Últimas publicaciones

Blog

Desafíos para la protección de los datos en Open Finance

Compartir

protección de los datos en Open Finance

Colombia comenzó formalmente su camino hacia un ecosistema de Open Finance,  luego de la expedición de la Circular Externa 004 de 2024 de la Superintendencia Financiera, que aunque tiene el objetivo de ofrecer servicios financieros más inclusivos y personalizados, plantea a su vez la pregunta por la seguridad de  los datos en el nuevo panorama de Open Finance.

Para que un ecosistema de Open Finance o finanzas abiertas sea una realidad en nuestro país, la misma circular estableció los estándares tecnológicos, de seguridad e interoperabilidad para la apertura autorizada a terceros de los datos de los clientes bancarios, especificando también los requisitos mínimos de seguridad de los datos, que como primera medida, deben almacenarse y compartirse siempre de forma cifrada.

Igualmente, las entidades vigiladas deben cerciorarse que los nuevos Terceros Receptores de Datos cuenten con políticas y procedimientos para el tratamiento seguro de los datos de los usuarios y la gestión de los riesgos de seguridad, cumpliendo con marcos de seguridad como ISO 27001,  NIST Cybersecurity Framework o OWASP ASVS. Así mismo, si procesan, transmiten o almacenan datos de tarjetas de crédito o débito deben cumplir con la normativa PCI DSS para la protección de los datos de las tarjetas bancarias.

Estos requisitos, plantean nuevos desafíos para las organizaciones que deben empezar a revisarlos con tiempo para lograr el cumplimiento de todos los actores involucrados en el nuevo ecosistema de finanzas abiertas.

¿Qué desafíos en seguridad de datos trae el Open Finance?

Sin lugar a dudas, una apertura de datos en el sistema financiero colombiano significa mayor acceso e inclusión de personas y personalización de servicios pero también conlleva mayores riesgos para la seguridad de la información con posibles brechas o fugas que podrían incidir directamente en el éxito del ecosistema de finanzas abiertas y afectar la confianza del usuario en el sistema financiero en general.

El primer paso para prevenir estos riesgos, es poder identificar claramente donde está la data sensible y cuáles son los movimientos o consultas que tendrá en el nuevo modelo de Open Finance. Teniendo esto claro se conoce realmente qué medidas es necesario implementar. A medida que los datos se mueven entre múltiples entidades y plataformas, aumenta la posibilidad de fugas de información y estas pueden dejar expuesta la información personal y financiera de los usuarios si los datos no están bien protegidos con medidas de seguridad robustas como cifrado y tokenización.

La mayor accesibilidad a los datos que permite el Open Finance también conlleva el riesgo de aumentar los ingresos no autorizados y los intentos de ciberataques a los sistemas de las entidades, con técnicas como el ransomware o phishing, que de hecho ya tienen un alto impacto en el sector financiero colombiano, que registró 43 intentos de ciberataques por segundo en el 2023, según cifras de Asobancaria.

Aunque la normativa señala los requisitos mínimos para garantizar la seguridad de los datos para las entidades vigiladas y los terceros receptores de datos, con medidas como el cifrado de datos, el cumplimiento de marcos de seguridad mundiales y el estándar PCI DSS para la protección de los datos de las tarjetas bancarias; esto es solo un aspecto dentro de un enfoque de seguridad integral que realmente cubra todos los puntos de vulnerabilidad del ecosistema.

 

La protección de datos en Open Finance requiere un enfoque integral

Una estrategia de protección integral implica velar por la seguridad de la infraestructura de APIs, de red, de aplicaciones y de datos, garantizando una protección completa contra una variedad de vectores de ataque. Esto implica incluir medidas como el cifrado de datos en tránsito y reposo, la tokenización de datos sensibles, una gestión de identidad fuerte con autenticación multifactor, control de acceso basado en roles y un monitoreo y análisis continuo de riesgos, con sistemas de monitoreo y respuesta a incidentes que puedan detectar actividades sospechosas y responder rápidamente a posibles brechas de seguridad.

Paralelo a estas medidas de seguridad de los sistemas y datos, es indispensable también la capacitación continua en seguridad de los datos y gestión de riesgos entre el factor humano, creando una conciencia de protección de datos entre la fuerza laboral y los usuarios para prevenir prácticas comunes de robo de información como el phishing, ransomware y otros tipos de fraudes.

El desafío de seguridad involucra a todos los actores del ecosistema

Aunque el desafío de seguridad en el ecosistema de finanzas abiertas es retador, la buena noticia es que es alcanzable con esfuerzos conjuntos de todos los actores del sistema, enfocándose en la implementación de medidas de seguridad avanzadas y el cumplimiento normativo. Adicionalmente, es fundamental promover una cultura de ciberseguridad en las organizaciones y mantener una colaboración activa entre reguladores, proveedores de soluciones robustas de ciberseguridad y terceros receptores de datos, para adaptarse a las dinámicas cambiantes de las amenazas de seguridad.

Al integrar estas prácticas y lograr una mayor conciencia de la importancia de la protección de los datos en entornos digitales, las entidades financieras y terceros pueden proteger eficazmente los datos sensibles y fortalecer la confianza del usuario en el sistema de finanzas abiertas, favoreciendo así la innovación y la expansión de los servicios financieros abiertos en Colombia y la región.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te podría interesar

La seguridad perimetral y de red ya no es suficiente para proteger los datos. Caso Banco Santander.

Desafíos para la protección de los datos en Open Finance.

Pagos digitales en América Latina ¿Qué esperar próximamente?.

Nuestras soluciones inteligentes de identificación por identidad, medios de pago y protección de datos evolucionarán la seguridad de su organización.

Conversemos: