Conformidad

El NYDFS regula aproximadamente 1,500 bancos e instituciones financieras. Estos incluyen EE. UU. instituciones, así como muchas instituciones internacionales con operaciones en Nueva York. 

los Requisitos de ciberseguridad para empresas de servicios financieros consta de 22 disposiciones que requieren que las organizaciones de servicios financieros protejan mejor los datos. Las instituciones financieras deben implementar controles efectivos para evitar el acceso no autorizado a los sistemas de información o información no pública a través de la evaluación de riesgos, pero los medios por los cuales pueden hacerlo pueden incluir autenticación multifactor , autenticación biométrica o autenticación basada en riesgo .

Obtenga más información en este blog: Requisitos de seguridad cibernética del NYDFS para empresas de servicios financieros

La Directiva de servicios de pago (PSD2) de la UE contiene requisitos relacionados con la autenticación fuerte de cliente (SCA). Las instituciones financieras tienen plazo hasta septiembre de 2019 para cumplir estos requisitos. Sin embargo, los proveedores de servicios de pago específicos (PSP) podrían calificar para una extensión excepcional en el contexto de pagos con tarjeta para comercio electrónico de acuerdo con un dictamen reciente de la EBA .

Estos requisitos incluyen cinco criterios de cumplimiento:

• Autenticación fuerte: La autenticación debe basarse en dos o más factores, incluidas las contraseñas o PIN, tokens o dispositivos móviles o datos biométricos.

• Análisis de riesgo de transacción: Manda el uso de análisis de riesgo de transacción para disuadir pagos fraudulentos. 

• Protección de replicación: PSD2 exige el uso de contramedidas de clonación de aplicaciones móviles dedicadas en aplicaciones.

• Enlace Dinámico: Para las transacciones de pago, el código de autenticación debe estar vinculado dinámicamente a la cantidad y al beneficiario.

• Elementos independientes Los proveedores de servicios de pago deben adoptar medidas de seguridad para mitigar el riesgo resultante de dispositivos móviles comprometidos.

El nuevo Marco de Certificación de Ciberseguridad de la UE, originalmente propuesto en 2017, se desarrolló para mejorar la ciberseguridad de los servicios en línea y dispositivos de consumo, incluidos los dispositivos IoT. Una vez aprobado formalmente por el Parlamento Europeo, se publicará en el Diario Oficial de la UE y entrará en vigor oficialmente de inmediato. Para más información, lea El comunicado de prensa oficial.

Para mejorar la resistencia contra las amenazas cibernéticas, la Autoridad Monetaria de Arabia Saudita (SAMA) introdujo el Marco de seguridad cibernética de SAMA en mayo de 2017. Esto sigue una tendencia global en la que los reguladores gubernamentales y de la industria bancaria de todo el mundo están introduciendo normas y orientaciones de seguridad cibernética. 

Los cuatro aspectos clave del marco incluyen:

• Gestión de identidad y acceso.
• Canal de comunicación seguro para banca en línea y móvil
• Blindaje de aplicaciones móviles
• Detección y prevención de fraudes

Obtenga más información en este blog: Cumplimiento del marco de seguridad cibernética de SAMA

La Autoridad Monetaria de Singapur (MAS) ha emitido Directrices de Gestión de Riesgos Tecnológicos (TRM) y Directrices de Gestión de Continuidad de Negocios (BCM).

Las Directrices TRM brindan instrucciones para la seguridad del desarrollo de software, la vigilancia cibernética, la simulación de ataques adversos y cómo gestionar los riesgos cibernéticos que plantea Internet de las cosas. El TRM también incluye una sección sobre "Seguridad de los servicios financieros en línea", que cubre lo siguiente:

• Sec.14.1.7 "Los dispositivos móviles enraizados o con jailbreak deben tener bloqueado el acceso a las aplicaciones móviles de la FI para realizar transacciones financieras, ya que dichos dispositivos son más susceptibles a las vulnerabilidades de malware y seguridad".

• Segundo. 14.2.1 "La autenticación multifactor debe implementarse al iniciar sesión para los servicios financieros en línea para asegurar el proceso de autenticación del cliente".

• Segundo. 14.2.4 "FI puede aplicar un enfoque basado en el riesgo e implementar una autenticación adecuada basada en el riesgo o adaptativa que presente a los clientes opciones de autenticación que sean acordes con el nivel de riesgo de la transacción y la sensibilidad de la información". 

• Segundo. 14.2.8 "Cuando se utiliza el token virtual para la autenticación del cliente, se deben implementar medidas apropiadas, como verificar la identidad del cliente, detectar y bloquear dispositivos rooteados o liberados, y realizar la vinculación del dispositivo, para el proceso de aprovisionamiento del token virtual".

• Segundo. 14.3.1 "La IF debe implementar sistemas de monitoreo o vigilancia de fraude en tiempo real para identificar y bloquear transacciones en línea sospechosas o fraudulentas".

Estándar de seguridad de datos de la industria de tarjetas de pago

PCI DSS 3.2 es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de las principales marcas de tarjetas. Se implementó para abordar las amenazas de seguridad a la información de pago del cliente. Todas las entidades involucradas en el procesamiento de tarjetas de pago deben cumplir con PCI DSS, incluidos los adquirentes, emisores, comerciantes, procesadores y proveedores de servicios. También se aplica a todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.

El requisito 8.3, que se convirtió en obligatorio en 2018, requiere que las organizaciones incorporen autenticación multifactor para todo el acceso que no sea de consola al entorno de datos del titular de la tarjeta, así como el acceso remoto a la red que se origina fuera de la red de la entidad.

Para adaptarse al entorno cambiante de amenazas y adelantarse a los cibercriminales, RÁPIDO (la Society for Worldwide Interbank Financial Telecommunication) presentó el Marco de controles de seguridad SWIFT y Programa de seguridad del cliente (CSP). Para obtener más información sobre cómo SWIFT ayuda a garantizar la seguridad e integridad de los sistemas que se conectan a la red SWIFT, consulte esto Blog . 

En los Estados Unidos, las leyes federales y estatales otorgan a las firmas electrónicas el mismo estatus legal que las firmas manuscritas. La Ley Federal de Firmas Electrónicas en el Comercio Global y Nacional (ESIGN) otorga reconocimiento legal a las firmas y registros electrónicos para satisfacer los requisitos legales "por escrito" para las transacciones, incluidas las divulgaciones, y permite a las organizaciones cumplir los requisitos legales de retención de registros únicamente mediante el uso de registros electrónicos ESIGN requiere el consentimiento de una persona para realizar negocios electrónicamente.

A nivel estatal, cuarenta y siete estados, el Distrito de Columbia, Puerto Rico y las Islas Vírgenes han adoptado la Ley Uniforme de Transacciones Electrónicas (UETA). Además, la ley federal de ESIGN establece que las firmas electrónicas son legalmente exigibles para el comercio intraestatal y dentro de los estados que no han adoptado UETA.

El 20 de diciembre de 2018 La Ley de experiencia digital integrada del siglo XXI (IDEA del siglo XXI) fue firmado en ley. Crea estándares mínimos de funcionalidad y seguridad para las agencias federales en los EE. UU. Con el objetivo de mejorar las interacciones digitales entre los ciudadanos y el gobierno. Por ejemplo, requiere que las agencias ofrezcan versiones digitales de todos los servicios en papel y acepten firmas electrónicas de los ciudadanos.

Aprende más en este blog
 

La Regla 4512 (a) (3) (Información de la cuenta del cliente) de FINRA de EE. UU. Requería previamente que las firmas de corretaje obtuvieran la firma "húmeda" de cada persona física nombrada autorizada para ejercer discreción en una cuenta antes de abrirla. El 16 de abril de 2019, la Comisión de Intercambio de Seguridad de EE. UU. (SEC) aprobó un cambio propuesto a la Regla 4512 (a) (3) que brinda a los miembros la opción de obtener una firma electrónica en lugar de una firma húmeda.

Aprende más en esto Blog .

Numerosos estados en los EE. UU. Han aprobado o están considerando legislación que facultaría a sus notarios estatales para realizar notarizaciones remotas en línea. Esto incluye:  

• Indiana SB 372 (firmado en la ley 13/03/18; efectivo 7/1/19)
• Louisiana HCR 31 (introducido 4/6/18; aprobado Cámara y Senado)
• Michigan H 5811 (firmado en la ley 28/06/18; efectivo 30/03/19)
• Minnesota SF 893 (firmado en la ley 5/20/18; efectivo 1/1/19)
• Nevada A. 413 (firmado en ley 6/9/17; efectivo 7/1/18)
• Ohio SB 263 (firmado en la ley 12/18; vigente desde el 9/19/19)
• Dakota del Norte HB 1110 (firmado en la ley 3/11/19)
• Dakota del Sur HB 1272 (firmado en ley 18/3/19)
• Tennessee SB 1758 (firmado en la ley 15/5/18; efectivo 7/1/19)
• Texas HB 1217 (firmado en la ley 6/1/17; efectivo 7/1/18)
• Kentucky SB 114 (firmado en ley, 25/03/19; efectivo 1/1/20)

Al igual que las leyes UETA de EE. UU., Las leyes de firma electrónica provincial de Canadá otorgan a las firmas electrónicas el mismo estatus legal que las firmas manuscritas. 

Se han promulgado leyes de comercio electrónico y firma electrónica sustancialmente uniformes en todo Canadá. Todas las provincias y territorios tienen estatutos de comercio electrónico independientes de aplicación general basados en leyes modelo promulgadas por la ONU y la Conferencia de Derecho Uniforme de Canadá (ULCC). 

Por ejemplo, en Ontario, la Ley de Comercio Electrónico de 2000 (ECA) aborda el uso de documentos electrónicos en transacciones comerciales. En un informe titulado Firmas electrónicas en la legislación canadiense, la firma de abogados de negocios canadiense Stikeman Elliott LLP declara: “Si bien hay algunas variaciones, los estatutos provinciales de comercio electrónico generalmente estipulan que las firmas, los documentos y los originales no son inválidos o inaplicables por el solo motivo de estar en forma electrónica ".

Para obtener más información, lea el Guía legal de Stikeman Elliott a firmas electrónicas. 

El Reglamento de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior (eIDAS) entró en vigor en toda la Unión Europea el 1 de julio de 2016, reemplazando la Directiva 1999/93 / CE sobre firmas electrónicas. A diferencia de la Directiva, el reglamento eIDAS se aplica por igual a cada Estado miembro de la UE. 

eIDAS facilita el reconocimiento transfronterizo de firmas electrónicas e identidades electrónicas. También identifica tres niveles de firma electrónica: la firma electrónica simple, avanzada y calificada.

Obtenga información sobre la exigibilidad legal de los tres niveles de firma electrónica en este documento técnico: eIDAS y firma electrónica: una perspectiva legal , escrito por Lorna Brazell de Osborne Clarke LLP.

En Brasil, el uso de firmas electrónicas se divide en dos categorías:

• Tecnológicamente neutral: la ley brasileña permite una firma electrónica en casos de uso donde el tipo de firma no está especificado por la ley. En este enfoque, la firma electrónica debe garantizar la integridad del documento firmado y la autenticidad de la autoría de la firma, pero la ley no especifica la tecnología. La libertad de forma en la ley brasileña infiere este enfoque de tecnología neutral.
• Específico de la tecnología: Ciertos tipos de documentos y firmantes requieren el uso de un certificado digital emitido al firmante por la infraestructura de ICP-Brasil. Este es un sistema de tecnología específica donde los certificados ICP-Brasil proporcionan una verificación de terceros confiable de la firma electrónica. ICP-Brasil establece la infraestructura de clave pública para el país, que proporciona la marca de tiempo y las políticas necesarias para crear el equivalente de una firma electrónica calificada (QES). 

Obtenga más información en este libro blanco portugués sobre Firmas electrónicas y la ley en Brasil , escrito en colaboración con Opice Blum LLP. 

La Ley 527 de 1999 estableció las firmas electrónicas como el equivalente de las firmas manuscritas. Otorga a las firmas electrónicas la misma validez y efecto legal que una firma manuscrita, siempre que la firma electrónica cumpla con los requisitos de confiabilidad establecidos en el Decreto 2364 de 2012.

Obtenga más información en este documento técnico en español sobre Firmas electrónicas y la ley en Colombia , escrito en colaboración con Erick Rincón Cárdenas, socio de Rincón Cárdenas y Moreno.

En 2000, el Congreso de la República del Perú aprobó la Ley N ° 27269 sobre Firmas y Certificados Digitales, que dice lo siguiente: “El propósito de esta ley es regular el uso de las firmas electrónicas, otorgándoles la misma validez y efectividad legal. como firmas manuscritas o similares que implican una declaración de voluntad ".

Obtenga más información en este documento técnico en español sobre Firmas electrónicas y la ley en el Perú , escrito en colaboración con Erick Rincón Cárdenas, socio de Rincón Cárdenas y Moreno.

En 1999, el Parlamento australiano aprobó la Ley de transacciones electrónicas, que se modificó en 2011. La Ley de Transacciones Electrónicas otorga a las firmas electrónicas el mismo estatus legal que las firmas manuscritas. 

Según el gobierno australiano, "si una ley de la Commonwealth requiere que usted brinde información por escrito, proporcione una firma manuscrita, produzca un documento en forma material o registre o conserve información, la Ley de Transacciones Electrónicas significa que puede hacer estas cosas electrónicamente". 

Obtenga más información en nuestro libro electrónico, Firmas electrónicas y la ley: revisión de la legislación mundial . 
 

En vigor desde 2001, la Ley de Empresas de Certificación y Firmas Electrónicas de Japón reconoce la exigibilidad legal de dos tipos de firmas electrónicas utilizadas en todo el mundo: Firmas electrónicas avanzadas y Firmas electrónicas calificadas.

Obtenga más información en nuestro libro electrónico, Firmas electrónicas y la ley: revisión de la legislación mundial . 

Establecida en 1998, esta ley proporciona la base legal para las firmas electrónicas y brinda previsibilidad y certeza a los contratos electrónicos. Según el Gobierno de Singapur, “en el mundo electrónico, las firmas escritas a mano pueden reemplazarse por firmas digitales. Al igual que las firmas escritas, las firmas digitales pueden usarse para establecer la identidad de una parte o para hacer compromisos legales. La Ley de Transacciones Electrónicas establece el reconocimiento de firmas digitales bajo la ley de Singapur ".

Obtenga más información en nuestro libro electrónico, Firmas electrónicas y la ley: revisión de la legislación mundial.