La Resolución Administrativa BCE-GG-024-2024 del Banco Central del Ecuador, tiene como objetivo establecer las normas y procedimientos para la autorización, vigilancia y supervisión de los participantes en el Sistema Auxiliar de Pagos (SAP) en Ecuador, regulando los requisitos para que las entidades ofrezcan servicios de pago y relacionados, estableciendo un marco para la supervisión y vigilancia de estas entidades, y garantizando que operen de manera segura y eficiente.

También incluye medidas correctivas en caso de incumplimiento de las normativas, con sanciones o revocación de autorizaciones, asegura la protección de los usuarios mediante la transparencia en los servicios y la protección de sus datos personales, y contribuye al fortalecimiento y estabilidad del sistema financiero del país.

 Requisitos Específicos para los Partícipes Actuales:

1. Gestión de Riesgos y Continuidad Operativa

✔️ ISO 31000 (Gestión de Riesgos):

• No es obligatorio contar con la certificación ISO 31000.
• Las entidades deben presentar una metodología robusta de administración de riesgos operativos, que incluya:
  • Un mapa de procesos.
  • Identificación, medición, control y monitoreo de riesgos.
  • Matriz de evaluación de riesgos (según el Anexo 11).

✔️ ISO 22301 (Continuidad del Negocio):

• • • No se exige certificación, pero las entidades deben entregar un Plan de Continuidad del Negocio basado en estándares y mejores prácticas internacionales (según el Anexo 13).

✔️ ISO 27001 (Seguridad de la Información):

• • No es necesaria la certificación ISO 27001.
  • Se debe presentar evidencia de políticas, procesos y procedimientos de seguridad de la información alineados con estándares internacionales (según el Anexo 12).

2. Documentos Operativos y de Gobernanza:

✔️Manual de Buen Gobierno Corporativo: Adaptado a la estructura administrativa de la entidad.

✔️ Plan de Contingencia Actualizado: Incluyendo medidas específicas para mitigar interrupciones operativas.

✔️ Política de Protección de Datos Personales: Conforme a la Ley Orgánica de Protección de Datos Personales.

✔️ Manual de Atención a Clientes y Usuarios:

• • Procesos para resolver reclamos.
  • Gestión de incidentes relacionados con los servicios ofrecidos.
  • Políticas de escalabilidad y tiempos de respuesta.

3. Infraestructura Tecnológica y Financiera:

✔️ Esquema Operativo Detallado: Describiendo clientes, usuarios, comercios, entidades financieras, canales de pago, diagramas de flujo y conexión con otros participantes.

✔️ Capacidad Tecnológica: Detalle de infraestructura, contratos con proveedores (locales y extranjeros), y diagramas de red (según el Anexo 10).

✔️ Estados Financieros Actualizados: Incluyendo los dos últimos ejercicios fiscales y del mes previo.

✔️ Informes de Auditoría Externa: Si corresponde.

✔️ Proyecciones Financieras: Que demuestren viabilidad, sostenibilidad y factibilidad técnica.

4. Obligaciones de Reporte:

✔️ Presentar mensualmente:

• • Detalle de transacciones procesadas.
  • Información sobre reservas de liquidez.
  • Incidentes registrados en los servicios.

✔️Notificar hechos extraordinarios dentro de las 48 horas posteriores al suceso.

1.  5. Supervisión y Vigilancia:

✔️ Las entidades serán sometidas a:

• • Supervisión in situ: Mediante visitas del Banco Central para verificar el cumplimiento de los requisitos.
  • Supervisión extra situ: A través de reportes remotos y análisis de documentación.

✔️ Se aplicarán medidas correctivas si no cumplen con los requisitos establecidos.

1. 6. Resumen de las Normas Relacionadas (31000, 22301, 27001):

✔️No se exige certificación formal de las normas ISO mencionadas, pero se requiere implementar y demostrar la existencia de políticas y procesos alineados con estos estándares internacionales.

Puntos importantes de la resolución que debes conocer:

1. Facilitación de Inspecciones: Se establece la obligación de facilitar las inspecciones en las oficinas administrativas de las entidades, permitiendo la verificación de instalaciones y sistemas de tecnología de información y comunicación .
2. Remisión de Información: Las entidades deben remitir estructuras de información, planes de contingencia, políticas de gestión de riesgos y seguridad de la información al Banco Central del Ecuador en los plazos y formatos establecidos .
3. Cumplimiento de Contratos: Se requiere que las entidades cumplan con los términos acordados en los contratos con sus clientes, detallando los niveles de servicio y tiempos de transferencia de recursos .
4. Documentación Requerida: Se especifican los documentos necesarios para la autorización de servicios, incluyendo copias de constitución, nómina de accionistas, estados financieros y auditorías externas , .
5. Política de Protección de Datos: Las entidades deben tener una política de protección de datos personales conforme a la legislación vigente .
6. Plan de Negocios y Proyección Financiera: Se exige un plan de negocios que incluya proyecciones financieras y un esquema operativo detallado de los servicios solicitados .
7. Infraestructura Tecnológica: Las entidades deben detallar su infraestructura tecnológica, incluyendo diagramas de red y contratos con proveedores de servicios críticos .
8. Notificación de Disolución: En caso de disolución, las entidades deben notificar al Banco Central en un plazo de tres días, indicando el impacto de esta situación .
9. Cumplimiento Normativo: Se enfatiza la necesidad de cumplir con la normativa vigente y los requisitos establecidos por el Banco Central para operar como partícipes del Sistema Auxiliar de Pagos.

Lee la resolución completa, haz click👉🏼 AQUÍ

Conclusión:

Las entidades actuales deben ajustar sus políticas, procesos y documentación para cumplir con los requisitos de la resolución, particularmente en áreas clave como la gestión de riesgos, continuidad del negocio y seguridad de la información. Cumplir con estos lineamientos asegura su permanencia en el Sistema Auxiliar de Pagos (SAP)  y evita sanciones o pérdida de autorización.

Contribución de: Raúl V. González Socio Risk, Governance & Compliance Russell Bedford Ecuador

¿Necesitas asesoría para aplicar de manera correcta las políticas y procesos de la nueva resolución?… En Russell Bedford sabémos cómo hacerlo