nuevas reglas para apis cnbv mexico open banking

Nuevas reglas para APIs y datos abiertos: CNBV

 June 17, 2020
      No Comments
      Francisco Ruiz

La Comisión Nacional Bancaria y de Valores (CNBV) publicó el jueves 4 de junio nuevas reglas relativas a las interfaces de programación de aplicaciones (APIs, por sus siglas en inglés). Esto servirá para intercambiar datos abiertos de manera segura, como resultado de la regulación del open banking en México.

De acuerdo con José Luis López, CEO de Finerio Connect, “el open banking es el estándar bancario que fomenta el acceso compartido y seguro a los datos financieros”. En este modelo los usuarios son dueños de su información financiera y pueden compartirla con terceros para obtener mejores servicios.

En nuestro país, el open banking se pone en marcha en el artículo 76 de la Ley Fintech (es decir, la Ley para Regular las Instituciones de Tecnología Financiera). Se estipula que todas las entidades financieras deben compartir información financiera por medio de APIs.

A través del Diario Oficial de la Federación 04/06/2020, la CNBV estableció las normas que tendrán que cumplir tanto los solicitantes de datos como los proveedores datos para intercambiar datos abiertos, es decir datos de productos y servicios, ubicación de oficina y sucursales, así como cajeros automáticos.

Te puede interesar: El open banking y su regulación en México

¿Quiénes son los solicitantes de datos?

Los solicitantes de datos serán todos aquellos que sus “APIs desarrolladas o administradas por estos cumplan con lo establecido en los Anexos 1, 2 y 3 de las presentes disposiciones, se tendrán por autorizados por la CNBV, sin necesidad de declaración alguna, para acceder a los Datos de los distintos Proveedores de Datos a los que solicite su acceso a través de dichas APIs”.

¿Quiénes son los Proveedores de datos?

De acuerdo con la reglamentación, los proveedores de datos son todas las Entidades Financieras, Instituciones de Tecnología Financiera, sociedades autorizadas por la CNBV para operar con Modelos Novedosos y transmisores de dinero, que conforme al primer párrafo del artículo 76 de la Ley, estén obligados a establecer APIs con el fin de compartir datos.

Nuevas reglas para los proveedores de datos y sus APIs

Los proveedores de datos tendrán que cumplir con los Anexos 1, 2, 3 de las disposiciones presentadas en el Diario Oficial de la Federación. Además, publicarán claramente en español, en su página de Internet o cualquier otro medio electrónico de acceso público, el proceso que deberán seguir los solicitantes de datos para acceder a datos a través de APIs y las contraprestaciones que, en su caso, deberán pagar.

México es el único país donde el modelo de open banking posibilita el cobro de una contraprestación por el acceso a los datos vía APIs, las cuales serán aprobadas por las autoridades correspondientes, indicó Legal Paradox para el diario El economista.

Políticas de seguridad de información en infraestructura

La normativa dictamina que, “los proveedores de datos deberán contar con  una política de seguridad de la información que proteja en todo momento la infraestructura propia o de terceros contratados por éstos, así como confidencialidad e integridad de los datos que, en su caso, compartan a través de APIs”.

Esta política deberá contener procedimientos, mecanismos y controles continuos, por lo que debe cumplir con:

1. Configuración segura para proteger los componentes tecnológicos de la infraestructura (antivirus, cierre de puertos y servicios, actualizaciones del fabricante, entre otros).

2. Mecanismos de identificación y autenticación del personal responsable del manejo de las APIs.

3. Cifrado de información almacenada y de los canales a través de los que se envíen los datos.

4. Procesos de gestión para la atención de incidentes de la seguridad de la información. Esto con el fin de asegurar la detección, atención y contención, investigación y, en su caso, seguimiento y reporte a la CNBV. 

5. Programa de pruebas de escaneo de vulnerabilidades y amenazas en el acceso y administración de las APIs. Se deberá realizar al menos una vez cada 3 meses y se debe elaborar un plan para solucionar las vulnerabilidades.

6. Programa de pruebas de penetración al menos dos pruebas al año sobre sistemas y aplicativos relacionados con APIs.

7. Mecanismos de respaldo y procedimientos de recuperación de información. 

8. Registros de auditoría integros, incluyendo la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por el solicitante de datos con la información obtenida. La información se deberá conservar por un año.

Te puede interesar: ¿APIs o screen scraping? Cuál es la mejor opción en la conexión a bancos

Requisitos para compartir datos por medio de APIs

1. Configuración que garantice el acceso a datos compartidos únicamente en modo lectura. 

2. Infraestructura segregada de aquellas que limiten el acceso desde el servicio de APIs. 

3. Procedimientos que garanticen la disponibilidad del servicio relacionado con el intercambio de datos.

Procedimiento para reportar incidencias

En las nuevas reglas para APIs se incluye un artículo para indicar las características del reporte a la CNBV, en caso de incidencias respecto a la seguridad de la información. Los proveedores de datos deberán reportarlo de manera inmediata a través del correo ciberseguridad-cnbv@cnbv.gob.mx. Debe indicar: fecha, hora, del incidente, si continúa o ha concluido y su duración, una descripción y evaluación.

En caso de que los solicitantes de datos incumplan con los términos y condiciones pactados, los proveedores de datos deben interrumpir el acceso a datos y notificar a la dirección general de la CNBV encargada de supervisión, adjuntando pruebas del incumplimiento.

Requisitos para las contraprestaciones

Los proveedores de datos deberán de presentar ante la CNBV las contraprestaciones a cobrar a los solicitantes de datos, para que sean autorizados, registrados o modificados. Se deben proporcionar por cada tipo de API, el método, la información y las variables empleadas para determinar las contraprestaciones, así como cualquier otra consideración utilizada en la determinación. 

Lineamientos generales de seguridad técnicos (Anexo 1)

Las nuevas reglas para APIs también establecen los protocolos generales que deben utilizar tanto proveedores de datos como solicitantes de datos. Entre ellos:

1. Utilizar HTTPS con el fin de garantizar el cifrado de información durante su intercambio.

2. Utilizar certificados digitales basados en el estándar internacional de infraestructura de llaves públicas conocido como X.509 (RFC 5280), implementando para ello el protocolo de criptografía conocido como TLS.

3. Verificar la configuración del protocolo HTTPS, por ejemplo, que se restrinjan peticiones cuando se ejecute de métodos HTTPS diferentes a GET para el acceso a lectura de datos. 

4. Limitar el tipo de contenido que se podrá intercambiar a través de las APIs, el cual estará restringido al tipo de “application/json”. 

5. El Proveedor de Datos podrá identificar al Solicitante de Datos manteniendo la vigencia del Token de Acceso por un máximo de 30 días para la consulta de datos, mediante Llaves de Aplicación: (por sus siglas en inglés, API Keys) o el protocolo OAuth 2.0.

Lineamientos de datos para el intercambio de datos (Anexo 2)

En nuevas reglas para APIs, proveedores de datos deberán desarrollar puntos de consulta de API (API endpoints) estandarizados para que puedan ser accesados por los solicitantes de datos para desarrollar soluciones para el usuario final.

La especificación de las API debe basarse en el formato de especificación API Swagger versión 2.0, la cual utiliza servicios REST y formato JSON para el intercambio de datos.

El Anexo 2 de la regulación contiene elementos de arquitectura que deberán constituir las estructura de los mensajes transmitidos vía APIs, en particular:

1. Significado de encabezados y cómo deben ser aplicados en el contexto del proveedor de datos. 

2. Los mensajes de respuesta exitosa y de error que se devuelven como resultado de las peticiones de consulta de datos. 

Además deben una estructura definida por la norma y se deberá considerar que todos los campos son obligatorios.  Los Proveedores de Datos podrán utilizar herramientas de desarrollo diferentes a Swagger, siempre y cuando, las herramientas se apeguen a la especificación definida en el presente documento y el Anexo 3 de estas disposiciones, que es un Diccionario de datos abiertos de cajeros automáticos.

Ver documento completo

¡Suscríbete a nuestro newsletter!

Recibe gratis nuestro webinar de Open Banking.

    Artículos relacionados:

    Regulaciones y políticas de Open Finance en Latinoamérica: un análisis comparativo
    Regulación de Open Finance: el papel de los datos en el mundo financiero
    Tags: , , , , , , , , , ,