Normas y requisitos para los participantes del Sistema Auxiliar de Pagos (SAP) en Ecuador
La Resolución Administrativa BCE-GG-024-2024 del Banco Central del Ecuador, tiene como objetivo establecer las normas y procedimientos para la autorización, vigilancia y supervisión de los participantes en el Sistema Auxiliar de Pagos (SAP) en Ecuador, regulando los requisitos para que las entidades ofrezcan servicios de pago y relacionados, estableciendo un marco para la supervisión y vigilancia de estas entidades, y garantizando que operen de manera segura y eficiente.
También incluye medidas correctivas en caso de incumplimiento de las normativas, con sanciones o revocación de autorizaciones, asegura la protección de los usuarios mediante la transparencia en los servicios y la protección de sus datos personales, y contribuye al fortalecimiento y estabilidad del sistema financiero del país.
Requisitos Específicos para los Partícipes Actuales:
- Gestión de Riesgos y Continuidad Operativa
✔️ ISO 31000 (Gestión de Riesgos):
- No es obligatorio contar con la certificación ISO 31000.
- Las entidades deben presentar una metodología robusta de administración de riesgos operativos, que incluya:
- Un mapa de procesos.
- Identificación, medición, control y monitoreo de riesgos.
- Matriz de evaluación de riesgos (según el Anexo 11).
✔️ ISO 22301 (Continuidad del Negocio):
- No se exige certificación, pero las entidades deben entregar un Plan de Continuidad del Negocio basado en estándares y mejores prácticas internacionales (según el Anexo 13).
✔️ ISO 27001 (Seguridad de la Información):
- No es necesaria la certificación ISO 27001.
- Se debe presentar evidencia de políticas, procesos y procedimientos de seguridad de la información alineados con estándares internacionales (según el Anexo 12).
- Documentos Operativos y de Gobernanza:
✔️Manual de Buen Gobierno Corporativo: Adaptado a la estructura administrativa de la entidad.
✔️ Plan de Contingencia Actualizado: Incluyendo medidas específicas para mitigar interrupciones operativas.
✔️ Política de Protección de Datos Personales: Conforme a la Ley Orgánica de Protección de Datos Personales.
✔️ Manual de Atención a Clientes y Usuarios:
- Procesos para resolver reclamos.
- Gestión de incidentes relacionados con los servicios ofrecidos.
- Políticas de escalabilidad y tiempos de respuesta.
- Infraestructura Tecnológica y Financiera:
✔️ Esquema Operativo Detallado: Describiendo clientes, usuarios, comercios, entidades financieras, canales de pago, diagramas de flujo y conexión con otros participantes.
✔️ Capacidad Tecnológica: Detalle de infraestructura, contratos con proveedores (locales y extranjeros), y diagramas de red (según el Anexo 10).
✔️ Estados Financieros Actualizados: Incluyendo los dos últimos ejercicios fiscales y del mes previo.
✔️ Informes de Auditoría Externa: Si corresponde.
✔️ Proyecciones Financieras: Que demuestren viabilidad, sostenibilidad y factibilidad técnica.
- Obligaciones de Reporte:
✔️ Presentar mensualmente:
- Detalle de transacciones procesadas.
- Información sobre reservas de liquidez.
- Incidentes registrados en los servicios.
✔️Notificar hechos extraordinarios dentro de las 48 horas posteriores al suceso.
- 5. Supervisión y Vigilancia:
✔️ Las entidades serán sometidas a:
- Supervisión in situ: Mediante visitas del Banco Central para verificar el cumplimiento de los requisitos.
- Supervisión extra situ: A través de reportes remotos y análisis de documentación.
✔️ Se aplicarán medidas correctivas si no cumplen con los requisitos establecidos.
- 6. Resumen de las Normas Relacionadas (31000, 22301, 27001):
✔️No se exige certificación formal de las normas ISO mencionadas, pero se requiere implementar y demostrar la existencia de políticas y procesos alineados con estos estándares internacionales.
Puntos importantes de la resolución que debes conocer:
- Facilitación de Inspecciones: Se establece la obligación de facilitar las inspecciones en las oficinas administrativas de las entidades, permitiendo la verificación de instalaciones y sistemas de tecnología de información y comunicación .
- Remisión de Información: Las entidades deben remitir estructuras de información, planes de contingencia, políticas de gestión de riesgos y seguridad de la información al Banco Central del Ecuador en los plazos y formatos establecidos .
- Cumplimiento de Contratos: Se requiere que las entidades cumplan con los términos acordados en los contratos con sus clientes, detallando los niveles de servicio y tiempos de transferencia de recursos .
- Documentación Requerida: Se especifican los documentos necesarios para la autorización de servicios, incluyendo copias de constitución, nómina de accionistas, estados financieros y auditorías externas , .
- Política de Protección de Datos: Las entidades deben tener una política de protección de datos personales conforme a la legislación vigente .
- Plan de Negocios y Proyección Financiera: Se exige un plan de negocios que incluya proyecciones financieras y un esquema operativo detallado de los servicios solicitados .
- Infraestructura Tecnológica: Las entidades deben detallar su infraestructura tecnológica, incluyendo diagramas de red y contratos con proveedores de servicios críticos .
- Notificación de Disolución: En caso de disolución, las entidades deben notificar al Banco Central en un plazo de tres días, indicando el impacto de esta situación .
- Cumplimiento Normativo: Se enfatiza la necesidad de cumplir con la normativa vigente y los requisitos establecidos por el Banco Central para operar como partícipes del Sistema Auxiliar de Pagos.
Lee la resolución completa, haz click👉🏼 AQUÍ
Conclusión:
Las entidades actuales deben ajustar sus políticas, procesos y documentación para cumplir con los requisitos de la resolución, particularmente en áreas clave como la gestión de riesgos, continuidad del negocio y seguridad de la información. Cumplir con estos lineamientos asegura su permanencia en el Sistema Auxiliar de Pagos (SAP) y evita sanciones o pérdida de autorización.
Contribución de: Raúl V. González Socio Risk, Governance & Compliance Russell Bedford Ecuador |
¿Necesitas asesoría para aplicar de manera correcta las políticas y procesos de la nueva resolución?… En Russell Bedford sabémos cómo hacerlo