Actualidad

Requisitos de Ciberseguridad para participar en el SINPE

¿Qué es el SINPE?

El Sistema Nacional de Pagos Electrónicos (SINPE) es una plataforma tecnológica desarrollada y administrada por el Banco Central de Costa Rica, que conecta a entidades financieras e instituciones públicas del país a través de una red privada de telecomunicaciones, la cual les permite realizar la movilización electrónica de fondos entre cuentas IBAN y participar en los mercados de negociación que organiza el Banco Central de Costa Rica mediante esa plataforma.

Esta plataforma tecnológica fue puesta en marcha el 17 de abril de 1997 e inició con el servicio de Compensación y Liquidación de Cheques, logrando así agilizar la liquidación de este instrumento de pago. Ya que, para ese momento, el mismo presentaba un porcentaje importante en lo relativo a la movilización de fondos. 

A partir de ahí, se han desarrollado otros servicios que no sólo agilizan y disminuyen los riesgos a los asociados directos al SINPE, sino también a los clientes de dichas entidades. Dentro de esos servicios se pueden mencionar: Transferencias de Fondos a Terceros, Créditos Directos, Débitos Directos y otros que permiten mayores opciones para movilizar los fondos de una entidad financiera hacia otra. 

Como distintivo comercial, "SINPE" es una marca registrada propiedad del Banco Central de Costa Rica, y el uso de sus logos e imágenes se encuentra regulado en el "Manual de marca - SINPE". Cualquier persona o entidad que desee hacer uso de dicha marca, debe solicitar la autorización previa del Banco Central de Costa Rica, con las razones y los usos que planea y se obliga a hacer de la misma.

​Los servicios del SINPE, se encuentran conformados de acuerdo con los siguientes criterios:  

  • 1. Tiempo real: procesan transacciones con acreditación o confirmación en tiempo real entendida esta condición como el tiempo que es consumido por las plataformas tecnológicas que interactúan para aplicar un crédito o débito automático en una cuenta cliente destino sin que proceso involucre intervenciones manuales. 
  • 2. Multilateral: se liquidan las transacciones neteadas entre sí al mismo día o al día hábil siguiente de haber sido enviadas por el SINPE (Liquidando en T o en T+1). 
  • 3. Negociación de valores:  procesan y liquidan transacciones que involucran valores de deuda pública anotados en cuenta.  
  • 4. Otros servicios:  servicios misceláneos destinados a apoyar el funcionamiento de los servicios que agrupan las categorías anteriores.

Cantidad y valor (coloniizado) de las transacciones por servicio y periodos

Esta norma técnica es obligatoria para todos los afiliados al SINPE y como tal constituye un requisito para la incorporación y la permanencia al SINPE.

El siguiente diagrama ayuda a ejemplificar la arquitectura de referencia, para comprender mejor la aplicabilidad de esta normativa:

Todos los actuales y potenciales afiliados del SINPE deben cumplir con los controles que se detallan en la normativa. Esta norma se revisará de forma anual, y se notificará en julio de cada año.

Esta norma técnica regulará los siguientes ámbitos de los afiliados.

  • Infraestructura requerida para operar el SINPE.
  • Equipos de conexión al SINPE.
  • Usuarios del SINPE.
  • Capa de intercambio de datos.
  • Servidores interconectados al SINPE.

Tipos de controles

Cada afiliado deberá cumplir con los siguientes controles.

Controles Obligatorios

Controles de acatamiento obligatorio para todos los actuales y potenciales afiliados que deben de ser atendidos de forma integral y completa.

Controles Opcionales

Controles que fortalecen aún más el ambiente de ciberseguridad, razón por la cual es importante que sean valorados por cada afiliado para su cumplimiento y que, en una etapa posterior podrían convertirse en obligatorios.

Los controles podrán ser actualizados según varíen las condiciones de seguridad, además, podrá modificarse su nivel de cumplimento, o bien, podrán incluirse nuevos requerimientos que se consideren convenientes para la protección de la seguridad del sistema.

Cumplimiento

Tanto los afiliados actuales como los interesados en afiliarse al SINPE deberán presentar una certificación de una firma de auditores con no más de un mes de emitida, en la que se indique que la entidad cumple con los controles establecidos, según sea el nivel de riesgos en que se ubica.

Periodicidad

Toda nueva entidad, interesada en obtener la autorización para su incorporación al SINPE, así como los afiliados actuales deben cumplir con estos requisitos de ciberseguridad.

La certificación debe ser actualizada anualmente, durante la primera semana de julio de cada año y deberá enviarse, debidamente firmada por el Gerente General o el Representante Legal, al Departamento Sistema Nacional de Pagos Electrónico, al buzón sinpe-ciberseguridad@bccr.fi.cr establecido con esta finalidad.

Los nuevos participantes deberán cumplir la totalidad de los requisitos para poder afiliarse al SINPE.

Para los afiliados actuales, en caso de que el informe del auditor establezca controles incumplidos total o parcialmente por el afiliado, es responsabilidad de la entidad aportar un plan de remediación para solventar las brechas detectadas, la atención de las mismas deberá finalizarse para el mes de octubre del año en curso, aportando los documentos solicitados en este mismo apartado.

Si desea profundizar sobre estos temas, puede indigar entre nuestros servicios