Los servicios financieros digitales (SFD) implican un complejo ecosistema en el que participan distintas partes interesadas, como bancos, proveedores de SFD, operadores de redes móviles (MNO), proveedores de plataformas de SFD, reguladores, agentes, comerciantes, proveedores de servicios de pago, fabricantes de dispositivos, desarrolladores de aplicaciones, proveedores de servicios de testigos, fabricantes de equipos originales (OEM) y clientes. La interconexión de estas entidades del sistema y la dependencia de varias partes del ecosistema amplían los límites de la seguridad más allá del proveedor de SFD a los clientes, los proveedores de red, el fabricante de teléfonos móviles y otros proveedores externos del ecosistema.
Un marco de garantía de seguridad de SFD identifica las amenazas y vulnerabilidades de seguridad a las que se enfrentan las partes interesadas de SFD aplicables. Los reguladores, incluidos las autoridades de telecomunicaciones, la banca y los reguladores de pagos, también podrían utilizar del marco de garantía de seguridad de SFD para establecer bases de referencia de seguridad para los proveedores de SFD.
Cuando se aplique, el marco complementará las prácticas establecidas sobre gestión de riesgos y seguridad de la información de las partes implicadas en el ecosistema de SFD. Por ejemplo, los controles de seguridad del documento pueden incluirse como parte del programa de seguridad de las tecnologías de la información y la comunicación (TIC) del proveedor de SFD.
La Recomendación UIT-T X.1150 describe el marco de garantía de seguridad de SFD que proporciona un proceso sistemático de gestión de riesgos de seguridad para evaluar las amenazas y vulnerabilidades e identifica los controles de seguridad adecuados que deben aplicar las partes interesadas de los SFD. Las amenazas relacionadas con los comerciantes, los proveedores de servicios de pago y otras organizaciones de servicios financieros y las mitigaciones específicas para abordar las amenazas a las que se enfrentan están fuera del ámbito de aplicación de esta Recomendación.
El marco de garantía de seguridad de los SFD consta de los siguientes componentes:
a)Un proceso de gestión de riesgos de seguridad basado en ISO/CEI 27005.
b)Evaluación de las amenazas y vulnerabilidades de la infraestructura subyacente del operador de red móvil y el proveedor de SFD, las aplicaciones de SFD, los servicios, las operaciones de red y los proveedores externos que participan en el ecosistema para la prestación de SFD.
c)Estrategias de mitigación basadas en el resultado de (b) anterior. Las medidas de mitigación identifican 119 requisitos de control de seguridad para las amenazas a la seguridad que se describen en la cláusula 13 de esta Recomendación.
|
