autenticación mutua o recíproca.
Supere los desafíos del Open Banking con eSoft y Ping Identity.
A medida que la industria financiera avanza para ofrecer a los consumidores (especialmente nativos digitales) transferencias instantáneas y experiencias de usuario impecables y accesibles desde cualquier lugar, la infraestructura tecnológica segura se hace relevante y aspectos esenciales como la gestión de acceso e identidades, el consentimiento en el uso de datos, las APIs seguras y la protección contra el fraude y los ciberataques toman cada vez más relevancia.
Debido a la sensibilidad de la información a través de la cuál se accede en esquemas de Finanzas Abiertas, las regulaciones son estrictas y apuntan a prácticas seguras que cumplan con los estándares de mayor excelencia y éxito en la tarea de proteger los datos de los clientes por parte de los terceros receptores de datos.
Ping Identity ha trabajado en colaboración estrecha con organizaciones de todo el mundo para lograr excelencia en el cumplimiento de estándares y normativas que también han ayudado a desarrollar posicionando las amplias capacidades de su plataforma para los requisitos del Open Banking.
Lograr el cumplimiento normativo es uno de los aspectos fundamentales para abrir el camino hacia la transición de las Finanzas Abiertas. Sin embargo, la verdadera ventaja competitiva estará del lado de aquellas organizaciones que ofrezcan una experiencia de usuario superior y sea más ágiles que sus competidores en la implementación de estos dos aspectos (regulaciones y UX).
En eSoft, contamos con amplia experiencia, un equipo especializado, certificado y la compañía de un aliado de clase mundial como Ping Identity cuyo portafolio de soluciones de grado financiero proporciona la seguridad y experiencia de usuario sin fricciones que los clientes esperan.