Gov.co

Sucursal Virtual

Menú principal

Concepto 218928 de 2025 SF

Buscar search
Índice developer_guide

CONCEPTO 218928 DE 2025

(diciembre 18)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA FINANCIERA

DATOS BIOMÉTRICOS, CERTIFICADO DE DEPÓSITO A TÉRMINO (CDT)

Síntesis: corresponde a cada entidad vigilada determinar las operaciones que de acuerdo con su evaluación generan mayor exposición al riesgo de fraude o suplantación y, por tanto, requieren mecanismos fuertes de autenticación, entre ellos el uso de datos biométricos.

«… mediante la cual fórmula dos solicitudes respecto de las instrucciones emitidas por este Organismo, las cuales deben ser absueltas por el representante legal de la SFC.

De modo preliminar, en atención a los términos de su oficio, le informamos que conforme a lo dispuesto en el artículo 13 y siguientes del Código de Procedimiento Administrativo y Contencioso Administrativo, es deber de las autoridades atender las peticiones que les sean presentadas y se encuentren dentro de su ámbito de competencia, sin que para ello se requiera que la respuesta sea “suscrita por el representante legal” o “apoderado(a) debidamente constituido(a)” por la entidad.

En ese sentido, y atendiendo las funciones que le asigna el artículo 11.2.1.4.6. del Decreto 2555 de 2010 a la Dirección Jurídica de esta Superintendencia, se procede a dar respuesta así:

“1. Se sirvan informar cuáles son los lineamientos y/o instrucciones que ha impartido la Superintendencia a sus vigilados, en relación con el uso de datos biométricos, específicamente cuando un titular (cliente) desea constituir un certificado de depósito a término (CDT)”

Sobre el particular, sea lo primero precisar que la función de instrucción de este Organismo tiene como propósito orientar a las entidades vigiladas sobre el cumplimiento de las normas que regulan su actividad, mediante la indicación de los criterios técnicos, jurídicos y procedimientos para tal efecto, así como acerca de la administración de los riesgos implícitos en sus operaciones (literal a, numeral 3, artículo 325 del Estatuto Orgánico del Sistema Financiero).

En ejercicio de esa función y en desarrollo de lo previsto en literal a, artículo 3 de la Ley 1328 de 2009[1], esta Superintendencia ha instruido a sus entidades vigiladas en materia de seguridad y calidad en los distintos canales de distribución de servicios, y en ese contexto ha fijado algunos lineamientos para el uso de biometría como factor fuerte de autenticación, los cuales se encuentran contemplados en el Capítulo I, Título II, Parte I de su Circular Básica Jurídica (Circular Externa 006 de 2025), así:

2.2. Definiciones aplicables

(…)

2.2.6. Mecanismos fuertes de autenticación: se entienden como mecanismos fuertes de autenticación los siguientes:

2.2.6.1. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación.

 (…)

2.3.9. Requerimientos mínimos para la implementación y uso de biometría como factor de autenticación electrónica.

En aquellos eventos en que las entidades usen biometría como factor de autenticación electrónica, deben realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos.

Las entidades deben establecer mecanismos alternativos que permitan completar los procesos de autenticación, cuando por razones médicas o físicas el cliente no pueda hacer uso de la biometría.

En aquellos eventos en que se utilicen bases de datos propias las entidades

deben:

2.3.9.1. Almacenar las plantillas biométricas utilizando sistemas de tokenización

o algoritmos de cifrado fuertes.

2.3.9.2. Abstenerse de almacenar muestras biométricas que hayan sido tomadas

con el propósito de realizar procesos de autenticación, salvo que se cuente con la autorización explicita referida en el literal a del artículo 6 de la Ley 1581 de 2012 o aquellas normas que lo reglamenten, modifiquen o adicionen y siempre que sean necesarias en la ejecución de programas de inclusión financiera en sectores apartados del territorio nacional. En todo caso, el almacenamiento debe realizarse bajo estándares en materia de seguridad de datos biométricos, tales como ISO 24741:2007 y 24745:2011 o aquellos que lo modifiquen, sustituyan o adicionen.

2.3.9.3. Almacenar la información demográfica del cliente de manera separada de las plantillas biométricas, relacionándolas entre sí por medio de códigos generados por algoritmos matemáticos que no sean fácilmente descifrados.

2.3.9.4. En la implementación de factores biométricos se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema tales como: i) medición de propiedades fisiológicas del individuo, ii) identificación de respuestas de comportamiento humano o iii) protocolos de desafío-respuesta.

2.3.9.5. Establecer controles en la captura inicial de las muestras biométricas de los clientes que aseguren que la información se obtenga directamente del titular del dato.

2.3.9.6. Realizar una adecuada gestión de los riesgos asociados, verificar regularmente la efectividad de los controles implementados y dar cumplimiento a las normas vigentes en materia de protección de datos y habeas data.

Ahora bien, es de señalar que conforme a lo dispuesto en el subnumeral 2.3.3.1.27 del referido instructivo, corresponde a cada entidad vigilada determinar las operaciones que de acuerdo con su evaluación generan mayor exposición al riesgo de fraude o suplantación y, por tanto, requieren mecanismos fuertes de autenticación.

El texto completo de las citadas instrucciones puede ser consultado en la página web de este Organismo, www.superfinanciera.gov.co, en la ruta: Marco Jurídico / Normativa General / Circular Básica Jurídica (C.E. 006/25).

“2. Se sirvan indicar cuáles son las directrices impartidas a sus vigilados en cuanto a los mecanismos alternos disponibles cuando un titular (cliente) desea constituir un certificado de depósito a término (CDT), y éste no autorice el tratamiento de sus datos biométricos, especialmente la huella digital.”

Al respecto, le informamos que esta Superintendencia no ha emitido directrices con el alcance particular al que se refiere, sin perjuicio de reiterar que en materia de uso de biometría como factor fuerte de autenticación las entidades vigiladas deben observar las instrucciones previstas en el referido Capítulo I, Título II, Parte I de su Circular Básica Jurídica, citada en la respuesta anterior.

…»

<NOTAS DE PIE DE PÁGINAS>

1. “… Las entidades vigiladas deberán observar las instrucciones que imparta la Superintendencia Financiera de Colombia en materia de seguridad y calidad en los distintos canales de distribución de servicios financieros”.

Ir al inicio
Logo de Avance Jurídico
Compilación Jurídica de IDEA
ISBN : [978-628-95511-1-2]
Última actualización: 
Manual de uso
Créditos y reserva de derechos de autor
Instituto para el Desarrollo de Antioquia - IDEA - DRA © 2025

Síguenos en:

InicioInicio
MÓDULOS
Opción documentos
Herramientas de búsqueda
VER MÁS
Opción documentos
Compilación normativa interna de IDEA
VER MÁS
Opción documentos
Normativa departamental aplicable al IDEA
VER MÁS
Opción documentos
Normativa nacional aplicable al IDEA
VER MÁS
Opción documentos
Normativa común a las entidades públicas
VER MÁS
Opción documentos
Índice por temas misionales
VER MÁS
Opción documentos
Conceptos jurídicos
VER MÁS
Opción documentos
Jurisprudencia
VER MÁS
Opción documentos
Novedades normativas y jurisprudenciales
VER MÁS
×
Volver arriba