Upload
nguyenxuyen
View
215
Download
0
Embed Size (px)
Citation preview
Benjamín Bernal / Comisión Nacional Bancaria y de Valores
Se desempeña como Director General Adjunto del áreade Supervisión de Riesgo Operacional y Tecnológico dela Comisión Nacional Bancaria y de Valores (CNBV).
Tiene mas de 14 años de experiencia en el área deauditoría de sistemas informáticos y en el desarrollo de laauditoría de sistemas informáticos y en el desarrollo de laregulación aplicable a los aspectos en dicha materia.
Actualmente, está a cargo de la supervisión de tecnologías especiales que incluye a labanca electrónica y colabora en el desarrollo de la regulación aplicable para la operación dela Banca por Internet, Banca por Teléfono, Cajeros Automáticos, Terminales Punto de Ventay operaciones bancarias a través de teléfonos móviles.
Tiene estudios en Ingeniería Cibernética y en Sistemas Computacionales, Administración deRiesgos Crediticios y Financieros y Seguridad Informática. Actualmente, tiene Certificadosinternacionales de Auditoría de Sistemas (CISA), Seguridad Informática (CISM y CISSP) yen Gobierno Corporativo (CGEIT).
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Acceso a Servicios Financieros en México
� En México, un segmento importante de la población permanece fuera del Sistema Financiero formal,teniendo que recurrir a canales informales y mecanismos de crédito y ahorro en especie para satisfacersu demanda por productos financieros básicos.
Acceso y acceso parcial al sistema financiero*
Acceso
80%
100%
Penetración Servicios Financieros
(Población entre 19 y 44 años de edad)
� Sólo un 10% de la población entre 19 y 44 años de edad afirma no necesitar o no estar interesado en unproducto o servicio financiero.
� Por otro lado, el 40% de la población sin acceso a servicios financieros expresa estar interesado entener una cuenta de ahorros.
Acceso Parcial
Sin Acceso
*Fuente: SHCP, Encuesta Uso de Servicios Financieros 2009.
36%
25%17%
11%
0%
20%
40%
60%
Débito
o nóminaCuenta de ahorro Tarjeta de
CréditoCrédito personal o
de nómina
3
Demanda Insatisfecha por Servicios Financieros Básicos
� A encuentran pesar del incremento en el número de sucursales bancarias, éstas se maldistribuidas entre las entidades federativas y sus localidades, generando un déficit en la ofertade servicios financieros.
� 64% de los municipios del país no cuentan con ninguna sucursal bancaria.
Sucursales bancarias por cada 10,000 adultos
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Sin sucursales
Inferior ( < 1.03 suc x 10,000 adultos) Medio (entre 1.03 y 1.37 suc x 10,000 adultos) Superior ( > 1.37 suc x 10,000 adultos)
*Media países desarrollados = 2.4 sucursales por cada 10,000 adultosFuente: CNBV
4
Esquema actual de transferenciasUtilización de Infraestructura con costos onerosos• Envío de una remesa doméstica
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
5
Suscripciones de Telefonía Móvil por cada 100 habitantes
Hong Kong
Italy
Portugal
Germany
Denmark
Argentina
Spain
Norway
Australia
Uruguay
Thailand
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Fuente: International Telecommunication Union (ITU) / Information and Communication Technology Indicators Database 2008
0.00 20.00 40.00 60.00 80.00 100.00 120.00 140.00 160.00 180.00
Thailand
Colombia
Turkey
Chile
United States
Brazil
Mexico
Canada
Iran
Bolivia
Kenya
Angola
Cambodia
Bangladesh
Africa Asia Australia Europe Latinoamerica Mexico North America
6
Potencial Crecimiento de Servicios Financieros
97%
100%
Finlandia
� Los esquemas de pago móvilofrecen una oportunidad de
% p
enet
raci
ón te
lefo
nía
celu
lar
Pago Móvil
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
50%
10%
Fuente: Banked Honohan 2007; Penetración Celular: ITU; WireIess Intelligence 4:2002, 4:2006. Los datos para México provienen de la encuesta de SHCP “Uso de Servicios Financieros 2009”
% Bancarizada % Telefonía Móvil
KenyaFilipinas
Sud-África
Colombia
Mexico
ofrecen una oportunidad debancarizar a la poblaciónhaciendo uso de lapenetración de los celularesentre la población.
% p
enet
raci
ón te
lefo
nía
celu
lar
% población bancarizada
7
Móvil como un medio de Pago
84.49 Millones de teléfonos móviles (**)
Sucursales ,Cajeros automáticos,
Terminales Punto de Venta
Cuentas Bancarias Móviles
Comercio = potenciales
Comisionistas Bancarios
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Fuente: ** COFETEL (Comisión Federal de Telecomunicaciones), febrero 2010
• El teléfono tiene la capacidad de ser un medio de pago como una Tarjeta Bancaria
• Productos de acuerdo a sectores específicos
• Controles regulatorios de acuerdo al riesgo de las transacciones
8
Banco
Infraestructura de Telefonía Móvil
Dispositivo Móvil
Fortalezas
- El cliente siempre lo tiene consigo
- Puede ser un factor de autenticación
- Puede bloquearse con una clave
Debilidades
- Puede almacenar nombres de usuario, claves y datos personales
- El bloqueo del teléfono depende del
usuario
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Sistemas Operativos de los
dispositivos móviles
Redes de Comunicación
Móvil
- Puede bloquearse con una clave
- Se pueden generar claves dinámicas de un solo uso
- La diversidad de sistemas en el
mercado reduce la posibilidad
de que exista Malware
- Elevado costo del hardware y
hasta el momento no se han
propagado masivamente
ataques y vulnerabilidades
usuario
- No todos los teléfonos soportan las aplicaciones mas desarrolladas
- La diversidad de sistemas hace
difícil obtener software para
protección
- Todo mundo tiene acceso
9
Cambios y Emisión de Nuevas Reglas para que la Inclusión Financiera aumente
• Cambios en las Reglas de PLD
que emite la SHCP
• Banxico establece en su
regulación la figura de Cuentas
Móviles
• Cambios en las Reglas de PLD
que emite la SHCP
• Banxico establece en su
regulación la figura de Cuentas
Móviles
• Acercar medios de
depósito y retiro de
efectivo a la población,
fomentando el uso de
“dinero electrónico”. La
CNBV emitió reglas para
habilitar comercios
como un nuevo canal
transaccional
• Acercar medios de
depósito y retiro de
efectivo a la población,
fomentando el uso de
“dinero electrónico”. La
CNBV emitió reglas para
habilitar comercios
como un nuevo canal
transaccionalCorresponsales
Bancarios
Prevención de Lavado de Dinero y Cuentas Móviles
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
•Nuevas Reglas de la CNBV para
utilizar los Teléfonos Móviles
como un vehículo para hacer
pagos de forma segura
•Nuevas Reglas de la CNBV para
utilizar los Teléfonos Móviles
como un vehículo para hacer
pagos de forma segura
• Cambios en la LIC para permitir la
entrada de nuevos participantes
que puedan ser Emisores de
medios de Pago
• Cambios en la LIC para permitir la
entrada de nuevos participantes
que puedan ser Emisores de
medios de Pago
Bancariosy Cuentas Móviles
Uso del Servicio
de Banca
Electrónica
(Capítulo X)
Bancos de Nicho y
Emisores de
Dinero Electrónico
10
Alcance disposiciones Servicio de Banca Electrónica
Banca Electrónica: al conjunto de servicios y operaciones bancarias que las Instituciones deCrédito pactan con el público, a través de Medios Electrónicos
� Operaciones en Cajeros Automáticos (ATM)
� Pagos mediante Terminales Punto de Venta (TPV)• Dispositivo dedicado• Teléfono Móvil
Banco
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
• Teléfono Móvil
� Pagos y operaciones mediante Teléfonos Móviles• Pago Móvil• Banca Móvil
� Banca por Internet
� Banca Host to Host (equipo de empresa – equipo de la Institución)
� Banca Telefónica:• Audio respuesta (IVR)• Voz a Voz (atención por parte de un operador telefónico)
� Cualquier otro que utilice Medios Electrónicos 11
Estructura de las disposiciones de Banca Electrónica
Contratación y activación del servicio
• Consentimiento expreso del usuario
• Contratación a través de Medios Electrónicos utilizando un
2FA
Operación del servicio
• Autenticación Banco - Cliente
• Uso de doble factor de autenticación para operaciones de
riesgo
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
riesgo
• Pre-registro de cuentas destino
• Establecimiento de límites de operación
• Notificaciones
Seguridad, confidencialidad e integridad de la
información
• Cifrado de datos sensibles
• Controles de acceso a la información
Monitoreo, control y continuidad de las
operaciones
• Monitoreo de operaciones
• Revisiones de seguridad
• Soporte técnico y continuidad de la operación 12
No tiene límite transaccional, mantiene controles estrictos (similar a Internet)
Pagos de alto valor
Banca Móvil
Medidas para proteger el acceso a los servicios financieros
– Banca Móvil: Orientado a servicios bancarios similares a los ofrecidos a través de la Banca por Internet. Asociación de cuentas de inversiones,
� Desde el punto de vista de la CNBV, existen tres grandes líneas de negocio ligados con latelefonía celular:
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
El saldo de la cuenta debe ser menor a 70 Udis.
Micro Pagos *
Pagos de bajo valor
Límites Transaccionales diarios:• 250 Udis con controles• 1500 Udis con controles
adicionales
MonederoElectrónico
Pago Móvil
* Según la regulación, las IFs deben asumir las reclamaciones de los clientes por este tipo de operaciones
Asociación de cuentas de inversiones, débito, TDC, créditos, entre otros
– Pago Móvil: Orientado a pagos y transferencias de bajo valor cargado a una Cuenta Móvil, TDD o TDC
– Monedero Electrónico: Asociado a Tarjetas Prepagadas Bancarias o Cuentas Móviles
13
Pago Móvil� Operaciones Bancarias orientados al pago de bienes y servicios, y transferencias entre
personas desde un teléfono móvil asociado al servicio
� Asociación de una tarjeta o cuenta bancaria y/o una cuenta cuyo saldo no podráexceder de 70 UDIs
� Contratación a través de Centros de Atención Telefónica u otro servicio de BancaElectrónica con dos Factores de Autenticación
� Límites de Operaciones:� Hasta 1,500 UDIs diarias en una o varias operaciones� Hasta 4,000 UDIs mensuales por línea telefónica por usuario
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
� Hasta 4,000 UDIs mensuales por línea telefónica por usuario
� Requieren pre-registro de cuentas destino para las operaciones mayores a 250 UDIs.El pre-registro puede realizarse en; sucursales con firma autógrafa o en otro servicioutilizando 2 factores de autenticación.
� Requiere el uso de un factor de autenticación categoría 2 (Contraseña o NIP). Paralas operaciones menores a 70 UDIs no requiere utilizar factores de autenticación,siempre que las Instituciones asuman los riesgos y los costos.
� Notificaciones al Usuario cuando el acumulado de las operaciones sumen 600 UDIs oéstas sean mayores a 250 UDIs
� Los usuarios deberán tener la opción de desactivar el servicio de forma temporal.
14
Banca Móvil
� Operaciones bancarias realizadas desde un teléfono móvil del usuariocuya número de línea se encuentra asociado al servicio.
� Es posible asociar al servicio más de una cuenta del mismo cliente.
� Límite transaccional definido por el usuario
� Requiere de un 2FA para realizar operaciones monetarias. El 2FA puedeestar inmerso en el teléfono. Para las operaciones menores a 70 UDIs no
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
� Requiere de un 2FA para realizar operaciones monetarias. El 2FA puedeestar inmerso en el teléfono. Para las operaciones menores a 70 UDIs norequiere de Factores de Autenticación, siempre que el banco asuma losriesgos y costos
� Requiere pre-registro de cuentas destino, para Operaciones Monetariasmayores a 250 UDIS, las cuales pueden quedar habilitadas de inmediatosi se registran a través de este servicio
� Notificaciones al Usuario cuando el acumulado de las operacionessumen 600 UDIs o éstas sean mayores a 250 UDIs
� Los usuarios deberán tener la opción de desactivar el servicio de formatemporal
15
Resumen de Controles para protección al Cliente Banca Móvil y Pago Móvil
Pago
Móvil
Pago Móvil
Registro de cuentas destino mismo medio con 2FABanca Móvil
SIN PREREGISTRO SIN PREREGISTRO CON PREREGISTRO CON PREREGISTRO con 2FA
Registros de Cuentas Destino
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
2F A + Encripción + Registro de
cuentas destino + NotificacionesNIP + NotificacionesNIPSin NIP
Pago Móvil, Banca Móvil (Monedero Electrónico)
Móvil
0
UDIs
Micro
Pago70 250 1,500Baja
Cuantía
Mediana
Cuantía
Límite de acuerdo a
la Institución
Límite del
Usuario
Contratación en CAT
Contratación en sucursal o en otro Medio Electrónico con 2FA (Confirmación mediante un 2FA transcurridos 30 min)
Máximo 1,500 al día y 4,000 UDIs al mes
16
Principales controles
Control Pago Móvil Banca Móvil
Uso de medidas de encripción para transmisión de mensajes SMS
•Requiere Administración llaves criptográficas
•El software debe instalarse en la tarjeta SIM
No necesario Sí
USSD o Mensajes SMS sin encriptar (no seguro) Sí, I.F. paga las
reclamaciones de los
No
permitido
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
reclamaciones de los
clientes
permitido
Restricción del uso de números de cuenta, Nips (ATM) y otra
información sensible durante el proceso (solo para USSD y SMS
sin encriptar)
Sí No
Enmascarar el NIP Sí
(USSD y SMS no
seguro, I.F. paga)
Sí
Identificar a los cliente por el número de telefóno Sí Sí
Restricción del tipo y número de cuentas asociadas al servicio
(una cuenta/teléfono, un número de teléfono/cliente)
Sí No
17
Principales controles, cont.
Control Pago Móvil Banca Móvil
Pre-registro de cuentas destino a través de otros
medios
No, operaciones <250 Udis
Sí , operaciones > 1,500
Udis
No necesario
Require un segundo factor de autenticación (2FA) No necesario Sí
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Sistema de prevención de fraudes Sí Sí
Autenticación segura del usuario durante la
contratación
Sí, es posible hacerlo a
través de un CAT
Sí, solo a través de
un canal seguro*
Procedimientos de conocimiento del cliente y de
verificación de identidad
Sí Sí
Activación/desactivación del servicio Sí Sí
18* Banca por Internet utilizando un 2FA o firma autógrafa en sucursal bancaria
Retos para Pago Móvil y Banca Móvil
La tecnología no es suficiente para La tecnología no es suficiente para mantener la seguridad, se requiere mantener la seguridad, se requiere de una adecuada implementaciónde una adecuada implementación
BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores
Seguridad Operabilidad
Costo
Lo óptimo es llegar al Lo óptimo es llegar al balance:balance:
19