Principales regulaciones bancarias 2020 y requisitos de cumplimiento de seguridad

Michael Magrath, 24 de Febrero de 2020
Top 2020 Banking Regulations & Security Compliance Requirements

El rápido crecimiento de la tecnología y la digitalización en la industria financiera continúa impulsando nuevas regulaciones en todo el mundo, y ya están sucediendo muchas cosas en 2020. Parece probable una ola de regulaciones de privacidad de datos en América del Norte después de la Ley de Privacidad del Consumidor de California, pero ese es solo un ejemplo. En cada región, entran en vigencia nuevas regulaciones. 

A continuación, hemos compilado las principales regulaciones, leyes y estándares que impactan a las IF este año:

Principales regulaciones de seguridad para la industria financiera

PSD2: Directiva de servicios de pago 2

Si bien los requisitos de la banca abierta entraron en vigencia el 14 de septiembre de 2019, en octubre de 2019, la Autoridad Bancaria Europea publicó una fecha límite revisada para el cumplimiento de los Estándares Técnicos Regulatorios (RTS) sobre autenticación de clientes (SCA) y comunicación segura bajo PSD2.  La nueva fecha límite es ahora el 31 de diciembre de 2020.  Si bien la mayoría de las autoridades componentes han seguido el ejemplo de la EBA, la Autoridad de Conducta Financiera (FCA) del Reino Unido no hará cumplir la SCA hasta el 14 de marzo de 2021.  El Banco de Francia se ajustó a la fecha límite del 31 de diciembre de la EBA, pero agregó un período de gracia de 3 meses caso por caso.

Los criterios de PSD2 incluyen:

  1. Autenticación fuerte del cliente : La autenticación debe basarse en dos o más factores, incluidas las contraseñas o PIN, tokens o dispositivos móviles o datos biométricos.
  2. Análisis de riesgo de transacción : PSD2 exige el uso de análisis de riesgo de transacción para disuadir pagos fraudulentos.
  3. Enlace Dinámico : El código de autenticación debe estar vinculado dinámicamente al beneficiario y al monto en las transacciones de pago.
  4. Seguridad de aplicaciones móviles : Los proveedores de servicios de pago deben adoptar medidas de seguridad para mitigar el riesgo resultante de dispositivos móviles comprometidos. PSD2 también exige el uso de contramedidas de clonación de aplicaciones móviles dedicadas en aplicaciones, también conocidas como protección de replicación.

Canadá: la guía actualizada Conozca a su cliente de FINTRAC que permite la incorporación digital

La incorporación digital ha ganado rápidamente su adopción en países de todo el mundo, incluidos Hong Kong, Singapur y los Estados Unidos. Tanto las instituciones financieras como los clientes han adoptado la incorporación digital, ya que equilibra la seguridad con la comodidad del usuario al tiempo que cumple con los requisitos reglamentarios. 

Canadá continúa promoviendo la identidad digital con el desarrollo continuo del Marco de Confianza Pan-Canadiense (PCTF) liderado por el Gobierno de Canadá y el Consejo de Identidad Digital y Autenticación de Canadá (DIACC).

El 14 de noviembre de 2019, el Centro de Análisis de Informes y Transacciones Financieras de Canadá (FINTRAC) publicó un actualizar para obtener orientación sobre los requisitos de Conozca a su cliente (KYC), titulado " Métodos para verificar la identidad de un individuo y confirmar la existencia de una corporación o una entidad que no sea una corporación ".

FINTRAC admite diferentes tecnologías, incluida una entrevista de video en vivo y lo que se está convirtiendo en el camino de elección donde "se le podría pedir a un individuo que tome una foto 'selfie' usando la cámara en su teléfono móvil o dispositivo electrónico, y una aplicación aplicaría tecnología de reconocimiento facial para comparar las características de esa 'selfie' con la foto en el documento de identificación con foto auténtico emitido por el gobierno ".

FINTRAC hace hincapié en que "no es suficiente simplemente ver a una persona y su documento de identificación con foto emitido por el gobierno en línea a través de una video conferencia o cualquier otro tipo de aplicación virtual". La institución financiera "debe usar un software o algún tipo de tecnología que pueda autenticar el documento de identificación con foto emitido por el gobierno. Las IF también deben verificar que el nombre y la imagen coincidan con los de la persona en el documento de identificación con foto auténtico emitido por el gobierno ".

Canadá: enmiendas a la Ley del producto del delito (blanqueo de capitales) y la financiación del terrorismo (PCMLTFA)

Publicado por FINTRAC en julio de 2019, el enmiendas afecta directamente los intercambios de criptomonedas, que han estado fuera de muchas regulaciones. 

Todos los intercambios de criptomonedas en Canadá, a partir del 1 de junio de 2020, deben registrarse en FINTRAC.  Los intercambios criptográficos se clasificarán como empresas de servicios monetarios (MSB), que tradicionalmente han proporcionado servicios de cambio de moneda extranjera y cambio de cheques junto con ventas de giros postales.

Al igual que las instituciones financieras, los intercambios de cifrado deberán tener un oficial de cumplimiento, cumplir con las políticas de Conozca a su cliente (KYC) e informar las transacciones sospechosas a FINTRAC. Los intercambios de cifrado podrán aprovechar las disposiciones de incorporación digital detalladas anteriormente.

NOSOTROS - Enmiendas a las Salvaguardas y Reglas de Privacidad bajo la Ley Gramm-Leach-Bliley

En 2020, se espera que la Comisión Federal de Comercio anuncie cambios en la Regla de Salvaguardas y la Regla de Privacidad bajo la Ley Gramm-Leach-Bliley, que requiere que las instituciones financieras (FI) expliquen a sus clientes las políticas y prácticas de intercambio de información de la organización y salvaguardar datos confidenciales.  

Es probable que las regulaciones revisadas incorporen los comentarios proporcionados por cambios propuestos La FTC anunció en 2019.

Bajo la Regla de Salvaguardias, EE. UU. Los bancos y las IF deben implementar medidas para mantener segura la información del cliente. Además, también deben tomar medidas para garantizar que sus afiliados y proveedores de servicios protejan la información del cliente bajo su cuidado. La Regla de Privacidad requiere que una FI permita a sus clientes optar por no compartir su información con terceros después de que el cliente haya recibido una explicación de las prácticas de intercambio de información de la organización. La propuesta requeriría que las instituciones financieras encripten todos los datos de los clientes, utilicen la autenticación multifactor para acceder a esos datos e implementen más controles de acceso para evitar que usuarios no autorizados accedan a la información del cliente.

Estos cambios propuestos se basan en las Regulaciones de Ciberseguridad del Departamento de Servicios Financieros de Nueva York que entraron en vigencia en 2019. La realidad es que no todas las instituciones financieras en los EE. UU. Están sujetas a las reglamentaciones del NYDFS, por lo que quedan lagunas en la protección de la privacidad y seguridad de los clientes.  Sin embargo, todas las instituciones financieras en los EE. UU. se rige por la FTC, lo que significa que las regulaciones propuestas por la FTC eliminarán todas y cada una de las lagunas.

Unión Europea - Directiva 5 contra el lavado de dinero (AMLD5)

En julio de 2018 Directiva de la UE 2018/843 , la quinta versión de la Directiva de la UE contra el lavado de dinero (AMLD5) entró en vigencia y requiere que los estados miembros de la UE transpongan AMLD 5 a la legislación nacional antes del 10 de enero de 2020.

Al igual que las versiones anteriores, AMLD5 se aplica a las instituciones financieras, incluidos los bancos y las empresas de servicios monetarios (MSB), con el cambio significativo de que AMLD5 se aplica a los intercambios de criptomonedas virtuales (VCEP) y proveedores de billeteras custodias ("CWP") como sujetos de "entidades obligadas" a las regulaciones de la UE. 

Los VCEP y CWP que antes no estaban regulados por la directiva ahora deben seguir las mismas reglas que cualquier otra organización de servicios financieros, que incluye verificaciones de identidad obligatorias en nuevos clientes.

En lo que respecta a la verificación de identidad, AMLD5 reconoce las tecnologías de identidad digital. 

El ítem # 22 incluye, “La identificación precisa y la verificación de datos de personas físicas y jurídicas son esenciales para combatir el lavado de dinero o el financiamiento del terrorismo. Los últimos desarrollos técnicos en la digitalización de transacciones y pagos permiten una identificación remota o electrónica segura. Esos medios de identificación ... deben tenerse en cuenta, en particular con respecto a los sistemas de identificación electrónica notificados y las formas de garantizar el reconocimiento legal transfronterizo, que ofrecen herramientas seguras de alto nivel y proporcionan un punto de referencia contra el cual los métodos de identificación establecidos a nivel nacional puede ser revisado Además, se pueden tener en cuenta otros procesos seguros de identificación remota o electrónica, regulados, reconocidos, aprobados o aceptados a nivel nacional por la autoridad nacional competente ”.

El incumplimiento puede dar lugar a sanciones severas, incluidas multas de hasta 5 millones de euros o el 10% de la facturación anual. Para la administración, se podría prohibir a las personas administrar un negocio regulado y se podría impedir que la organización comerciara debido a violaciones de cumplimiento.

Conformidad normativa

Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento.

Obtener más información

Reglamento de privacidad y protección de datos

Los organismos gubernamentales de todo el mundo están considerando nuevas regulaciones de privacidad de datos. Muchas de estas regulaciones están inspiradas en el RGPD de la UE y significan una mayor conciencia sobre los problemas de privacidad y protección de datos.

Ley de Privacidad del Consumidor de California (CCPA)

CCPA introduce nuevos derechos de privacidad para los consumidores y obligará a las empresas que realizan negocios en California a implementar cambios estructurales en sus programas de privacidad. Siguiendo el modelo del Reglamento General de Protección de Datos (GDPR) de la UE, el CCPA entró en vigencia el 1 de enero de 2020 y su aplicación comenzó el 1 de julio de 2020.

El CCPA se aplica a las empresas definidas como "una entidad con fines de lucro que recopila datos personales de" consumidores "(en este caso, residentes de California) y cumple al menos uno de los siguientes:

  1. La empresa compra, recibe, vende o comparte anualmente la información personal de 50,000 o más consumidores, hogares o dispositivos.
  2. El negocio tiene un ingreso bruto anual de más de $ 25 millones.
  3. El negocio obtiene el 50% o más de sus ingresos anuales de la venta de información personal del consumidor ".

Algunas de las disposiciones clave incluyen el derecho del consumidor a acceder, eliminar y portar información personal. Según la ley, los consumidores pueden solicitar acceder, eliminar o transferir la información personal que han proporcionado a una empresa, hasta dos veces en un período de 12 meses. 

Cuando uno piensa en sus interacciones digitales con una empresa, existe una enorme cantidad de datos personales. Esto incluye la información habitual, como nombre, dirección postal, teléfono, dirección de correo electrónico, estado civil, religión y raza, pero también incluye información digital como su dirección IP, nombre de usuario, contraseñas, datos de navegación, historial de compras y autenticadores. La lista de autenticadores incluye además datos biométricos como datos de reconocimiento facial, impresiones de voz y huellas digitales. 

Para proteger la privacidad y seguridad de los consumidores, la ley exige que las empresas establezcan procesos para verificar la identidad y autorización de los consumidores.

Las multas por violar el CCPA pueden ser elevadas. Las infracciones no intencionales están sujetas a una multa máxima de $ 2,500, mientras que las infracciones intencionales conllevan una multa máxima de $ 7,500. Para una corporación multimillonaria, estas cantidades son una ligera palmada en la muñeca. Donde la CCPA tiene dientes es en el derecho de los consumidores presentar demandas. Según la CCPA, los consumidores pueden cobrar entre $ 100 y $ 750 por cada evento. En esta era de infracciones a gran escala, si los daños son mayores de $ 750, entonces el consumidor puede recibir aún más. Situaciones como estas pueden surgir de instancias en las que se infringe la "información personal no cifrada o no redactada" de un cliente.

Ley General de Protección de Datos de Brasil (LGPD)

En julio de 2019, se firmó la Ley General de Protección de Datos (Lei Geral de Proteção de Dados Pessoais) (Ley N ° 13.709 / 2018) ("LGPD") y entrará en vigencia el 15 de agosto de 2020.

El LGPD sigue el modelo del RGPD de la UE y se aplica a cualquier persona física o jurídica (independientemente de dónde se encuentren) que ofrezca o suministre bienes o servicios a Brasil, procese datos en Brasil o procese datos recopilados en Brasil o pertenecientes a individuos brasileños. .

El LGPD requiere que los controladores y procesadores de datos adopten medidas administrativas, técnicas y de seguridad destinadas a proteger los datos personales del acceso no autorizado, además de la pérdida, destrucción, alteración y comunicación accidental o ilegal.   

La Autoridad Nacional de Protección de Datos (ANPD) supervisará y aplicará las normas de protección de datos. Se espera que la ANPD publique estándares técnicos mínimos en 2020.

Aunque queda por ver qué incluirán los estándares técnicos mínimos, los bancos afectados y otras compañías que actualmente protegen los datos de los clientes con nombres de usuario y contraseñas estáticas deberían elevar sus tecnologías de autenticación y gestión de identidad para incluir la autenticación multifactor.   

Ley de Protección de Datos Personales de Tailandia (PDPA)

En mayo de 2019, la Ley de Protección de Datos Personales BE 2562 (2019) se publicó en el boletín oficial de Tailandia. La ley incluye un período de gracia de 1 año con cumplimiento a partir del 27 de mayo de 2020.

El PDPA incluye una disposición para la creación del Comité de Protección de Datos Personales ("PDPC"), encargado de hacer cumplir y orientar la publicación. 

PDPA ha sido influenciado por varios conceptos del GDPR, pero también se basa en conceptos desarrollados desde la perspectiva tailandesa. No asuma que el cumplimiento de GDPR se alineará con el cumplimiento de PDPA. Recomiendo una revisión exhaustiva y cuidadosa de las diferencias entre estas dos legislaciones para todas las organizaciones bancarias internacionales que operan en ambas regiones.

Al igual que GDPR, el consentimiento del consumidor debe obtenerse de una manera fácil de entender y no compleja.

Las empresas deberán consolidar sus políticas y prácticas de gestión de datos de clientes, ya que el PDPA clasifica los datos de los clientes en tres categorías: recopilación de datos personales, uso de datos y divulgación de datos. Las empresas necesitan obtener el consentimiento del cliente para cada propósito.

El PDPA tiene una aplicabilidad extraterritorial, lo que significa que los controladores y procesadores de datos, tanto dentro como fuera de Tailandia, podrían estar sujetos, lo que afectaría a muchos bancos globales y regionales y otras instituciones financieras.

Al igual que GDPR y otras leyes de protección de datos, el PDPA incluye sanciones severas por incumplimiento. Esto incluye multas de hasta THB 5 millones por incumplimiento administrativo, prisión de hasta un año y / o multas de hasta THB 1 millón) y daños punitivos hasta el doble del monto de los daños reales. Además, Tailandia ahora permite que los interesados presenten demandas colectivas, lo que significa que los daños civiles bajo el PDPA pueden multiplicarse. El director de la compañía también puede estar sujeto a sanciones.

¿Cuáles son las principales regulaciones, leyes y estándares que impactan a las instituciones financieras en 2020?
  1. PSD2 : Directiva de servicios de pago 2
  2. Canadá FINTRAC La guía actualizada Conozca a su cliente que permite la incorporación digital
  3. Canadá: enmiendas a la Ley del producto del delito (blanqueo de capitales) y la financiación del terrorismo PCMLTFA )
  4. NOSOTROS - Enmiendas a las Normas de Salvaguardias y Privacidad bajo el Ley Gramm-Leach-Bliley
  5. Unión Europea - Directiva contra el blanqueo de dinero 5 ( AMLD5 )
  6. Ley de Privacidad del Consumidor de California ( CCPA )
  7. Ley General de Protección de Datos de Brasil ( LGPD )
  8. Ley de protección de datos personales de Tailandia PDPA )

Orientación del Grupo de Acción Financiera (GAFI) sobre identidad digital

El GAFI establece estándares y "promueve la implementación efectiva de medidas legales, regulatorias y operativas para combatir el lavado de dinero, el financiamiento del terrorismo y otras amenazas relacionadas a la integridad del sistema financiero internacional". En marzo de 2020, el Grupo de Acción Financiera ("GAFI") lanzó Orientación sobre identidad digital . La Guía busca ayudar a las IF, gobiernos y otras organizaciones a aplicar un enfoque basado en el riesgo al usar sistemas de identidad digital para la debida diligencia del cliente (CDD).

La Guía del GAFI se enfoca en sistemas de identificación digital de extremo a extremo que abarcan los procesos de prueba de identidad, inscripción y autenticación.

Los beneficios potenciales de los sistemas de identidad digital definidos en la guía incluyen:

  • Mejore la identificación y verificación del cliente en el embarque
  • Apoyar el escrutinio continuo y la debida diligencia de las transacciones a lo largo de la relación comercial
  • Facilitar otras medidas de diligencia debida del cliente (DDC)
  • Ayuda a la supervisión de transacciones con el propósito de detectar e informar transacciones sospechosas, así como la gestión general de riesgos y los esfuerzos antifraude.

Con 37 jurisdicciones (países) y 2 organizaciones regionales (el Consejo de Cooperación del Golfo de Medio Oriente y la Comisión Europea), cuando finalice, esperamos que muchas de las jurisdicciones adopten la orientación en sus respectivas regulaciones para combatir el fraude, el robo de identidad, el lavado de dinero y Financiamiento del terrorismo.

Reglamento bancario y oportunidad

2020 marca un período de grandes cambios regulatorios en todo el mundo. Por esa razón, es imperativo estar al tanto de los cambios regulatorios actuales, así como de las nuevas propuestas que se discuten en las jurisdicciones en las que opera. Pueden tener un impacto crucial en sus iniciativas de transformación digital.

Obtenga más información sobre las soluciones de seguridad y el cumplimiento normativo visitando nuestra página delineando el desafío del cumplimiento .

 

 

 

 

 

 

 

 

 

Michael Magrath es responsable de alinear la hoja de ruta de soluciones de OneSpan con los estándares y los requisitos reglamentarios a nivel mundial. Es Presidente del Grupo de Trabajo de Implementación del Gobierno de la Alianza FIDO y está en la Junta de Directores de la Asociación de Firmas y

Conformidad normativa

Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Sepa por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento.

Obtener más información