La Comisión Nacional Bancaria y de Valores (CNBV), encargada de regular a las Entidades Financieras, Instituciones de Tecnología Financiera (ITF) y Transmisores de Dinero, según la Ley Fintech. En el año 2020, emitió las disposiciones relativas al uso de APIs (Interfaces de Programación de Aplicaciones Informáticas Estandarizadas) de Datos Abiertos respecto a ATM y sucursales, para regular a las entidades obligadas a compartir información.
Las entidades reguladas por CNBV deberán cumplir con dichas disposiciones para el año 2021.
Solicitantes de Datos
En las disposiciones se incluyen tres anexos, donde se definen: los lineamientos de seguridad para Datos Abiertos, lineamientos de Arquitectura de Datos para el intercambio de Datos Abiertos, así como el Diccionario de Datos Abiertos para Cajeros Automáticos.
Los solicitantes de Datos que cumplan los lineamientos antes mencionados serán autorizados por la CNBV sin necesidad de declaración para acceder a los datos de proveedores mediante sus APIs.
Proveedores de Datos
En las disposiciones se define que los Proveedores de Datos deberán cumplir los mismos lineamientos que los Solicitantes de Datos, además de cumplir con otras obligaciones:
- Publicar el proceso para que los solicitantes accedan a sus APIs y las contraprestaciones que deberán pagar por el intercambio de Datos.
- Contar con mecanismos que aseguren la confidencialidad e integridad de los Datos.
- Contar con una política de seguridad de la información.
- Proteger la infraestructura, y contar con mecanismos de seguridad que limiten el acceso, bajo el principio de mínimo privilegio, es decir, la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal responsable del manejo de APIs.
- Reportar a la CNBV cualquier Incidente de Seguridad de la Información de manera inmediata, a través de correo electrónico a ciberseguridad-cnbv@cnbv.gob.mx.
- Notificar a la CNBV, en caso de interrumpir el acceso por incumplimiento de los términos y condiciones por parte de los solicitantes de datos.
- Presentar ante la CNBV para autorización el registro de las prestaciones que pretendan cobrar y también las modificaciones que se puedan hacer
Los Proveedores de Datos también podrán ejercer el rol de Solicitantes de Datos.
En caso de suspensión del intercambio de información, las Entidades Financieras, las ITF, las sociedades autorizadas por la CNBV para operar con Modelos Novedosos y los trasmisores de dinero, al ejercer su derecho de audiencia, podrán presentar a la CNBV un programa de regularización donde se incluyan las acciones a implementar para cumplir con las obligaciones de las presentes disposiciones, especificando sus etapas y plazos, así como las personas responsables de llevarlas a cabo, sin exceder el plazo de 3 meses.
Se espera que las disposiciones relativas al uso de APIs de Datos Transaccionales por parte de la Comisión Nacional Bancaria y de Valores, se publiquen a finales del año 2019 o en el primer cuartil del 2020.