BUSCAR
ÍNDICE
CIRCULAR EXTERNA 24 DE 2021
(octubre 21)
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 601 de 22 de octubre de 2021
SUPERINTENDENCIA FINANCIERA
Señores
REPRESENTANTES LEGALES DE LAS ENTIDADES VIGILADAS Y OPERADORES DE INFORMACIÓN DE LA PLANILLA INTEGRADA DE LIQUIDACIÓN DE APORTES -PILA-.
Referencia: Prestación de servicios a través de centros de atención telefónica (Call Center y Contact Center)
Respetados señores:
La Superintendencia Financiera de Colombia, atendiendo las ventajas derivadas del uso de las tecnologías de la información en la prestación de servicios financieros y con el fin de ampliar la cobertura y continuidad de su prestación en condiciones de seguridad y calidad para asegurar la adecuada protección a los consumidores financieros, considera necesario establecer los requisitos que minimicen los riesgos asociados a la prestación de servicios a través de los centros de atención telefónica en áreas no exclusivas de las entidades vigiladas y de los operadores de información de la PILA.
En virtud de lo anterior y en ejercicio de las facultades conferidas en el literal a) del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero y el literal a) del artículo 3 de la Ley 1328 de 2009 y el numeral 4 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, esta Superintendencia imparte las siguientes instrucciones:
PRIMERA: Adicionar el subnumeral 2.3.4.7.6 al Capítulo I del Título II de la Parte I de la Circular Básica Jurídica “Canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros” para incorporar los requerimientos en materia de operación de los centros de atención telefónica (Call Center, Contact Center) de las entidades vigiladas en áreas no exclusivas. <ANEXO 2>
SEGUNDA: Modificar el subnumeral 2.3.3 del Capítulo XXVI de la Circular Básica Contable y Financiera “Reglas relativas a la actividad de los operadores de información de la Planilla Integrada de liquidación de Aportes -PILA-“ para incorporar los requerimientos en materia de operación de los centros de atención telefónica (Call Center, Contact Center) de los operadores de información de la PILA en áreas no exclusivas. <ANEXO 1>
TERCERA: Régimen de transición. Las entidades destinatarias de la presente circular tendrán un término de dos meses contados a partir de su publicación para ajustarse a sus instrucciones.
La presente circular rige a partir de su publicación.
Se anexan las páginas objeto de modificación.
Cordialmente,
JORGE CASTAÑO GUTIÉRREZ
Superintendente Financiero de Colombia
CAPÍTULO XXVI REGLAS RELATIVAS A LA ACTIVIDAD DE LOS OPERADORES DE INFORMACIÓN DE LA PLANILLA INTEGRADA DE LIQUIDACIÓN DE APORTES -PILA-.
f) Generar un soporte para el usuario al momento de la realización de cada operación. Dicho soporte deberá contener al menos la siguiente información: fecha, hora (hora y minuto) y número de la operación. Para el caso de Sistemas de Audio Respuesta (IVR) y dispositivos móviles se entenderá cumplido el requisito establecido en este numeral cuando se informe el número de la operación.
2.3. Obligaciones adicionales por tipo de canal
2.3.1. Oficinas
Para la atención a los usuarios a través de oficinas, los Operadores de la Información de la PILA deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.
b) Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de seguridad adecuados que garanticen protección de acceso controlado.
c) Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los usuarios en nombre del Operador de Información de la PILA.
d) Establecer procedimientos necesarios para atender de manera segura y eficiente a sus usuarios en todo momento.
2.3.2. Sistemas de audio respuesta (IVR)
Los sistemas de audio respuesta deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Permitir al usuario confirmar la información suministrada en la realización de la operación.
b) Permitir la transferencia de la llamada a una persona (una operadora), al menos en los horarios hábiles de atención al público.
2.3.3. Centro de atención telefónica (Call Center, Contact Center)
Los centros de atención telefónica deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Destinar un área dedicada exclusivamente para la atención telefónica, la cual deberá contar con los recursos necesarios para la prestación del servicio, los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada.
b) Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suministrados por el Operador de la Información de la PILA.
c) Dotar a los equipos de cómputo que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por el Operador de Información de la PILA. Igualmente, se deberá bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio.
d) Garantizar que los equipos de cómputo destinados a los centros de atención telefónica sólo serán utilizados en la prestación de servicios por ese canal.
e) En los equipos de cómputo usados en los centros de atención telefónica no se permitirá la navegación por Internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deberán ser conservados por lo menos un (1) año o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
f) Los Operadores de la Información de la PILA también podrán prestar los servicios del Centro de atención telefónica (Call Center, Contact Center) a través de colaboradores ubicados por fuera de las instalaciones exclusivas a las que hace referencia el literal a) del presente subnumeral, previo el análisis de riesgo y la implementación de las medidas de control para:
i. Preservar la confidencialidad, integridad y disponibilidad de la información.
ii. Mitigar el riesgo de: i) extracción, almacenamiento o copia de la información manejada y ii) uso de dispositivos o medios de comunicación que no sean suministrados por los Operadores de la Información de la PILA para la prestación del servicio.
iii. Impedir: i) el uso o conexión a redes distintas a las autorizadas para la prestación del servicio y ii) que se destinen los dispositivos y medios de comunicación para actividades distintas a la prestación de los servicios por este canal.
En aquellos eventos en que los equipos de cómputo permitan el envío o recepción de correo electrónico, mensajería instantánea, o cualquier otro servicio que permita el intercambio de información, los Operadores de la Información de la PILA deben contar con un sistema de registro de la información enviada y recibida, y conservar dichos registros por un periodo mínimo de 6 meses. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja o forme parte de un proceso judicial o una actuación extrajudicial, se deberá conservar hasta el momento en que la reclamación o queja se resuelva, o el proceso o actuación finalice.
Para efectos del presente subnumeral, se entiende por colaboradores el personal que preste los servicios del Centro de atención telefónica (Call Center, Contact Center) en cualquiera de las modalidades contratadas por los Operadores de la Información de la PILA para la atención parcial o total de sus usuarios a través de este canal.
2.3.4. Internet
Los Operadores de Información que presten sus servicios por Internet deberán cumplir con los siguientes requerimientos:
a) Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
b) Realizar como mínimo dos (2) veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, deberá realizarse una prueba adicional.
PARTE I-TÍTULO II-CAPÍTULO I.
2.3.4.4. Receptores de dinero en efectivo
Los dispositivos que permitan la recepción de dinero en efectivo deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.4.1. Contar con mecanismos que verifiquen la autenticidad y denominación de los billetes.
2.3.4.4.2. Totalizar el monto de la operación con los billetes aceptados y permitir que el cliente o usuario confirme o no su realización. En este último caso se debe devolver la totalidad de los billetes entregados, generando el respectivo registro.
2.3.4.4.3. Las operaciones en efectivo deben realizarse en línea, afectando el saldo de la respectiva cuenta. La operación no debe quedar sujeta a verificación.
2.3.4.4.4. Los billetes no aceptados no pueden ser retenidos y deben ser retornados inmediatamente al cliente o usuario.
2.3.4.5. POS (incluye PIN Pad)
Deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.5.1. La lectura de tarjetas solo debe hacerse a través de la lectora de los datáfonos y los PIN Pad.
2.3.4.5.2. Cumplir el estándar EMV (Europay MasterCard VISA).
2.3.4.5.3. Los administradores de las redes de este canal deben validar automáticamente la autenticidad del datáfono que se intenta conectar a ellas, así como el medio de comunicación a través del cual operará.
2.3.4.5.4. Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientos comerciales, confirmar la identidad de los funcionarios autorizados para retirar o hacerle mantenimiento a los dispositivos.
2.3.4.5.5. Velar porque la información confidencial de los clientes y usuarios no sea almacenada o retenida en el lugar en donde los POS estén siendo utilizados.
2.3.4.5.6. Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario.
2.3.4.6. Sistemas de audio respuesta (IVR)
Los sistemas de audio respuesta deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.6.1. Permitir al cliente confirmar la información suministrada en la realización de la operación monetaria.
2.3.4.6.2. Permitir transferir la llamada a un operador, al menos en los horarios hábiles de atención al público.
2.3.4.6.3. Las entidades que permitan realizar operaciones monetarias por este canal, deben ofrecer a sus clientes mecanismos fuertes de autenticación.
2.3.4.7. Centro de atención telefónica (Call Center, Contact Center)
Los centros de atención telefónica deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.7.1. Destinar un área dedicada exclusivamente para la operación de los recursos necesarios en la prestación del servicio, la cual debe contar con los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada.
2.3.4.7.2. Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suministrados por la entidad.
2.3.4.7.3. Dotar a los equipos de cómputo que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por la entidad. Igualmente, se debe bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio.
2.3.4.7.4. Garantizar que los equipos de cómputo destinados a los centros de atención telefónica solo sean utilizados en la prestación de servicios por ese canal.
2.3.4.7.5. En los equipos de cómputo usados en los centros de atención telefónica no se debe permitir la navegación por internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deben ser conservados por lo menos 6 meses o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.4.7.6. Las entidades también podrán prestar los servicios del Centro de atención telefónica (Call Center, Contact Center) a través de colaboradores ubicados por fuera de las instalaciones exclusivas a las que hace referencia el subnumeral 2.3.4.7.1, previo el análisis de riesgo y la implementación de las medidas de control para:
a. Preservar la confidencialidad, integridad y disponibilidad de la información.
b. Mitigar el riesgo de: i) extracción, almacenamiento o copia de la información manejada y ii) uso de dispositivos o medios de comunicación que no sean suministrados por la entidad para la prestación del servicio.
c. Impedir: i) el uso o conexión a redes distintas a las autorizadas para la prestación del servicio y ii) que se destinen los dispositivos y medios de comunicación para actividades distintas a la prestación de los servicios por este canal.
d. Fortalecer el monitoreo sobre las operaciones realizadas con productos cuya información haya sido gestionada en estas áreas.
En aquellos eventos en que los equipos de cómputo permitan el envío o recepción de correo electrónico, mensajería instantánea, o cualquier otro servicio que permita el intercambio de información, las entidades deben contar con un sistema de registro de la información enviada y recibida, y conservar dichos registros por un periodo mínimo de 6 meses. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja o forme parte de un proceso judicial o una actuación extrajudicial, se deberá conservar hasta el momento en que la reclamación o queja se resuelva, o el proceso o actuación finalice.
Para efectos del presente subnumeral, se entiende por colaboradores el personal que preste los servicios del Centro de atención telefónica (Call Center, Contact Center) en cualquiera de las modalidades contratadas por la entidad vigilada para la atención parcial o total de sus consumidores financieros a través de este canal.
2.3.4.8. Sistemas de acceso remoto para clientes (RAS)
Entendido como el acceso brindado por las entidades vigiladas a sus clientes para la realización de operaciones mediante el uso de aplicaciones personalizadas, utilizando generalmente enlaces dedicados
Las entidades que ofrezcan servicio de acceso remoto para la realización de operaciones monetarias deben contar con un módulo de seguridad de hardware para el sistema, que cumpla al menos con el estándar de seguridad FIPS-140-2 (Federal Information Processing Standard), el cual debe ser de propósito específico (appliance) totalmente separado e independiente de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, de servidores de acceso remoto (RAS) y/o de concentradores.
2.3.4.9. Internet
Las entidades que ofrezcan la realización de operaciones por Internet deben cumplir con los siguientes requerimientos:
