TEXTO PAGINA: 73
73 NORMAS LEGALES Viernes 28 de junio de 2024 El Peruano / SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES Modifican el Reglamento de Tarjetas de Crédito y Débito, el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y el Reglamento de Reclamos y Requerimientos RESOLUCIÓN SBS N° 02286-2024 Lima, 26 de junio de 2024 LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES CONSIDERANDO:Que, mediante Resolución SBS N° 6523-2013 se aprobó el Reglamento de Tarjetas de Crédito y Débito, el cual establece disposiciones generales aplicables a las tarjetas de crédito y débito, entre estas, aquellas referidas a las responsabilidades de las empresas en la realización de operaciones y las validaciones necesarias requeridas para veri fi car la identidad de cada tarjetahabiente; Que, mediante Resolución SBS N° 504-2021 se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, con la fi nalidad de fortalecer las capacidades de ciberseguridad y procesos de autenticación de las empresas del sistema fi nanciero, de seguros y privado de pensiones, considerando la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos; Que, mediante Resolución SBS N° 3274-2017 se aprobó el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, con la fi nalidad de que las empresas cuenten con una adecuada gestión de conducta de mercado que se re fl eje en las prácticas que adoptan en su relación con los usuarios, en la oferta de productos y servicios fi nancieros, la transparencia de información y la gestión de reclamos; Que, se considera necesario modi fi car el marco normativo señalado previamente, considerando el actual funcionamiento de los productos y/o servicios ofrecidos por las empresas del sistema fi nanciero a los usuarios, así como el impacto del uso de las nuevas tecnologías, siendo necesario precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada; así como las obligaciones de las empresas asociadas al cumplimiento de disposiciones de carácter imperativo; Que, en línea con lo señalado previamente, es necesario que los mecanismos de validación de identidad y obtención del consentimiento del usuario sean implementados por las empresas desde el momento de la contratación de productos y/o servicios, asi como durante su ejecución, con la fi nalidad de contar con información precisa sobre nuevos usuarios que permita realizar un monitoreo adecuado de operaciones; Que, a efectos de recoger las opiniones de los usuarios respecto de la propuesta de norma, se dispuso la prepublicación del proyecto de resolución, en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo N° 001-2009-JUS; Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Micro fi nanzas, de Seguros, de las Administradoras Privadas de Fondos de Pensiones, de Riesgos, de Asesoría Jurídica y de Conducta de Mercado e Inclusión Financiera; y, En uso de las atribuciones conferidas en los numerales 7 y 9 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus normas modi fi catorias; RESUELVE: Artículo Primero.- Modi fi car el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS N° 6523-2013, conforme se indica a continuación: 1. Incorporar los numerales 23, 24 y 25 en el artículo 2, el numeral 7 en el artículo 16, un último párrafo en el artículo 18 y el numeral 10 en el segundo párrafo del artículo 23, de acuerdo con los siguientes textos: “Artículo 2°.- De fi niciones Para efectos de lo dispuesto en el presente Reglamento, se considerarán las siguientes de fi niciones: (…) 23. Operaciones con tarjeta presente: Operaciones en las que el instrumento de pago interactúa con el dispositivo de captura de información. 24. Operaciones con tarjeta no presente: Operaciones en las que el instrumento de pago no interactúa con el dispositivo de captura de información. 25. Reglamento de Ciberseguridad: Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por la Resolución SBS N° 504-2021 y sus normas modi fi catorias. Artículo 16°.- Medidas de seguridad respecto a los usuarios Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios: (…) 7. El proceso de autenticación del usuario para efectuar operaciones con tarjetas debe realizarse según lo establecido en el artículo 19 del Reglamento de Ciberseguridad, mediante factores categorizados en el literal j) del artículo 2 del dicho reglamento, y siguiendo las recomendaciones técnicas de los estándares EMV emitidos por EMVCo, según el tipo de operación del que se trate: 7.1 Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia. 7.2 Para operaciones con tarjeta no presente se requieren dos factores, donde el primero son los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de veri fi cación dinámico de la tarjeta u otro factor veri fi cable en línea requerido al usuario en el marco del estándar EMV 3DS, salvo los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad. 7.3 Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la a fi liación de la tarjeta para el uso de este servicio conforme al numeral 7.2 y las operaciones subsiguientes que se realicen deben ser autenticadas mediante la tokenización de la tarjeta y un segundo factor de distinta naturaleza. 7.4 El control requerido en el literal b) del artículo 19 el Reglamento de Ciberseguridad, ante ataques de hombre en el medio, es satisfecho mediante la adopción de los estándares EMV 3DS y EMV Tokenization para los numerales 7.2 y 7.3 del presente artículo, según corresponda. 7.5 Para operaciones en que no se valide el segundo factor por limitaciones fuera de su control, la empresa debe establecer reglas de aceptación o rechazo, en función al