CIRCULAR EXTERNA 20 DE 2021
( Octubre 08 )
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 600 de 15 de octubre de 2021
SUPERINTENDENCIA FINANCIERA
Señores
REPRESENTANTES LEGALES DE LOS ESTABLECIMIENTOS DE CRÉDITO, LAS SOCIEDADES ESPECIALIZADAS EN DEPÓSITOS Y PAGOS ELECTRÓNICOS, Y LAS ENTIDADES ADMINISTRADORAS DE SISTEMAS DE PAGO DE BAJO VALOR
Referencia: Instrucciones relacionadas con las actividades que desarrollan las entidades vigiladas en los Sistemas de Pago de Bajo Valor
Respetados señores:
Esta Superintendencia, atendiendo las disposiciones contenidas en el Decreto 1692 de 2020, incorporado en el Decreto 2555 de 2010, relacionadas con los sistemas de pago de bajo valor- SPBV-, considera necesario fortalecer la reglamentación para el desarrollo de las actividades de: i) adquirencia que realizan los establecimientos de crédito y las Sociedades Especializadas en Depósitos y Pagos Electrónicos y ii) provisión de servicios de pago por parte de las Entidades Administradoras de Sistemas de Pago de Bajo Valor – EASBV-, y promover la adecuada protección de los consumidores financieros que hacen uso de estos servicios.
En cumplimiento de lo dispuesto en el artículo 7 de la Ley 1340 de 2009, esta Entidad mediante oficio 2021205173-000-000 del 21 de septiembre de 2021 remitió a la Superintendencia de Industria y Comercio -SIC- el proyecto de la referencia. Mediante oficio 21-378197- -6-0 del 8 de octubre de 2021, la SIC remitió sus comentarios, los cuales fueron evaluados e incorporados en la presente Circular Externa.
En virtud de lo expuesto, esta Superintendencia en ejercicio de sus facultades legales, en especial las establecidas en el literal a), numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero; el literal f) del artículo 5 y el literal u) del artículo 7 de la Ley 1328 de 2009 y el numeral 4 del artículo 11.2.1.4.2 del Decreto 2555 de 2010, imparte las siguientes instrucciones:
PRIMERA: Modificar los numerales 2.2.10 y 2.3.8 del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica “Canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros” para definir las reglas para la vinculación a las EASPBV, de los participantes no vigilados que presten servicios de aplicación de comercio electrónico para almacenar, procesar y/o transmitir el pago correspondiente a operaciones de venta en línea con tarjetas débito o crédito. <ANEXO 1>
SEGUNDA: Modificar el subnumeral 3.4.10 y adicionar el subnumeral 3.4.14 al Capítulo I del Título III de la Parte I de la Circular Básica Jurídica “Acceso e información al consumidor financiero” para incorporar obligaciones en materia de suministro de información a los consumidores financieros por parte de las EASPBV que actúen como proveedores de servicios de pago, y los establecimientos de crédito y las Sociedades Especializadas en Depósitos y Pagos Electrónicos que presten servicios de adquirencia. <ANEXO 2>
TERCERA: Adicionar los numerales 4, 5, 6 y 7 al Capítulo IX del Título IV de la Parte III de la Circular Básica Jurídica “Entidades Administradoras de Sistemas de Pago de Bajo Valor- EASPBV” para definir reglas en materia de gobierno corporativo de las EASPBV y sobre las actividades que desarrollan estas entidades. <ANEXO 3>
CUARTA: Vigencia: De conformidad con el plazo establecido en el artículo 3 del Decreto 1692 de 2020, las instrucciones contenidas en la presente Circular rigen a partir del 18 de diciembre de 2021.
Las EASPBV deberán cumplir las disposiciones previstas en el numeral 4 del Capítulo IX del Título IV de la Parte III de la Circular Básica Jurídica, relacionadas con la conformación de juntas directivas, a más tardar en la fecha en que deben realizarse las próximas asambleas de accionistas del año 2022.
Se anexan las páginas objeto de modificación.
Cordialmente,
JORGE CASTAÑO GUTIÉRREZ
Superintendente Financiero de Colombia
50000
PARTE I – TÍTULO II – CAPÍTULO I PÁGINA 9
2.2.2. Cifrado fuerte: Técnicas de codificación para protección de la información que utilizan algoritmos reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES o AES.
2.2.3. Operaciones no monetarias: Son las acciones a través de las cuales se desarrollan, ejecutan o materializan los productos o servicios que prestan las entidades a sus clientes o usuarios y que no conllevan movimiento, manejo o transferencia de dinero.
2.2.4. Operaciones monetarias: Son las acciones que implican o conllevan movimiento, manejo o transferencia de dinero.
2.2.5. Autenticación: Conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es.
2.2.6. Mecanismos fuertes de autenticación: Se entienden como mecanismos fuertes de autenticación los siguientes:
2.2.6.1. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación.
2.2.6.2. Certificados de firma digital de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios.
2.2.6.3. OTP (One Time Password), en combinación con un segundo factor de autenticación.
2.2.6.4. Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación.
2.2.6.5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.
2.2.7. Proveedores de redes y servicios de telecomunicaciones: Son las empresas reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros, de acuerdo a lo establecido en el art 1. de la Resolución 202 de 2010.
2.2.8. Ambiente de venta presente: transacciones en las cuales el instrumento de pago interactúa con el dispositivo de captura de información.
2.2.9. Ambiente de venta no presente: transacciones en las cuales el instrumento de pago no interactúa con el dispositivo de captura de información.
2.2.10. Participante no vigilado: Se refiere a quien haya sido autorizado por una Entidad Administradora de Sistemas de Pago de Bajo Valor (EASPBV) para tramitar órdenes de pago y de transferencia de fondos a través de su sistema y que no sea una entidad vigilada por la SFC, de conformidad con el numeral 16 del artículo 2.17.1.1.1 del Decreto 2555 de 2010).
2.2.11. Código QR (Quick Response Code): Es un código de respuesta rápida, bidimensional, con estructura cuadrada. Tiene la capacidad de almacenar datos codificados, es de fácil lectura y tiene mayor capacidad de almacenamiento que los códigos universales de productos (UPC por sus siglas en inglés) o códigos de barras. Puede ser estático (su contenido no cambia, generalmente impreso) o dinámico (cambia su contenido para cada compra, generado por software en tiempo real).
Los códigos QR pueden ser adaptados para transacciones tales como pagos, transferencias P2P o P2B .
2.2.12. Tokenización: Proceso de remplazar un dato confidencial por otro equivalente que no lo es (no confidencial), el cual garantiza la misma operatividad y no tiene un valor intrínseco.
2.2.13. Característica biométrica: Atributo biológico o comportamental de un individuo del cual se pueden extraer propiedades distintivas y repetibles para su reconocimiento.
2.2.14. Muestra biométrica: Representación que se obtiene de una característica biométrica capturada mediante un dispositivo vinculado a un sistema biométrico, como una imagen facial, una grabación de voz o una imagen de huella digital.
2.2.15. Plantilla biométrica: Representación de una o varias muestras biométricas utilizadas para la comparación, reconocimiento e individualización de una persona, las cuales pueden construirse a través de métodos tales como vectores, datos numéricos y algoritmos criptográficos.
2.2.16. Omnicanalidad: Estrategia que busca mejorar la experiencia del consumidor y la eficiencia operativa, proporcionando la mayor homogeneidad posible en los diferentes canales y el uso de varios de ellos en la ejecución de las operaciones, cuando esto resulte procedente.
2.2.17. Pagos sin contacto (contactless): Sistema que permite pagar una compra mediante tecnologías de identificación por radiofrecuencia o lectura electrónica, incorporadas en tarjetas de crédito o débito, llaveros, tarjetas inteligentes, teléfonos móviles u otros dispositivos.
2.3. Criterios
2.3.1. Respecto de la seguridad de la información
2.3.1.1. Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
2.3.1.2. Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
2.3.1.3. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
2.3.2. Respecto de la calidad de la información
2.3.2.1. Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
2.3.2.2. Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
2.3.2.3. Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones
2.3.3 Requerimientos generales
2.3.3.1. En materia de seguridad y calidad de la información
A fin de dar debida aplicación a los criterios antes indicados las entidades deben adoptar, al menos, las medidas que se relacionan a continuación:
(…)
PARTE I – TÍTULO II – CAPÍTULO I PÁGINA 15
2.3.6.2.3. Propiedad de la información.
2.3.6.2.4. Restricciones sobre el software empleado.
2.3.6.2.5. Normas de seguridad informática y física a ser aplicadas.
2.3.6.2.6. Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.
2.3.6.2.7. Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.
Las entidades deben contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente subnumeral, los cuales deben ser informados previamente a la auditoría interna o quien ejerza sus funciones.
2.3.6.3. Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deben verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
2.3.6.4. Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.
2.3.6.5. Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados.
2.3.7 Análisis de vulnerabilidades
Las entidades deben implementar un sistema de análisis de vulnerabilidades informáticas que cumpla al menos con los siguientes requisitos:
2.3.7.1. Estar basado en un hardware de propósito específico (appliance) totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de comunicaciones y/o de seguridad informática.
2.3.7.2. Generar de manera automática por lo menos 2 veces al año un informe consolidado de las vulnerabilidades encontradas. Los informes de los últimos 2 años deben estar a disposición de la SFC.
2.3.7.3. Las entidades deben tomar las medidas necesarias para remediar las vulnerabilidades detectadas en sus análisis.
2.3.7.4. Realizar un análisis diferencial de vulnerabilidades, comparando el informe actual con respecto al inmediatamente anterior.
2.3.7.5. Las herramientas usadas en el análisis de vulnerabilidades deben estar homologadas por el CVE (Common Vulnerabilities and Exposures) y actualizadas a la fecha de su utilización.
2.3.7.6. Para la generación de los informes solicitados se debe tomar como referencia la lista de nombres de vulnerabilidades CVE publicada por la corporación Mitre.
2.3.9 Requerimientos mínimos para la implementación y uso de biometría como factor de autenticación electrónica.
En aquellos eventos en que las entidades usen biometría como factor de autenticación electrónica, deben realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos.
PARTE I - TÍTULO III – CAPÍTULO I
| Datos de Entrada | (RAIS) | RAIS Y RPM | (RPM) |
| (X) | (Y) | (X) | |
| Tiempo de permanencia en el Tipo de Fondo Conservador (indicar en años) | ü | ||
3.4.9.4.1. Con el fin de completar la información en los escenarios en los que se proyecten que al consumidor financiero le faltan menos de 10 años de cotización para la pensión, la herramienta debe solicitar como datos de entrada adicionales en los períodos faltantes como mínimo lo siguiente: el salario base cotización, desde la fecha expresada en día, mes y año y hasta la fecha expresada en día, mes y año.
3.4.9.5. Evaluación previa de las herramientas financieras
Con el fin de evaluar las herramientas financieras en cuestión y en todo caso antes de ponerlas a disposición de los consumidores financieros, las entidades deben permitir el acceso a la SFC a un sitio de prueba en su página de internet para efectos de determinar la no objeción a la misma.
Para este propósito la disponibilidad del sitio de internet deberá ser informada por el representante legal de la administradora mediante comunicación dirigida a la Delegatura de Pensiones, Cesantías y Fiduciarias de la SFC.
3.4.9.6. Publicación de rentabilidades, comisión de administración y seguros previsionales AFP y AFPC
Con el propósito de contribuir a una mayor transparencia, las sociedades administradoras de los tipos de fondos de pensiones establecidos en el esquema de multifondos y/o de los portafolios de cesantías deben suministrar a sus afiliados la información necesaria que les permita comparar las distintas opciones del mercado y se sujetarán a las siguientes disposiciones:
Las sociedades administradoras de los tipos de fondos de pensiones deben mantener publicada en una cartelera o tablero situado en los lugares de atención al público, en caracteres destacados, de tal manera que atraiga su atención y resulte fácilmente legible, presentando la última tabla de rentabilidades acumuladas de los tipos de fondos y rentabilidad mínima elaborada por esta Superintendencia, en la cual se señale el período objeto de cálculo, los porcentajes de seguros previsionales y las comisiones autorizadas a las administradoras, dentro de los 3 días hábiles siguientes a la divulgación que de la misma haga esta Entidad.
Igual obligación tendrán las sociedades administradoras de los portafolios de los fondos de cesantías, en lo referente a sus rentabilidades, rentabilidad mínima, comisión de administración y comisión por retiros parciales.
3.4.9.7. Información a pensionados de empresas que adelanten procesos de conmutación total de obligaciones pensionales
Los empleadores que aún deban adelantar gestiones para la conmutación total de sus obligaciones pensionales, de conformidad con el art. 3 del Decreto 1260 de 2000, deben proveer a sus pensionados por lo menos la siguiente información, a fin de garantizar que los mismos cuenten con los elementos de juicio necesarios para adoptar su decisión.
Independientemente de la modalidad de pensión, se debe dar ilustración adecuada y suficiente sobre las características, costos de administración y los riesgos tanto para el pensionado como para la entidad que asuma el pago de la prestación por la conmutación pensional, bien sea con Colpensiones o una compañía de seguros a través de una renta vitalicia, según sea el caso, y la conmutación a través de un retiro programado con una sociedad administradora de fondos de pensiones y de cesantía.
Adicionalmente, explicar qué sucede con los recursos en caso de fallecimiento del pensionado lo que sucede con los recursos. Así mismo debe informarse a cada pensionado el valor aproximado de su cálculo actuarial, con el fin de que pueda obtener información sobre el posible monto de la mesada pensional durante el primer año.
3.4.9.8. Información a operadores de libranza
Las administradoras del SGP deben suministrar la información de sus usuarios, con el exclusivo propósito de establecer la localización de beneficiarios y empleadores o entidades pagadoras, a solicitud de las entidades operadoras de libranzas que para el efecto autorice o administre el Ministerio de la Protección Social, de conformidad con el. art. 8 de la Ley 1527 de 2012.
3.4.10 Entidades Administradoras de Sistemas de Pago de Bajo Valor (EASPBV)
Las EASPBV que, de conformidad con lo previsto en el art. 2.17.2.1.14 del Decreto 2555 de 2010, actúen como proveedores de servicios de pago de adquirentes y entidades emisoras, deben indicar al consumidor financiero para el cual prestan sus servicios y productos, a través de un medio verificable, como mínimo, la siguiente información:
i. La entidad adquirente o emisora a la cual prestan los servicios.
ii. Que la relación contractual que se formaliza es directamente con el adquirente o la entidad emisora, indicando los datos necesarios para su plena identificación.
iii. El alcance de sus actividades y la tarifa que cobran por la prestación de sus productos y servicios. Esta información debe revelarse de manera individual por cada uno de los productos o servicios, ser clara, explicita y con la desagregación de los conceptos que incluye.
iv. Los procedimientos, canales de recepción, responsables y plazos para la atención de quejas y reclamos.
Para efectos del presente subnumeral se entiende por consumidor financiero aquellos comercios destinatarios de los recursos objeto de una orden de pago o transferencia de fondos que se tramite en un Sistema de Pago de Bajo Valor (SPBV).
3.4.10.1 Las EASPBV que actúen como proveedores de servicios de pago de adquirentes son responsables de contar con mecanismos adecuados para garantizar la identificación y autenticación de los comercios en el procesamiento de los pagos. Para el efecto, las EASPBV deben adelantar: i) programas de capacitación en los cuales se les indique a los comercios la manera como se realiza el procedimiento de pago y las medidas de seguridad que deben adoptar los compradores y vendedores para la realización de las mismas, o ii) suministrarles dicha información a través de un medio verificable, en lenguaje claro y sencillo, con el fin de que conozcan y hagan uso correcto de dichos mecanismos.
3.4.10.2 Reglas especiales en materia de publicación de información por parte de las EASPBV
Las EASPBV deben publicar de manera desagregada la información actualizada de las tarifas de: i) acceso al sistema de pago de bajo valor, ii) compensación y liquidación, iii) intercambio, iv) los productos y servicios que ofrece como proveedor de servicios de pago de adquirentes y entidades emisoras, así como la información señalada en los numerales 4 y 5 del art. 2.17.2.1.3 del Decreto 2555 de 2010. Dicha información debe ser publicada en un lugar visible y de fácil acceso de su página web, en forma clara y explícita. Para el efecto, la junta directiva de las EASPBV debe aprobar las políticas y procedimientos que aseguren el cumplimiento de las obligaciones establecidas en el presente subnumeral.
3.4.11. Comercialización de productos a través del uso de red
Las entidades vigiladas involucradas en la comercialización de productos a través del uso de red deben cumplir con lo establecido en el art. 9 de la Ley 1328 de 2009. En tal sentido, deben cumplir con lo siguiente:
3.4.11.1. Entidades prestadoras
Las entidades prestadoras deben:
3.4.11.1.1. Informar clara y detalladamente a los consumidores financieros el alcance y su responsabilidad en el desarrollo de las operaciones que pueden realizar a través del uso de red.
3.4.11.1.2. Disponer de toda aquella documentación o elementos de información que permitan garantizar una adecuada promoción y gestión de los servicios u operaciones objeto del contrato de uso de red.
3.4.11.1.3. Establecer los mecanismos adecuados para asegurar que el consumidor financiero puede consultar en todo momento, a través del respectivo canal, la información relacionada con los servicios objeto de promoción a través del contrato de uso de red.
3.4.11.2. Entidades usuarias
Las entidades usuarias deben:
3.4.11.2.1. Establecer los mecanismos adecuados para asegurar que la información necesaria para la promoción de las operaciones, que se lleven a cabo en desarrollo del contrato de uso de red esté actualizada permanentemente y a disposición tanto para la entidad prestadora como para la SFC y los consumidores financieros.
3.4.11.2.2. Suministrar a las entidades prestadoras, como mínimo, la información a la que hace referencia el art. 9 de la Ley 1328 de 2009 y la normatividad aplicable a cada producto comercializado, incluyendo cualquier información que sea indispensable para que el consumidor financiero tenga un claro entendimiento de los beneficios, limitaciones y costos del producto.
3.4.11.2.3. Entregar al consumidor financiero toda la información relacionada con las operaciones ofrecidas a través de canales no presenciales, previamente a la contratación o ejecuciones de las mismas. Al momento de la realización de la operación debe quedar evidencia que el consumidor financiero recibió oportunamente la información para poder tomar una decisión informada.
3.4.11.3. Entidades Aseguradoras en calidad de entidades usuarias
Sin perjuicio de lo establecido en el art. 9 de la Ley 1328 de 2009, las entidades aseguradoras, en calidad de entidades usuarias de la red de otras entidades vigiladas, deben garantizar que las entidades prestadoras de la red suministren a los consumidores financieros, previamente a la celebración del contrato de seguro, al menos la siguiente información, de manera cierta, suficiente, clara y oportuna, mediante medios verificables:
3.4.11.3.1. El alcance de los amparos y exclusiones, explicando en lenguaje sencillo y directo qué cubre y qué no cubre el contrato de seguro.
3.4.11.3.2. El periodo de vigencia de la póliza.
3.4.11.3.3. El valor asegurado determinado o los criterios para determinarlo.
3.4.11.3.4. El valor de la prima comercial del producto.
3.4.11.3.5. El procedimiento, plazos y documentación a tener en cuenta para la reclamación de un siniestro.
3.4.11.3.6. Los canales por medio de los cuales puede formular peticiones o quejas.
3.4.11.3.7. Los requisitos de asegurabilidad que debe reunir el asegurado.
3.4.11.3.8. Las consecuencias de una declaración inexacta o reticente del estado del riesgo, de acuerdo con lo establecido en el art. 1058 del C.Cio.
3.4.11.3.9. Las consecuencias de la mora en el pago de la prima.
(...)
Las SOFICO deben garantizar que la información a que se refiere el presente numeral sea revelada y suministrada en términos claros y bajo mecanismos que aseguren que, tanto aportantes como receptores, puedan acceder en forma permanente a la misma. Para tal efecto, las SOFICO deben implementar mecanismos adecuados para que los receptores y aportantes manifiesten su conformidad, así como la aceptación de los términos y condiciones de los proyectos productivos en los que decidan participar.
Respecto de la información que se publique y difunda tanto a traves de la plataforma como a través de cualquier otro medio de comunicación o red de difusión, publicidad o mercadeo, se deben implementar controles previos al interior de las SOFICO para asegurar un adecuado cumplimiento normativo del contenido y que se conserve la trazabilidad de dichas publicaciones. Dicha información y la trazabilidad de su divulgación, deberá permanecer a disposición de la SFC.
3.4.14 Establecimientos de Crédito y Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE) que presten los servicios de adquirencia
Los Establecimientos de Crédito y las SEDPE deben dar estricta observancia a los principios de debida diligencia, responsabilidad y transparencia a los que se refiere el art. 3 de la Ley 1328 de 2009, con el fin de garantizar un trato justo al consumidor financiero que hace uso de los servicios de adquirencia a los que se refiere el numeral 1 del art. 2.17.1.1.1 del Decreto 2555 de 2010. Para efectos del presente subnumeral, se entiende por consumidor financiero aquellos comercios destinatarios de los recursos objeto de una orden de pago o transferencia de fondos que se tramite en un Sistema de Pago de Bajo Valor (SPBV).
Los adquirentes vigilados por la SFC que contraten proveedores de servicios de pago para el desarrollo de las actividades de adquirencia son responsables frente al consumidor financiero por el cumplimiento de las obligaciones derivadas de la prestación de ese servicio, de conformidad con lo previsto en el inciso segundo del numeral 1 del artículo 2.17.1.1.1 del Decreto 2555 de 2010. Por lo tanto, los adquirentes vigilados por la SFC deberán informarle al consumidor financiero, de forma clara y sencilla: i) cuáles actividades serán desarrolladas por el mismo y cuáles por un tercero contratado, así como su alcance, y ii) su responsabilidad frente a la actividad de adquirencia.
3.4.14.1 Las obligaciones de suministro de información al consumidor financiero deben ser atendidas por los adquirentes vigilados por la SFC o por los proveedores de servicios de pago contratados, sin perjuicio de la responsabilidad que le asiste a los primeros. En todo caso, de manera previa a la suscripción del respectivo contrato de adquirencia, a través de un medio verificable, se deberá suministrar al consumidor financiero la siguiente información:
i. Los datos de contacto del tercero contratado como proveedor de servicios de pago.
ii. Los procedimientos, canales de recepción, responsables y plazos para la atención de quejas y reclamos.
iii. La explicación detallada del procedimiento para las reversiones y contra cargos.
iv. Los servicios adicionales ofrecidos que implican cobros o pagos no incluidos en la comisión de adquirencia.
v. Los servicios adicionales ofrecidos que implican cobros o pagos no incluidos en el costo de vinculación del comercio al adquirente.
vi. Los mecanismos claros, sencillos y expeditos para la terminación de la relación contractual, acordes a los de apertura o adquisición del producto.
vii. La comisión de adquirencia cobrada y el costo de vinculación del comercio al adquirente. Esta información debe revelarse al consumidor financiero de manera clara, explícita, con la desagregación de los conceptos que incluye y la moneda en que se cobra. En los eventos en que se haya contratado un proveedor de servicio de pago, se debe indicar la tarifa que este cobrará por la prestación de sus servicios y si la misma se encuentra incluida en la comisión de adquirencia.
viii. La demás que resulte indispensable para la adecuada prestación de los servicios contratados.
En aquellos eventos en que el consumidor financiero solicite información relacionada con la forma de determinar los cobros o pagos no incluidos en la comisión de adquirencia o en el costo de su vinculación al adquirente, o los acuerdos de niveles de servicio para atender reclamaciones o incidentes tecnológicos, los adquirentes vigilados por la SFC o a quien haya contratado deberá suministrarla a través de un medio verificable.
3.4.14.2 Los contratos de adquirencia que se celebren con el consumidor financiero no deben contener cláusulas abusivas o que puedan afectar el equilibrio contractual de las partes, tales como: la posibilidad de que el adquirente pueda dar por terminado el servicio en cualquier momento, sin justa causa o sin previo aviso. En caso de ser incluidas se entienden por no escritas o sin efectos para el consumidor financiero, de conformidad con el art. 11 de la Ley 1328 de 2009.
3.4.14.3 El defensor del consumidor financiero del adquirente vigilado por la SFC podrá hacer uso de la facultad de revisión de contratos contenida en el art. 2.34.2.1.6 del Decreto 2555 de 2010, para evitar que los contratos que se suscriban con el consumidor financiero contengan cláusulas abusivas.
3.4.14.4 Los adquirentes vigilados por la SFC deben publicar y mantener actualizada en su página web, la información sobre comisiones y tarifas y la clasificación por categorías o sectores de los establecimientos de comercio establecidas para su fijación. Dichas categorías y sus correspondientes criterios de definición deben ser claros para el consumidor financiero, de manera tal que le permita conocer con objetividad a qué tipo de establecimientos de comercio o sector se refiere cada categoría específica.
3.4.14.5 Los adquirentes vigilados por la SFC son responsables de contar con mecanismos adecuados para garantizar la identificación y autenticación de los comercios en el procesamiento de los pagos. Para el efecto, los adquirentes vigilados por la SFC deben adelantar: i) programas de capacitación en los cuales se les indique a los comercios la manera como se realiza el procedimiento de pago y las medidas de seguridad que deben adoptar los compradores y vendedores para la realización de las mismas, o ii) suministrarles dicha información a través de un medio verificable, en lenguaje claro y sencillo, con el fin de que conozcan y hagan uso correcto de dichos mecanismos.
3.5. Información a suministrar frente a la interrupción en la prestación de los servicios
3.5.1. Cuando los establecimientos de crédito realicen modificaciones y/o actualizaciones técnicas o tecnológicas que por su relevancia puedan generar una interrupción en la prestación de los servicios y afectar la realización de operaciones, deben informar a sus clientes y usuarios por lo menos 8 días previos al inicio de estas actividades, los canales y servicios que se podrían ver afectados, las operaciones que no se podrían realizar, los canales alternativos por medio de los cuales los clientes y usuarios podrán realizar sus operaciones y el lapso en el que realizarán dichas actividades. Esta información debe ser suministrada a través de los canales usuales de comunicación con el cliente y el usuario, en los términos establecidos en el numeral 3 de este capítulo.
3.5.2. Cuando se presente un evento que impida por una hora o más la realización de operaciones a través de uno o varios de los canales de la entidad, los establecimientos de crédito deben informar a los consumidores financieros, en los términos establecidos en el numeral 3 de este capítulo, los canales afectados, las operaciones que no se pueden realizar, los canales alternativos a través de los cuales los clientes y/o usuarios pueden continuar realizando las operaciones, la fecha y hora estimada en que se restablecerá la prestación del servicio por los canales afectados y en general toda la información que se considere relevante para orientar al consumidor durante el tiempo en que se presente la interrupción.
3.5.3. Teniendo en cuenta el principio de correspondencia indicado en el literal d) del artículo 2.35.4.1.1 del Decreto 2555 de 2010, que implica que todos los cobros que realizan las entidades vigiladas deben corresponder a la prestación efectiva de un servicio, los establecimientos de crédito deben establecer políticas y mecanismos mediante los cuales se compensarán o resarcirán de manera efectiva los inconvenientes que se causen a los consumidores financieros como consecuencia de la interrupción en la prestación del servicio.
Como mínimo deben establecer disposiciones frente a:
3.5.3.1. El pago de la cuota de manejo, la tarifa periódica del servicio, o cualquier otro concepto similar, correspondiente al(los) día(s) en que se presente el evento.
3.5.3.2. El pago de las transacciones en los canales alternativos habilitados para realizar las operaciones o transacciones por parte de los clientes y usuarios.
3.5.3.3. El pago de intereses moratorios y reporte a los operadores de bancos de datos cuando como consecuencia de la interrupción del servicio el consumidor financiero no pueda cumplir con el pago oportuno de sus obligaciones con la entidad vigilada.
3.5.3.4. Las medidas necesarias para que el consumidor financiero no se vea afectado por la imposibilidad de realizar el pago oportuno de sus obligaciones con terceros como consecuencia de la interrupción en la prestación del servicio.
3.5.3.5. Los canales dispuestos para la recepción de quejas o reclamos relacionados con la interrupción.
Estas políticas y mecanismos deben estar a disposición de los consumidores financieros durante la ocurrencia de la interrupción y deberá permanecer visible y actualizada hasta que se haya superado.
3.5.4. Los establecimientos de crédito deben informar a los consumidores financieros la forma en que se aplicaron a su situación particular las políticas y procedimientos de los que tratan los subnumerales 3.5.3.1 a 3.5.3.4.
4. RÉGIMEN DE HORARIOS PARA LA PRESTACIÓN DE SERVICIOS DE LAS ENTIDADES VIGILADAS
4.1. Instrucciones relativas a los horarios de prestación de servicio al público
Las entidades vigiladas podrán definir libremente los horarios de prestación de servicio al público, los cuales no tienen que estar necesariamente unificados entre los diferentes establecimientos de una misma localidad. En todo caso, cualquier modificación a los horarios -actuales o futuros- debe ser comunicada a esta Superintendencia con una antelación no inferior a 10 días hábiles.
4.2. Cierres especiales
Se podrá suspender la prestación del servicio al público de manera temporal, por motivos de fuerza mayor, caso fortuito o eventos reconocidos nacionalmente en diferentes regiones, que tradicionalmente han obtenido el permiso para suspender la prestación del servicio al público, sin que se requiera aprobación previa de esta Superintendencia. En el último evento bastará con que se avise al público de manera clara y precisa los días de no prestación del servicio, mediante avisos visibles en un tamaño no menor de medio pliego (70 x 50 cm.), colocados en las oficinas de la entidad en la localidad correspondiente con mínimo 10 días hábiles de antelación. Así mismo, debe comunicarse a la SFC por intermedio de la oficina principal, mediante relación mensual, las festividades autorizadas para el mes inmediatamente siguiente incluyendo los cierres ocasionados por fuerza mayor y caso fortuito del mes anterior. Los cierres especiales no requerirán de unificación entre los establecimientos de la misma localidad.
4.3 Publicidad
Para los casos de cierre especiales o cuando se desee efectuar cambio en el horario de atención a los consumidores financieros, debe comunicarse a todos los clientes, mediante avisos visibles de un tamaño no menor al antes mencionado colocados en las oficinas de la entidad con una antelación no menor de 10 días hábiles y en todo caso difundir tal decisión, por una sola vez, en un diario regional, local o de circulación nacional, según corresponda al alcance geográfico del efecto de la medida, y de no ser posible, por cualquier otro medio que se estime procedente para tal cometido.
5. CONDICIONES DE LA GESTIÓN DE COBRANZA REALIZADA A LOS CONSUMIDORES FINANCIEROS
5.1. Ámbito de aplicación
Con el fin de garantizar los derechos de los consumidores financieros y dentro del marco general de la debida diligencia en la prestación del servicio, en la gestión de cobranza a deudores morosos, las entidades vigiladas deben atender las instrucciones aquí impartidas, independientemente de que la gestión sea realizada directamente por éstas o a través de terceros.
Cuando la mencionada gestión se realice mediante la contratación de terceros, la actividad se entiende realizada bajo la entera responsabilidad de la entidad vigilada quien es igualmente responsable de velar porque los terceros contratados, atiendan en forma integral las instrucciones establecidas en la presente Circular. Igual regla aplicará en los eventos de cesión de cartera, para lo cual las entidades vigiladas deben incluir en sus contratos una cláusula en la que se señale que el cesionario, cuando ésta sea transferida, observará las pautas de cobro establecidas por la SFC en la presente Circular.
Las condiciones establecidas a continuación aplican a las entidades vigiladas por la SFC, con excepción de aquellas que se encuentren sometidas a algún régimen especial sobre el particular, tales como las entidades administradoras de fondos de pensiones y cesantías, quienes deberán atender las disposiciones especiales que resulten aplicables.
PARTE III
MERCADO DESINTERMEDIADO
TÍTULO IV
PROVEEDORES DE INFRAESTRUCTURA Y OTROS AGENTES
CAPÍTULO IX: ENTIDADES ADMINISTRADORAS DE SISTEMAS DE PAGO DE BAJO VALOR- EASPBV
(...)
La inscripción en el RANV será negada por la SFC cuando la sociedad no vigilada que desarrolla la actividad de adquirencia no cumpla los requisitos establecidos en el art. 2.17.3.1.2 del Decreto 2555 de 2010 y/o los establecidos en el presente Capítulo.
2.4. Reglas particulares de operación del RANV
2.4.1 Remisión periódica de información
Un mes antes del cumplimiento de año de operación, contados a partir de la fecha de comunicación de la inscripción en el RANV, la sociedad no vigilada que desarrolle la actividad de adquirencia, deberá remitir a la SFC los documentos definidos en la Lista de Chequeo “Renovación Registro de Adquirentes No vigilados” para acreditar el cumplimiento de lo señalado en el art. 2.17.3.1.2 del Decreto 2555 de 2010. En el evento en que esta incumpla dicho término, la SFC podrá cancelar la inscripción en el RANV.
Para el primer año de operación, los inscritos en el RANV que vayan a renovar su inscripción deberán remitir la información a la SFC un mes antes del cumplimiento de este primer año, contado a partir de la fecha de comunicación de la inscripción. En este evento, y por esa única vez, se evaluará el cumplimiento de los requisitos señalados en el art. 2.17.3.1.2 del Decreto 2555 de 2010 con la información de los 11 meses de operación, contados desde la fecha de otorgamiento de registro. Para los años subsiguientes, se tendrá en cuenta el cumplimiento de los requisitos señalados en el art. 2.17.3.1.2 del Decreto 2555 de 2010 durante el año de operación inmediatamente anterior.
La renovación del registro será informada a más tardar dentro de los 10 días hábiles siguientes a la recepción de los documentos a los que hace referencia el presente numeral.
2.4.2 Cancelación de la inscripción
La SFC podrá verificar, en cualquier momento, el cumplimiento de los requisitos definidos para el RANV. Así mismo, podrá cancelar la inscripción de la sociedad no vigilada que desarrolla la actividad de adquirencia cuando:
i) Deje de acreditar el cumplimiento de los requisitos establecidos en el art. 2.17.3.1.2. del Decreto 2555 de 2010,
ii) No remita la información completa a que se refiere el subnumeral 2.4.1 dentro de los plazos establecidos,
iii) No atienda algún requerimiento de información efectuado por esta Superintendencia o,
iv) El representante legal de la sociedad no vigilada que desarrolla la actividad de adquirencia solicite la cancelación voluntaria del RANV.
En caso de que la inscripción en el registro sea cancelada, la sociedad no vigilada que desarrolla la actividad de adquirencia queda inhabilitada. En consecuencia, debe proceder inmediatamente a trasladar los fondos recibidos de la liquidación de órdenes de pago o transferencias de fondos a sus usuarios, de acuerdo con lo dispuesto en el reglamento del SPBV del cual sea participante e informar a la SFC, dentro de los 3 días hábiles siguientes, sobre el mecanismo definido para el efecto.
2.4.3 Publicidad del RANV y su contenido
La SFC informará sobre la inscripción de una sociedad no vigilada que desarrolla la actividad de adquirencia en el RANV, así como la cancelación del mismo, mediante comunicación dirigida a esta y al público en general, a través de la página web de la SFC.
La SFC publicará la lista de sociedades inscritas en el RANV, con su número de identificación tributaria y la fecha de inclusión en el mismo. Igualmente, se indicará el estado del registro (activo o cancelado). Y se indicará que el mismo opera como un mecanismo habilitante para ejercer las actividades de adquirencia pero en ningún caso otorga a quienes lo conforman la calidad de entidad vigilada por la SFC.
3. OBLIGACIONES DE TRANSPARENCIA DE LOS ADQUIRENTES Y ENTIDADES RECEPTORAS
Los adquirentes y entidades receptoras, en relación con los plazos de acreditación de los fondos a sus usuarios, deben incluir en el texto de los contratos con caracteres destacados, la información relativa a:
3.1 El mecanismo para mantener separados los fondos de los usuarios de los propios.
3.2 El número de días en que se acreditarán los fondos, contados desde la realización de la operación en el SPBV.
3.3 El valor mínimo requerido para el traslado y acreditación de los fondos, si existe.
3.4 Las condiciones y mecanismos requeridas para la acreditación de los fondos.
Esta misma información debe mantenerse actualizada en la página web de la entidad y cualquier modificación a la misma debe ser informada a sus usuarios a través de los mecanismos habitualmente utilizados para la comunicación con éstos, dentro de los 10 días calendario siguientes a su aprobación.
4. JUNTAS DIRECTIVAS DE LAS EASPBV
Para la conformación de las juntas directivas, las EASPBV no podrán designar como miembros dependientes empleados que hagan parte de las áreas de negocio relacionadas con pagos y la operación bancaria de las filiales, subsidiarias, controlantes o accionistas de la EASPBV, de conformidad con lo dispuesto en el art. 2.17.2.1.6. del Decreto 2555 de 2010. Para tal efecto, se entiende por áreas de negocio relacionadas con la operación bancaria aquellas que estén directamente vinculadas con el ejercicio de la actividad de intermediación financiera que desarrollan los establecimientos de crédito.
En todo caso, las EASPBV deben garantizar en la conformación de sus juntas directivas el cumplimiento de los principios consagrados en el art. 2.17.1.1.2 del Decreto 2555 de 2010 y la adopción de buenas prácticas de gobierno corporativo, tales como:
i) Propender por que los miembros designados sean personas que representen un adecuado balance de habilidades, diversidad y conocimientos, de acuerdo con las características de la entidad.
ii) Propender para que todos los miembros se mantengan informados de los asuntos de la entidad, asistan a todas las reuniones y asuman la misma responsabilidad frente a las decisiones adoptadas.
iii) Contar con políticas de revelación de información y procedimientos para la generación de informes y relacionamiento con sus participantes
IV) Garantizar que la selección, aprobación, renovación y sustitución de sus miembros sea un proceso estratégico al interior de la EASPBV, y cuente con normas internas que establezcan los perfiles y calidades para ser miembro, los procesos de nominación y remoción, y esquemas de sustitución de liderazgo.
5. ACTIVIDADES CONEXAS DE LAS EASPBV
Las actividades conexas que desarrollen las EASPBV deben guardar relación directa con aquellas definidas en su objeto social exclusivo, consagrado en el parágrafo 1 del art. 2.17.2.1.1 del Decreto 2555 de 2010. Se consideran actividades conexas de las EASPBV aquellas que tienen como propósito mejorar, hacer más eficiente, agilizar, o fortalecer la seguridad de las siguientes actividades: i) compensación y liquidación, ii) provisión de servicios de pago por delegación de adquirentes o entidades emisoras, y iii) procesamiento de órdenes de pago o transferencia de fondos y suministro de tecnologías de corresponsales, puntos de recaudo y cajeros electrónicos.
6. USO DE INFORMACIÓN
De conformidad con la prohibición contenida en el numeral 4 del artículo 2.17.2.1.14 del Decreto 2555 de 2010, las EASPBV, en ningún caso podrán usar la información a la que tengan acceso en desarrollo de las actividades de proveedores de servicios de pago de adquirentes o emisores para la ejecución de actividades de compensación y liquidación y viceversa.
7. ESTÁNDARES OPERATIVOS, TÉCNICOS Y DE SEGURIDAD
Las EASPBV deben definir requerimientos operativos, técnicos y de seguridad proporcionales al rol y a los riesgos inherentes a la actividad que cada uno de sus participantes ejecuta dentro del SPBV. Dichos requerimientos deben estar alineados con estándares internacionales y promover el cumplimiento de los principios definidos en el art. 2.17.1.1.2 del Decreto 2555 de 2010. Las EASPBV deben realizar, de manera previa, un análisis técnico que justifique y soporte los criterios empleados para la definición de tales requerimientos.
