TEXTO PAGINA: 36
El Peruano Sábado 2 de noviembre de 2013 506394 no enerva los derechos de los titulares establecidos en el ordenamiento legal vigente para reclamar en las instancias administrativas, judiciales y/o arbitrales correspondientes. CAPÍTULO III DISPOSICIONES APLICABLES A LAS TARJETAS DE DÉBITO Artículo 12°.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito Las tarjetas de débito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima: 1. Denominación social de la empresa que expide la tarjeta o nombre comercial; y la identifi cación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso. 2. Número de la tarjeta de débito. 3. Fecha de vencimiento. 4. Para su uso, requieren adicionalmente la presencia de una clave secreta, fi rma, fi rma electrónica u otros mecanismos que permitan identifi car al usuario, de acuerdo con lo pactado. El plazo de vigencia de las tarjetas de débito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores. Artículo 13°.- Servicios asociados a tarjetas de débito Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso, de uno o más de los siguientes servicios, según corresponda: 1. Operaciones de compra, consumos o pagos por internet a través de una página web distinta a la de la empresa. 2. Consumos u operaciones efectuadas en el exterior con presencia física de la tarjeta. 3. Otras previstas por la empresa, en los contratos. Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para celebrar el contrato de depósito o de la tarjeta de débito. Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte del contenido del contrato de depósito o de la tarjeta de débito. Artículo 14°.- Cargos Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia. Las órdenes de pago y fi rmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o fi rmas electrónicas sujetas a verifi cación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito. CAPÍTULO IV OTROS ASPECTOS APLICABLES A LAS TARJETAS DE CRÉDITO Y DÉBITO SUBCAPÍTULO I MEDIDAS DE SEGURIDAD APLICABLES A TARJETAS DE CRÉDITO Y DÉBITO Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verifi cación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las siguientes medidas: 1. Reglas de seguridad defi nidas en el chip de las tarjetas, que deben ser utilizadas para verifi car la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o fi rma u otros mecanismos de autenticación. 2. Aplicar procedimientos criptográfi cos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras. 3. En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea. 4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fi n de modifi car los límites establecidos según perfi les de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas. Artículo 16°.- Medidas de seguridad respecto a los usuarios Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios: 1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verifi cación de su identidad y dejando constancia de su recepción. 2. En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave. 3. En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera. 4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifi que con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notifi caciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios. 5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones. 6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse. Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios: 1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario. 2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones. 3. Identifi car patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones. 4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude. 5. Requerir al usuario la presentación de un documento