RESOLUCIÓN 3680 DE 2013

(septiembre 12)

Diario Oficial No. 48.919 de 20 de septiembre de 2013

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

Por la cual se establecen los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo operativo y de tipo tecnológico, de información y funcionamiento por parte de los Operadores de Servicios Postales de Pago y se derogan las Resoluciones números 2704 del 21 de diciembre de 2010 y 970 del 17 de mayo de 2011.

EL MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,

en ejercicio de sus facultades legales, y en especial de las que le confieren el parágrafo 2o del artículo 4o de la Ley 1369 de 2009, Decreto número 2618 de 2012,

CONSIDERANDO:

Que la Ley 1369 de 2009 señala el régimen general de los servicios postales y a su vez el artículo 1o de la misma establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política y que por tal motivo dicha actividad se encuentra sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;

Que el artículo 2o de la citada ley establece dentro de los objetivos de intervención del Estado el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;

Que en desarrollo de la mencionada ley de servicios postales, el Ministerio de Tecnologías de la Información y las Comunicaciones expidió las Resoluciones números 2704 de 2010 y 970 de 2011, a través de las cuales estableció, en su orden, los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo operativo, así como los requisitos de tipo operacional, por parte de quienes quisieran obtener su habilitación como Operadores de Servicios Postales de Pago, cuyo texto debe ajustarse conforme a las actuales condiciones del sector postal;

Que en cumplimiento de la obligación prevista en el artículo 8o numeral 8 de la Ley 1437 de 2011, el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el proyecto de resolución que actualmente se expide, desde el 14 de junio de 2013 hasta el 9 de julio de 2013, lapso durante el cual se recibieron diversos comentarios que fueron tenidos en cuenta para la redacción final del proyecto normativo;

Que en el ejercicio de sus actividades, los Operadores de Servicios Postales de Pago deben contemplar dentro de su estructura administrativa mecanismos tecnológicos y de seguimiento, que les permitan prestar una eficaz colaboración a las autoridades de Policía en el cumplimiento de su deber;

Que en cumplimiento de lo dispuesto por el artículo 7o de la Ley 1340 de 2009, reglamentado por el Decreto número 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio (SIC) mediante comunicación con Registro número 648430 del 19 de julio de 2013, el proyecto de acto administrativo en el último estado de revisión, con el fin de que dicha entidad llevará a cabo el análisis del proyecto a través de las normas de competencia;

Que de conformidad con los conceptos emanados de la Delegatura para la Protección de la Competencia de la Superintendencia de Industria y Comercio (SIC) y en particular el oficio radicado bajo el número 13-171043-6 del 21 de agosto de 2013, los Operadores Postales de Pago enfrentan diversos riesgos que deben ser regulados en el marco del servicio público que prestan. Así mismo, el nuevo marco regulatorio para los Operadores Postales de Pago deberá contener las reglas mínimas de manera que no genere barreras a la entrada de nuevos participantes, adicionales a aquellas exigidas por la ley;

Que sin perjuicio de lo anterior, las reglas aplicables a los operadores de pago deben ser claras y homogéneas de forma que no generen disparidades y asimetrías con las reglas aplicables a otros sectores;

Que en punto al SARO, el Superintendente Delegado para la Promoción de la Competencia concluyó al respecto: (…) “en el proyecto bajo análisis se incluye la exigencia de un gran número de requisitos mínimos en cuanto a infraestructura, protocolos, sistemas informáticos, interfaz usuario, autenticación de usuarios etc. Por lo cual se recomienda: i) evaluar la necesidad de incluir todos estos requerimientos y si deben hacerse exigibles con las especificaciones descritas en el proyecto o solo se recomendarían como punto de referencia; ii) evaluar dicha exigencia si las empresas de OSPP o potenciales competidoras pueden demostrar que con sus propios sistemas informáticos se da cumplimiento a la normatividad propuesta por el MINTIC y garanticen los requisitos y parámetros mínimos en los proyectos bajo análisis”(…);

Que en cumplimiento de las recomendaciones de la SIC, luego de evaluar la necesidad de incluir todos los requerimientos operativos propuestos y teniendo en cuenta la sensibilidad del servicio para el cual se están definiendo los requisitos de tipo operativo relacionados fundamentalmente con el manejo de recursos del público, así como las recomendaciones hechas por la Dirección Antisecuestro y Antiextorsión de la Policía Nacional, este Ministerio considera ajustados los requisitos tecnológicos y operativos mínimos propuestos. Así mismo, como parte de la evaluación realizada se ha establecido que la norma de SARO propuesta es homogénea frente a reglas aplicables a otros sectores de forma que no genere disparidades;

Que en virtud de lo expuesto,

RESUELVE:

ARTÍCULO 1o. OBJETO. La presente resolución tiene por objeto establecer requisitos y parámetros mínimos para la adecuada mitigación y administración del riesgo operativo, incluidas las condiciones operacionales, tecnológicas y de información que deben acreditar y mantener los Operadores de Servicios Postales de Pago como parte integral de su operación de giro postal.

ARTÍCULO 2o. SUJETOS OBLIGADOS. Las personas jurídicas que actúen como Operadores de Servicios Postales de Pago deberán implementar y desarrollar un Sistema para la Administración del Riesgo Operativo, así como las condiciones operacionales, atendiendo los requisitos establecidos en la presente resolución.

ARTÍCULO 3o. ÁMBITO GEOGRÁFICO Y SERVICIOS A PRESTAR. Los Operadores deberán señalar el ámbito geográfico y la cobertura dentro del mismo, para la prestación de los servicios postales de pago conforme a lo establecido en el artículo 3o del Decreto número 867 de 2010, modificado por el Decreto número 4436 de 2011.

ARTÍCULO 4o. DEFINICIONES. Para efectos de la interpretación y aplicación de la presente resolución se adoptan las siguientes definiciones:

Cliente: Es la persona natural o jurídica con quien el Operador de Servicios Postales de Pago establece relación de origen legal o contractual, para la realización de sus servicios.

Colaborador: Personas naturales o jurídicas que disponen de puntos de atención al público con las cuales el Operador de Servicios Postales de Pago realiza un contrato para ofrecer sus servicios a través de una red o grupo de redes.

Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades, los cuales se clasifican de la siguiente manera:

a) Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador, ya sea perteneciente al Operador de Servicios Postales de Pago o a la empresa, red o grupo de redes que hacen parte de la figura de colaboradores de la misma;

b) Fraude externo: Actos realizados por una persona externa al Operador de Servicios Postales de Pago o a la empresa, red o grupo de redes que hacen parte de la figura de colaboradores de la misma, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes;

c) Relaciones laborales: Actos contrarios a la legislación laboral, a los acuerdos internos de trabajo y, en general, a la legislación vigente sobre la materia;

d) Clientes y/o usuarios: Fallas negligentes o involuntarias de las obligaciones frente a los clientes o usuarios y que impiden satisfacer una obligación profesional frente a estos;

e) Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos del Operador de Servicios Postales de Pago o a la empresa, red o grupo de redes que hacen parte de la figura de colaboradores de la misma;

f) Falla de tecnología informática: Pérdidas derivadas de incidentes en la plataforma tecnológica de información del Operador de Servicios Postales de Pago o a la empresa, red o grupo de redes que hacen parte de la figura de colaboradores de la misma;

g) Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos en el Operador de Servicios Postales de Pago o a la empresa, red o grupo de redes que hacen parte de la figura de colaboradores de la misma.

Plan de continuidad del negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.

Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones de la plataforma tecnológica de información que soporta el servicio.

Plataforma tecnológica de información: Herramientas de hardware y software que apoyan el desarrollo del servicio postal de pago de los Operadores, permitiendo el adecuado funcionamiento de sus actividades.

Proveedor: Persona natural o jurídica que abastece con artículos o servicios que apoyan al Operador de Servicios Postales de Pago, o a la red o grupo de redes que hacen parte de la figura de colaboradores de la misma.

Punto de atención al público: Es el sitio físico o lugar en el que se tienen disponibles los medios necesarios para realizar tanto la orden de pago como la entrega de los recursos objeto de la operación de giro.

Riesgo legal: Es la posibilidad de pérdida en que incurre un Operador de Servicios Postales de Pago al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. También como consecuencia de fallas en los contratos con los Colaboradores y Proveedores que impidan las transacciones de los giros postales, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o su ejecución.

Riesgo Operativo: Es la posibilidad de que un Operador de Servicios Postales de Pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología informática, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal.

Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de incidentes de riegos operativos, órganos de control, plataforma de tecnología informática, divulgación de información y capacitación, mediante los cuales los Operadores de Servicios Postales de Pago identifican, miden, controlan y monitorean el riesgo operativo.

Usuario: Es la persona natural quien, sin ser cliente, utiliza los servicios de un operador de servicio postal de pago.

ARTÍCULO 5o. ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO (SARO). Para la administración del riesgo operativo, los Operadores de Servicios Postales de Pago deberán desarrollar un sistema que contemple los métodos lógicos y sistemáticos adecuados y efectivos para tal fin. El SARO deberá ser implementado acorde con la estructura, número y montos de los giros postales que realiza el Operador de Servicios Postales de Pago, de tal forma que les permita identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo operativo a que están expuestos en desarrollo de su actividad.

ARTÍCULO 6o. ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO. El SARO que implementen los Operadores de Servicios Postales de Pago deberá incluir las etapas que a continuación se señalan:

6.1. Identificación

Los Operadores de Servicios Postales de Pago deberán identificar los riesgos operativos potenciales a que se ven expuestos en desarrollo de este servicio. Para realizar dicha identificación se deberá: i) contar con la documentación de cada uno de los procesos que se implementen para el desarrollo de su actividad, incluidos los de recepción, traslado y entrega de dinero. Para ello se deben presentar los diagramas de flujo junto con la descripción que permita conocer el detalle de las actividades que se realizan, así como los responsables; ii) definir las metodologías de identificación y iii) identificar los riesgos e incidentes ocurridos, en los casos que aplique, de cada proceso.

Para la identificación de los riesgos las entidades pueden basar el análisis en preguntas, tales como: i) ¿Qué puede suceder?; ii) ¿Cómo y por qué puede suceder?; iii) ¿Quién puede ocasionarlo?; iv) ¿En dónde y cuándo puede presentarse? También, pueden utilizarse herramientas o métodos, tales como: listas de chequeo, cuestionarios a quienes ejecutan o son dueños de los procesos, diagramas de flujo de los procesos, análisis de pérdidas o gastos registrados en los estados financieros, evaluar los tipos de quejas, registro de eventos de tecnología, entre otros.

6.2. Medición

Los Operadores de Servicios Postales de Pago deberán determinar la posibilidad o probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse, considerando un horizonte de tiempo de un año.

Para el desarrollo de esta etapa deberán definir la metodología de análisis y medición de los riesgos identificados, para la totalidad de los procesos. Como también, establecer el riesgo inherente del servicio postal de pago.

Para determinar la posibilidad o probabilidad de ocurrencia se pueden utilizar métodos cualitativos, semicuantitativos o cuantitativos, dependiendo de la información que tenga la entidad y luego establecer los rangos de calificación, los cuales por lo general se encuentran entre tres y seis niveles. A manera de ejemplos se mencionan las siguientes dos escalas (3 y 6 niveles, respectivamente): i) bajo, medio, alto; ii) raro, improbable, moderado, posible, frecuente, casi cierto.

Para determinar el impacto se debe estimar el valor de las pérdidas que podrían generarse ante un incidente y determinarlo en términos financieros, operacionales o frente a la imagen del Operador, para posteriormente establecer los rangos de calificación, los cuales normalmente se encuentran entre tres y seis niveles. A manera de ejemplos se mencionan las siguientes dos escalas (3 y 6 niveles, respectivamente): i) leve, grave, catastrófico; ii) insignificante, marginal, grave, crítico, desastroso, catastrófico.

Una vez aplicada la anterior metodología se combina la posibilidad o probabilidad con el impacto para obtener los resultados que miden el nivel de riesgo inherente.

6.3. Control

Los operadores de Servicios Postales de Pago deberán tomar acciones para controlar los riesgos operativos a que se ven expuestos en desarrollo de su actividad, con el fin de disminuir la posibilidad o probabilidad y las consecuencias de la materialización de los mismos. Durante esta etapa los operadores de Servicios Postales de Pago deben, como mínimo:

a) Determinar los controles existentes y analizarlos frente a los riesgos operativos identificados, combinando la posibilidad o probabilidad con el impacto, para producir los niveles de riesgo residual del servicio postal de pago;

b) Para analizar los controles las entidades deben establecer, al menos, si son suficientes, efectivos y oportunos, como también identificar el tipo, esto es, si son manuales, automáticos, discrecionales, obligatorios, preventivos, detectivos, de protección o correctivos;

c) Evaluar los niveles residuales de riesgo operativo y determinar las acciones acordes con los que generen mayor impacto y se presenten con mayor frecuencia, como también con los criterios que se establezcan para su aceptación o tratamiento;

d) Definir un plan de continuidad del negocio y de contingencias;

e) Determinar las medidas que permitan la administración de los riesgos operativos presentes en los procesos de los Colaboradores y Proveedores, teniendo en cuenta que en este evento no hay delegación de la responsabilidad.

6.4. Monitoreo

Los Operadores de Servicios Postales de Pago deberán hacer un monitoreo constante para velar porque las medidas que hayan establecido sean efectivas.

Para el efecto, estas deben cumplir, como mínimo, con los siguientes requisitos:

a) Contemplar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en la administración de este riesgo;

b) Establecer indicadores que evidencien la efectividad del SARO;

c) Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente;

d) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.

ARTÍCULO 7o. ELEMENTOS DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO. Los Operadores de Servicios Postales de Pago deberán adoptar los siguientes lineamientos para la administración del riesgo operativo.

7.1. Políticas

La Junta Directiva, el Consejo de Administración o el órgano equivalente del Operador de Servicio Postal de Pago, deberá establecer las políticas o lineamientos generales y particulares para la administración del riesgo operativo, así como su compromiso con ellas.

Las políticas que se adopten deben permitir un adecuado funcionamiento del SARO y deben traducirse en reglas de conducta y procedimientos que orienten la actuación del operador. En particular las políticas que se adopten deberán cumplir, como mínimo, con los siguientes requisitos:

a) Establecer el deber de los órganos de administración, de control y demás funcionarios o empleados, de asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo operativo;

b) Permitir la prevención y resolución de conflictos de interés en el marco de la administración de este riesgo, en especial para el registro de incidentes de riesgo operativo;

c) Permitir la administración y funcionamiento del sistema de administración de este riesgo, de manera que cada uno de los elementos y etapas del SARO cuenten con políticas claras y efectivamente aplicables que conduzcan a un adecuado funcionamiento del mismo. En particular, establecer los lineamientos para considerar aceptable un riesgo operacional;

d) La provisión de recursos humanos, físicos y tecnológicos necesarios para la adecuada administración de este riesgo;

e) Los contratos suscritos entre el Operador de Servicio Postal de Pago y sus Colaboradores deberán contener cláusulas recíprocas que establezcan periodos mínimos de permanencia. Así mismo, la finalización de los contratos supondrá el cumplimiento de todas las obligaciones tanto financieras como de cualquier otra índole, lo cual deberá ser verificado antes de la suscripción de un nuevo contrato con otro Operador o Colaborador, según sea el caso. La suscripción de un nuevo contrato, luego de haber finalizado el anterior, solo procederá pasados seis (6) meses contados a partir de su terminación.

7.2. Procedimientos

Los Operadores de Servicios Postales de Pago deberán establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de la administración de este riesgo.

Los procedimientos que en esta materia se adopten deben contemplar, como mínimo, los siguientes requisitos:

a) Instrumentar las diferentes etapas y elementos;

b) Identificar los cambios y la evolución de los controles, así como del perfil de riesgo;

c) Adoptar medidas en caso de que los funcionarios o empleados, administradores y terceros incumplan las disposiciones establecidas para la administración de este riesgo;

d) Evaluar y medir la efectividad del sistema.

7.3. Documentación

Los Operadores de Servicios Postales de Pago deberán hacer constar en documentos y registros todos los aspectos relacionados con la administración del riesgo operativo, incluyendo sus etapas y elementos, de forma tal que se garantice la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.

Dicha documentación debe incluir como mínimo:

a) Manual de Riesgo Operativo que contenga, al menos: las políticas, la estructura organizacional, los perfiles y responsabilidades, las acciones que aseguran el cumplimiento de las políticas y objetivos, los procedimientos y metodologías de cada etapa, como también para implementar el registro de incidentes, y, las actividades de capacitación y divulgación del SARO;

b) Los registros y demás elementos que evidencien la operación efectiva de la administración de este riesgo;

c) Los informes que la Junta Directiva, Consejo de Administración o el órgano equivalente, el representante legal y los órganos de control, deben elaborar en los términos de la presente resolución;

d) Contar con un respaldo físico y/o en medio magnético. Contar con requisitos de seguridad, de forma tal que se permita su consulta solo por los funcionarios autorizados.

7.4. Estructura administrativa

Los Operadores de Servicios Postales de Pago deberán tener una estructura administrativa que les permita garantizar la adecuada administración del negocio, incluida la gestión de los riesgos a los cuales se encuentra expuesto en desarrollo de su actividad.

La información de dicha estructura deberá contener, como mínimo, lo siguiente: i) Organigrama de la estructura del solicitante; ii) Descripción detallada del área encargada de administrar los riesgos junto con los nombres, funciones y responsabilidades de quienes desempeñen dichos cargos, incluido el Gestor de riesgos, y la acreditación de experiencia y capacitación en el tema; iii) Niveles de responsabilidad de las personas o funcionarios encargados de las actividades relacionadas con la administración del riesgo operativo, precisando su alcance y límites. En todo caso deberán dar cumplimiento a las disposiciones que a continuación se establecen:

a) Junta Directiva, Consejo de Administración u órgano equivalente: Sin perjuicio de las funciones asignadas en otras disposiciones la Junta Directiva, el Consejo de Administración o el órgano equivalente del Operador de Servicios Postales de Pago, esta deberá:

i) Aprobar el manual del SARO que implementará el Operador, lo cual debe constar en la respectiva acta de la Junta Directiva, el Consejo de Administración o el órgano equivalente;

ii) Aprobar los procedimientos para la administración del riesgo operativo y sus actualizaciones;

iii) Pronunciarse respecto de cada uno de los aspectos que contengan los informes periódicos que rinda el representante legal o el gestor de riesgos respecto de la administración de este riesgo, así como sobre las evaluaciones periódicas que efectúen los órganos de control;

iv) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo, teniendo en cuenta los criterios de aceptación;

v) Proveer los recursos necesarios para la adecuada administración del riesgo;

vi) Aprobar los planes de contingencia y de continuidad del negocio, y disponer de los recursos necesarios para su oportuna ejecución;

vii) Designar al Gestor de riesgo;

viii) Verificación del correcto funcionamiento de los Colaboradores y Proveedores en términos de riesgo operativo, de acuerdo con el informe mensual que presente el representante legal a su consideración;

b) Representante Legal: Sin perjuicio de las funciones asignadas en otras disposiciones, el representante legal del Operador de Servicios Postales de Pago tendrá, como mínimo las siguientes funciones:

i) Diseñar y someter a aprobación de la Junta Directiva, Consejo de Administración u órgano equivalente, los procedimientos y el manual para la administración del riesgo operativo y sus actualizaciones;

ii) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, el Consejo de Administración u órgano equivalente para la administración del riesgo operativo y presentar los informes periódicos sobre el mismo;

iii) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la presente resolución;

iv) Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesto el Operador de Servicios Postales de Pago en desarrollo de su actividad;

v) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del operador en materia de conflictos de interés y uso de información privilegiada que tengan relación con el riesgo operativo;

vi) Presentar informes trimestrales sobre la evolución y aspectos relevantes del SARO a la Junta Directiva, Consejo de Administración u órgano equivalente;

vii) Preparar un informe mensual con destino a la Junta Directiva, Consejo de Administración u órgano equivalente acerca del correcto funcionamiento de los Colaboradores y Proveedores en términos de la gestión de riesgo operativo;

c) Responsable de la gestión del riesgo: Los Operadores de Servicios Postales de Pago deberán asignar dentro de su estructura organizacional, la función de gestión del riesgo operativo, a una persona, gestor del riesgo, que tenga y acredite conocimiento en administración de riesgos operativos, y que no dependa de los órganos de control. Esta persona podrá tener a su cargo la gestión de otros riesgos.

En virtud de lo anterior, el responsable de la gestión del riesgo tendrá, como mínimo, las siguientes funciones:

i) Definir los instrumentos, metodologías y procedimientos tendientes a que el Operador administre efectivamente sus riesgos operativos, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta resolución;

ii) Desarrollar e implementar el sistema de reportes del riesgo operativo;

iii) Establecer un procedimiento seguro para el registro de incidentes de riesgo operativo;

iv) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos operativos medidos;

v) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones;

vi) Desarrollar los programas de capacitación relacionados con el SARO;

vii) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad;

viii) Reportar periódicamente al representante legal los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.

El Operador de Servicios Postales de Pago podrá contratar con proveedores expertos en riesgo, todas las funciones operativas descritas en el presente literal, con el fin de apoyar la gestión del responsable de la administración del riesgo operativo al interior del Operador, sin que ello implique una delegación de sus responsabilidades y obligaciones legales frente a esta materia.

7.5. Registro de incidentes de riesgo operativo

Para la administración del riesgo operativo los Operadores de Servicios Postales de Pago deben construir su propio registro de incidentes de riesgo operativo y mantenerlo actualizado y disponible para efectos de la labor de vigilancia y control del Ministerio de Tecnologías de la Información y las Comunicaciones. También, deben establecer los criterios de los incidentes que se deben registrar, tales como valor significativo del incidente y frecuencia, entre otros.

El registro de incidentes de riesgo operativo debe contener los siguientes campos mínimos:

I. Referencia

Código interno que relacione el incidente en forma secuencial.

II. Fecha de inicio del incidente

Fecha: Día, mes, año, hora.

III. Fecha de finalización del incidente

Fecha: Día, mes, año, hora.

IV. Fecha del descubrimiento

Fecha: Día, mes, año, hora.

V. Fecha de contabilización

Fecha en que se registra contablemente la pérdida: Día, mes, año, hora.

VI. Cuantía

El monto de dinero a que asciende la pérdida

VII. Cuantía total recuperada

-- Monto de dinero recuperado por acción directa.

-- Monto de dinero recibido por reclamación a las compañías de seguros

VIII. Clase de riesgo operativo

Especifica la clase de riesgo, según la siguiente clasificación:

i) Fraude interno;

ii) Fraude externo;

iii) Relaciones laborales;

iv) Clientes y/o usuarios;

v) Daños a activos físicos;

vi) Falla de tecnología informática;

vii) Ejecución y administración de procesos.

IX. Proceso

Identifica el proceso afectado.

X. Tipo de pérdida

Identifica el tipo de pérdida, de acuerdo con la siguiente clasificación:

i) Generan pérdidas y afectan el estado de resultados;

ii) Generan pérdidas y no afectan el estado de resultados;

iii) No generan pérdidas y por lo tanto no afectan el estado de resultados.

XI. Descripción del incidente

Descripción detallada del incidente.

Para la construcción del registro de incidente de riesgo operativo los Operadores de Servicios Postales de Pago podrán utilizar, además de los campos descritos, otros que se consideren relevantes.

7.6. Órganos de control

Los Operadores de Servicios Postales de Pago deben establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo operativo; dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.

En ejercicio de sus funciones la revisoría fiscal, la auditoría interna u órgano equivalente, serán responsables de evaluar periódicamente el cumplimiento de todas y cada una de las etapas de la administración del riesgo operativo con el fin de determinar las deficiencias y el origen de las mismas.

Así mismo, la revisoría fiscal deberá elaborar un informe al cierre de cada ejercicio contable y la auditoría Interna u órgano equivalente deberá elaborar con una periodicidad no superior a seis (6) meses dirigido a la Junta Directiva, Consejo de Administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

7.7. Plataforma de tecnología informática

Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la información y las Comunicaciones en ejercicio de sus funciones reglamentarias, los Operadores de Servicios Postales de Pago deben contar con la tecnología informática necesaria para garantizar el adecuado funcionamiento del SARO.

7.8. Divulgación de información

En relación con la administración del riesgo operativo, la divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera.

Los Operadores de Servicios Postales deben establecer y diseñar los reportes internos y externos, que garanticen el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.

Los Operadores en su informe de gestión, en la notas a los estados financieros, al cierre de cada ejercicio contable, deben incluir una indicación sobre la gestión adelantada en materia de administración del riesgo operativo y las pérdidas incurridas por riesgo operativo.

Las pérdidas y recuperaciones definidas en el registro de incidente de riesgo operativo que afecten el estado de resultados deben registrarse en el periodo en el que se materializó el incidente o la recuperación.

7.9. Capacitación

Los Operadores de Servicios Postales de Pago deben diseñar, programar y coordinar planes de capacitación sobre la administración de este riesgo dirigidos a todas las áreas y funcionarios o empleados, incluyendo aquellos contratados con los Colaboradores y Proveedores, que realicen actividades que tengan relación directa con la prestación del servicio de giro postal. La capacitación debe tener al menos una periodicidad anual, ser revisada periódicamente y contar con mecanismo de evaluación.

ARTÍCULO 8o. ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO. Con el fin de dar cumplimiento a la obligación de tener un plan de continuidad del negocio, los Operadores de Servicios Postales de Pago deben definir, implementar, probar y mantener en forma permanente un proceso para administrar la continuidad del negocio, basado en una metodología reconocida, que incluya elementos tales como: prevención y atención de emergencias, administración de la crisis, planes de contingencias y capacidad de retorno a la operación normal.

Los planes de continuidad del negocio deben cumplir, como mínimo, con los siguientes requisitos:

a) Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia;

b) Ser conocidos por todos los interesados;

c) Cubrir, por lo menos, los siguientes aspectos: Identificación de los riesgos que pueden afectar la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad normal.

ARTÍCULO 9o. PLATAFORMA DE TECNOLOGÍA INFORMÁTICA. Los Operadores de Servicios Postales de Pago deberán contar con una plataforma tecnológica informática que les posibilite, al mismo tiempo, el debido manejo y control del conjunto de sus operaciones en procura de lograr su correcto registro y el oportuno reporte de la información que requieran, tanto el Ministerio como las demás autoridades competentes. Para tal efecto deberán contar con los siguientes requerimientos:

9.1. Infraestructura, protocolos y sistemas informáticos

a) Disponer de una plataforma de tecnología informática principal que garantice el adecuado manejo de la información en condiciones de seguridad y calidad, para lo cual podrán tener como referencia los estándares ISO 27000 e ISO/IEC 20000, o los que los sustituyan o lo complementen;

b) Disponer de una plataforma de tecnología informática alterna, como contingencia, que cuente con disponibilidad de la información en tiempo real y que cumpla, también, con los estándares ISO 27000 e ISO/IEC 20000, o los que los sustituyan o lo complementen;

c) La plataforma descrita en los numerales a) y b) precedentes deberá contener mecanismos que permitan la trazabilidad de las operaciones realizadas por el operador postal de pagos;

d) Generar en cada trimestre pruebas periódicas de la información que se aloje en la plataforma alterna, con el fin de verificar la veracidad de la misma;

e) La plataforma principal y la prevista como contingencia deben disponer de herramientas de replicación en línea y tiempo real de la base de datos, como también contener equipos de cómputo y de red redundantes;

f) Tanto el sitio principal como el alterno deben contener condiciones de seguridad física;

g) Proteger los mecanismos de acceso a los sistemas informáticos. En desarrollo de esta obligación, los Operadores deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas informáticos deberá ser única y personalizada;

h) Deben estar implementados sistemas UTM (Gestión Unificada de Amenazas) que permitan una prevención y detección de incidentes de seguridad a nivel perimetral en la red;

i) Contar con un sistema de monitoreo y detección de fallas de toda la plataforma de tecnología de información;

j) Disponer con una descripción de la arquitectura de la plataforma tecnológica a nivel de servidores, dispositivos, flujos de datos y la red de comunicaciones;

k) Realizar todas las operaciones en línea y en tiempo real con la plataforma de tecnología informática del Operador;

l) Generar tiempos de respuestas al momento de generar peticiones, no mayores a veinte (20) segundos durante el proceso de recepción y pago de giros. Cuando el servicio se ofrezca a través de redes móviles y sea la única alternativa de comunicación con los puntos de atención al público, los Operadores podrán aumentar el tiempo del proceso. Sin embargo, en ningún caso podrá ser superior a sesenta (60) segundos;

m) Establecer los mecanismos necesarios para garantizar la seguridad de la plataforma tecnológica de información, que soporta el servicio postal de pago, de los puntos propios de atención al público y de los Colaboradores, con el fin de que esta actividad solo pueda ser realizada por el personal debidamente autorizado.

9.2. Seguridad de datos y usuarios

a) Implementar políticas de control de usuarios en cuanto a la autenticación, monitoreo y gestión de actividades;

b) Gestionar la seguridad de la información, para lo cual podrán tener como referencia el estándar ISO 27000, o el último disponible, de forma que se garantice la integridad, disponibilidad y el cifrado que permita la confidencialidad de los datos;

c) Disponer de un módulo que permita la administración de perfiles, roles de usuarios y gestión de contraseñas;

d) La arquitectura de software debe tener interfaces claramente definidas. Debe existir documentación de los procesos de diseño, pruebas, implementación y puesta en producción;

e) Definir los procedimientos y medidas que se deberán ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en el servicio postal de pago;

f) Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de la actividad;

g) Llevar un registro de las consultas realizadas por los funcionarios o empleados del Operador o Colaborador sobre la información confidencial de los clientes o usuarios, que contenga al menos lo siguiente: Identificación del funcionario o empleado que realizó la consulta, identificación del equipo, fecha y hora;

h) Informar adecuadamente a los clientes respecto de las medidas de seguridad que deberán tener en cuenta para la realización de operaciones;

i) Los Operadores deberán establecer criterios técnicos de seguridad y realizar un análisis de riesgos de cada punto de atención al público, con el fin de determinar la necesidad de implementar cámaras de video en cada sitio. En caso afirmativo las cámaras deberán cubrir el acceso principal y todos los puntos de atención al público y las imágenes deberán ser conservadas por lo menos tres (3) meses o cuando la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

9.3. Interfaz usuario

Utilizar un software para el registro de las operaciones que cumplan con los siguientes requisitos:

a) Contar con módulos que permitan una auditoría detallada en todas sus transacciones y procesos;

b) Garantizar la confidencialidad, integridad y disponibilidad de los datos de los clientes y usuarios;

c) Dotar a todos los equipos terminales de los elementos necesarios para evitar la instalación de programas y dispositivos que capturen la información de sus clientes, usuarios y de sus operaciones;

d) Presentar un protocolo para el acceso a la base de datos por parte del Administrador del Sistema;

e) Generar registro electrónico de las operaciones, que no pueda ser modificado ni borrado y en los que se deberán incluir al menos la fecha, hora y monto del giro, el número interno asignado por el sistema al giro, ubicación física del punto de atención al público, así como la información suficiente que permita la identificación del personal que realizó la operación.

9.4. Reglas sobre actualizaciones de software y/o sistemas informáticos

Con el propósito de mantener un adecuado control sobre el software, las entidades deberán cumplir, como mínimo, con las siguientes medidas:

a) Mantener tres ambientes independientes: Uno para el desarrollo del software, otro para la realización de pruebas, y un tercer ambiente para los sistemas en producción. En todo caso, el desempeño y la seguridad de un ambiente no podrán influir en los demás;

b) Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas;

c) Cuando las entidades necesiten tomar copias de la información de su clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas;

d) Contar con procedimientos y controles para el paso de programas a producción. El software en operación deberá estar catalogado;

e) Mantener documentada y actualizada, al menos, la siguiente información: Parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones, versión de los programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas informáticos; y procedimientos de instalación del software;

f) Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.

9.5. Autenticación de usuarios

Los sistemas informáticos de los Operadores de Servicios Postales de Pago deberán conocer la identidad de los usuarios remitentes y destinatarios de los giros, mediante el uso de un identificador individual y factores biométricos que cumplan las siguientes características:

a) Factor individual: Se considera factor individual la captura de datos personales del usuario, que contemplen al menos los siguientes campos: (i) Nombre y apellidos; (ii) clase y número de documento de identificación; iii) fecha de expedición del documento de identificación; (iv) teléfono fijo y/o móvil;

b) Factor biométrico: Al utilizar lectores biométricos para la identificación de los usuarios, dichos lectores deberán tener mecanismos que aseguren que la persona que solicita el servicio corresponde a la misma previamente registrada ante el Operador.

Los Operadores de Servicios Postales de Pago o sus Colaboradores que tengan puntos de atención al público en las fronteras colombianas podrán aceptar los documentos de identificación oficiales de los países vecinos. Tratándose de menores de edad, estos podrán ser usuarios del servicio postal de pago a partir de los catorce (14) años de edad. Para estos dos (2) tipos de usuarios los Operadores deberán establecer las condiciones del giro.

9.6. Bloqueo automático de los factores de autenticación

Los Operadores deberán establecer esquemas de bloqueo automático de los factores de autenticación cuando se intente realizar una operación, ya sea por los factores arrojados por el sistema de administración del riesgo de LA/FT, o cuando se trate de ingresar al sistema de forma incorrecta o inusual.

9.7. Bases de datos

El acceso a la información relativa a los clientes o usuarios y sus transacciones a través de los Operadores de Servicios Postales de Pago, debe contar con niveles de seguridad, de modo que esta información solo puede ser entregada al mismo cliente o usuario, a entidades de inspección, vigilancia y control o a aquellas entidades con facultades para solicitar el reporte de información.

ARTÍCULO 10. INFRAESTRUCTURA FÍSICA. Los operadores deberán dar cumplimiento a los siguientes requisitos.

10.1. Puntos de atención al público

Deberán tener en lugar visible las condiciones de prestación de los servicios postales que ofrecen, incluidas las tarifas. Así mismo deberán contar con un aviso del operador postal de pago habilitado por el Ministerio de Tecnologías de la Información y las Comunicaciones, visible al público al interior y exterior del establecimiento, según sea el caso, que contenga la siguiente información: “Vigilado y controlado por el Ministerio de Tecnologías de la Información y las Comunicaciones”. Esta información también deberá incluirse cuando se promueva el servicio en los diferentes medios publicitarios. Adicionalmente, cuando los Colaboradores realicen las actividades antes mencionadas deberán informar el nombre del Operador, así como el horario de atención, los límites y tarifas establecidos para la prestación del servicio.

10.2. Área de Peticiones, Quejas y Reclamos

Se deberá disponer de un área para la atención de las Peticiones, Quejas y Reclamos (PQR), que se presenten bien sea telefónicamente o a través de medios electrónicos.

10.3. Conservación de la información

Los Operadores deberán establecer políticas, procedimientos y herramientas para el almacenamiento, custodia y seguridad de la información, tanto documental como electrónica de manera permanente.

ARTÍCULO 11. TERCERIZACIÓN – OUTSOURCING. Los Operadores de Servicios Postales de Pago que contraten con Colaboradores y Proveedores que realicen actividades que tengan relación directa con la prestación del servicio de giro postal deberán cumplir, como mínimo, con los siguientes requerimientos:

a) Definir los criterios y procedimientos a partir de los cuales se seleccionarán los proveedores y colaboradores y los servicios que serán atendidos por ellos;

b) En el caso de los colaboradores, en los contratos que se celebren se deberá incluir, por lo menos, los siguientes aspectos:

i) Nombre, identificación y domicilio del Colaborador;

ii) Modalidad jurídica de la contratación y modelo de los contratos utilizados. En caso de que el Operador permita a los Colaboradores contratar su actividad con terceros, aquellos contratos firmados entre los colaboradores y dichos terceros deberán estar suscritos por el Operador;

iii) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas;

iv) Propiedad de la información;

v) Horarios de servicio según su actividad;

vi) Normas de seguridad informática y física a ser aplicadas;

vii) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información;

viii) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma, en especial, una vez finalizado contrato;

ix) Establecer con los Colaboradores un plan de contingencia. Los operadores deberán verificar que los planes, en lo que corresponden a los servicios convenidos, funcionan en las condiciones esperadas;

x) Procedimiento y control para la devolución del material, dispositivos e información suministrados por el Operador;

c) En el caso de los Proveedores, en los contratos que se celebren se deberá incluir, por lo menos, los siguientes aspectos:

i) Niveles de servicio y operación;

ii) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas;

iii) Propiedad de la información;

iv) Restricciones sobre el software empleado;

v) Normas de seguridad informática y física a ser aplicadas;

vi) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información;

vii) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma, en especial una vez finalizado el contrato;

viii) Exigir que dispongan de planes de contingencia y continuidad de negocio debidamente documentados.

Los Operadores de Servicios Postales de Pago deberán contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente literal, en lo que corresponde a los servicios convenidos.

ARTÍCULO 12. ACTIVIDADES OPERACIONALES REALIZADAS A TRAVÉS DE COLABORADORES. El Operador de Servicios Postales de Pago que contrate a colaboradores para la prestación de alguna de las actividades operacionales involucradas en la prestación del servicio, deberán comunicar la siguiente información al Ministerio de Tecnologías de la Información y las Comunicaciones:

a) Procedimientos y requisitos definidos para aceptar y realizar el contrato con los colaboradores, tales como: Estructura administrativa, actividades operativas, cobertura, plataforma de tecnología informática, seguridad informática, e infraestructura física, así como los procedimientos definidos para verificar la información;

b) Los Operadores de Servicios Postales de Pago deberán tener un área especializada que emita conceptos especializados y supervise la calidad del posible Colaborador, al menos sobre los siguientes temas: Solvencia, capacidad económica, análisis de LA/FT, gestión de liquidez, plataforma y tecnología informática, administración de riesgos operativos, reporte de incidentes y planes de contingencias;

c) Descripción de los mecanismos de control interno que vayan a utilizar los Colaboradores, a fin de cumplir las obligaciones que establecen las normas para la prevención y administración de los riesgos a los que está expuesto sobre la actividad postal de pago;

d) El nombre y la identificación de los directores y personas responsables de la gestión del Colaborador que vaya a utilizar en la prestación de servicios postales de pago, así como la prueba de que se trata de personas con los conocimientos y capacidades necesarios;

e) Establecer procedimientos que permitan identificar físicamente y de manera inequívoca a los o empleados de los Colaboradores contratados;

f) El software utilizado por los Colaboradores para prestar el servicio postal de pago en los puntos de atención al público deberá ser controlado, suministrado y administrado por el Operador de Servicios Postales de Pago. De igual forma, deberá establecer o acordar las características de seguridad informática de los equipos terminales usados en dichos puntos y de los canales de comunicación;

g) Los administradores de la plataforma tecnológica de información deberán validar automáticamente la autenticidad de los equipos que se utilizan en los puntos de atención al público;

h) Implementar mecanismos de cifrado para el envío y recepción de información confidencial con los Colaboradores;

i) La contratación de Colaboradores para la realización de funciones operacionales deberá realizarse de modo tal que no afecte la calidad del control interno de dichas funciones por parte del Operador ni la capacidad del Ministerio de Tecnologías de la información y las Comunicaciones, para controlar que el Operador de Servicios Postales de Pago cumple todas las obligaciones que establece la Ley 1369 de 2009, la presente resolución y demás normas que le sean aplicables;

j) El Colaborador en el que se apoye el Operador para la realización de los servicios postales de pago debe tener contemplada dentro de su objeto social la realización de actividades de apoyo a un Operador de Servicios Postales de Pago debidamente habilitado y registrado por el Ministerio de Tecnologías de la Información y las Comunicaciones. En todo caso, un colaborador solo podrá prestar sus servicios de apoyo a un operador habilitado por el Ministerio de Tecnologías de la Información y las Comunicaciones;

k) La contratación de Colaboradores para la ejecución de funciones operativas no dará lugar a la delegación de responsabilidad por parte de la alta dirección o de cualquiera de los funcionarios del Operador a quienes la presente Resolución y demás normas aplicables les hayan asignado determinada responsabilidad y tampoco alterará las relaciones y obligaciones del Operador con respecto a sus usuarios ni con respecto al Ministerio de Tecnologías de la Información y las Comunicaciones;

l) El Operador deberá contemplar una fase de acompañamiento al Colaborador al inicio de la operación, así como la disposición de los medios locales y remotos que le suministren la ayuda y el soporte necesario para la prestación de los servicios convenidos.

ARTÍCULO 13. ACREDITACIÓN DEL CUMPLIMIENTO DE LOS REQUISITOS. A efectos de acreditar el cumplimiento de los requisitos de que trata la presente resolución se deberá remitir la siguiente información:

a) Ámbito geográfico y los servicios a prestar, para lo cual deberá presentarse una relación de los puntos de atención en operación o que se proyectan abrir durante el primer año;

b) Estructura operativa en la que se describa la estructura administrativa, la plataforma de tecnología informática y la infraestructura física, así como las actividades operacionales que se realicen a través de colaboradores;

c) Certificación del representante legal en la que conste que la plataforma tecnológica de información ha sido sometida a pruebas de funcionalidad con resultados satisfactorios, los sistemas de seguridad informáticos han sido probados para verificar su efectividad y el plan de continuidad del negocio y su respectivo plan de contingencia han sido probados con resultados exitosos.

Cuando el Ministerio así lo considere podrá solicitar una presentación gerencial y desplazarse a la entidad para analizar, profundizar o solicitar información que estime necesaria corroborar.

Adicionalmente, cuando el Operador decida implementar esquemas de operación diferentes a los que tiene en uso, deberá adelantar el respectivo análisis de riesgos y ser puesto en conocimiento de la Junta Directiva, el Consejo de Administración o el órgano equivalente del Operador de Servicio Postal de Pago al igual que a los órganos de control. Así mismo, deberá remitir al Ministerio, con al menos quince (15) días hábiles de antelación a la fecha prevista para poner en funcionamiento el nuevo esquema, la siguiente información: i) Descripción del procedimiento que se adoptará para la prestación del servicio; ii) plataforma tecnológica de información que utilizará; iii) análisis de riesgos, medidas de seguridad y control definidas; iv) ajustes de los planes de contingencia y continuidad, en caso de que se requiera; y v) plan de capacitación.

ARTÍCULO 14. CERTIFICACIÓN DEL CUMPLIMIENTO DE LA PRESENTE RESOLUCIÓN. Para cada ejercicio contable, el Revisor Fiscal del Operador de Servicios Postales de Pago deberá remitir al Ministerio de Tecnologías de Información y Comunicaciones un reporte en el que exprese el grado de cumplimiento de lo dispuesto en la presente resolución.

Dicha certificación no impide que el Ministerio de Tecnologías de Información y Comunicaciones realice sus propias verificaciones directamente o a través de terceros que para el efecto designe el Ministerio.

ARTÍCULO 15. VIGENCIAS Y DEROGATORIAS. La presente resolución rige a partir de su publicación, excepto el literal b) del numeral 9.5, el cual entrará en vigencia a partir del año siguiente a su publicación, y deroga las Resoluciones números 2704 de 2010 y 970 de 2011.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 12 de septiembre de 2013.

El Ministro de Tecnologías de la Información y las Comunicaciones,

DIEGO MOLANO VEGA.