Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Concepto 2015063895-002 de 03-08-2015


Actualizado: 3 agosto, 2015 (hace 9 años)

Superintendencia Financiera
Concepto 2015063895-002
03-08-2015

Tarjeta débito y crédito, requerimientos de seguridad

Síntesis: Todos los Bancos que emiten plásticos en Colombia, deben cumplir con los requerimientos de seguridad y calidad para la realización de operaciones, previstos en el Capítulo I, Título II de la parte I de la Circula Externa 029 de 2014 y con los requisitos y estándares dispuestos por las franquicias para las tarjetas débito y crédito.

«(…) correo electrónico mediante el cual informa sobre el trabajo de investigación que adelanta sobre el uso del PIN en tarjetas débito y crédito en Colombia, para lo cual consulta si “(….) existe alguna ley que reglamente el uso del PIN o clave electrónica en cuestiones como longitud, obligatoriedad y si esta aplica para todos los bancos (…)”.

En primer lugar, (…) comedidamente nos permitimos, a título meramente informativo, efectuar los siguientes comentarios:

1. De manera atenta le comento que no existe Ley ni regulación por parte de esta Superintendencia, frente al tema puntual de su consulta, de ahí que los aspectos relacionados con la “longitud y obligatoriedad” del PIN y “si esta aplica para todos los bancos”, se rige por las franquicias (Diners, American Express, Visa y Master Card).quienes tienen definidos una serie de estándares que le aplican a dichos instrumentos de pago.
2. Sin perjuicio de lo anterior, es preciso indicar que esta Superintendencia, en desarrollo de sus facultades legales, ha expedido varios instructivos, que propenden por la seguridad y calidad para la realización de operaciones, entre los cuales se encuentra la Circular Externa 052 de 2007, modificada por las Circulares Externas 022 de 2010 y 042 de 2012, incorporadas en el Capítulo XII, Título Primero de la Circular Básica Jurídica (Circular Externa 007 de 1996), y la Circular Externa 029 de 2014, mediante la cual se realizó la reexpedición de la Circular Básica Jurídica, que es la instrucción más reciente, que incorporó en los numerales 1.1. y 1.3 del Capítulo I, Título II de la Parte I, como canales e instrumentos de prestación de servicios financieros a las Oficinas, Cajeros Automáticos (ATM), Receptores de cheques, Receptores de dinero en efectivo, POS (incluye PIN Pad), Sistemas de Audio Respuesta (IVR), Centro de atención telefónica (Call Center, Contact Center), Sistemas de acceso remoto para clientes (RAS), Internet y Banca móvil. (la negrilla es nuestra)

Y estableció, que “Como complemento a los canales señalados, se reconocen dentro de los instrumentos adecuados en la prestación de estos servicios las tarjetas, debito, crédito, los móviles y las órdenes electrónicas para la transferencia de fondos, como los elementos a través de los cuales se imparten las órdenes que materializan las operaciones a través de los canales de distribución.”

3. En materia de Seguridad y calidad, la precitada Circular 029 establece una serie de requerimientos de carácter general que deben cumplir las entidades sujetas a su aplicación, y que pueden ser consultadas en nuestra página Web: www.superfinanciera.gov.co siguiendo esta ruta: Normativa / Normativa General / Circulares Externas, cartas circulares y Resoluciones desde el año 2005/2014/029/Anexos.
4. Frente a las Obligaciones específicas para tarjetas débito y crédito, esa misma Circular, en su numeral 2.3.4.12 del Capítulo I, Título II de la parte I, establece lo siguiente:

“2.3.4.12.1. Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas.
2.3.4.12.2. Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.
2.3.4.12.3. Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma.
2.3.4.12.4. Velar porque en los centros donde se realicen los procesos citados en el subnumeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deben aplicar a los sobreflex.
2.3.4.12.5. Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes.
2.3.4.12.6. Cuando la clave (PIN) asociada a una tarjeta débito haya sido asignada por la entidad vigilada, esta debe ser cambiada por el cliente antes de realizar su primera operación.
2.3.4.12.7. Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito en el momento que éstos lo consideren necesario.
2.3.4.12.8. Establecer en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente para las operaciones monetarias que se realicen con tarjeta de crédito.
2.3.4.12.9. Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, nombre de la entidad emisora, fecha de expiración, espacio para la firma del cliente y número telefónico de atención al cliente.
2.3.4.12.10. Al momento de la entrega de la tarjeta a los clientes, ésta debe estar inactiva. Las entidades deben definir un procedimiento para su respectiva activación, el cual contemple, al menos, dos de tres factores de autenticación. En cualquier caso, se deben entregar las tarjetas exclusivamente al cliente o a quien este autorice.
2.3.4.12.11. Entregar a sus clientes tarjetas débito y/o crédito que manejen internamente mecanismos fuertes de autenticación, siempre que los cupos aprobados superen 2 SMMLV. Dichas tarjetas deben servir indistintamente para realizar operaciones en cajeros automáticos (ATM) y en puntos de pago (POS).

Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de autenticación no son obligatorios en tarjetas débito asociadas a productos utilizados para canalizar recursos provenientes de programas de ayuda y/o subsidios otorgados por el Estado Colombiano siempre que estos no superen 2 SMMLV.”

En conclusión, todos los Bancos que emiten plásticos en Colombia, deben cumplir con los requerimientos de seguridad y calidad para la realización de operaciones, previstos en el Capítulo I, Título II de la parte I de la Circula Externa 029 de 2014 y con los requisitos y estándares dispuestos por las franquicias para las tarjetas débito y crédito.

(…).»

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
, ,