Como respuesta a la digitalización de la economía y el creciente uso de tecnologías emergentes, la SFC busca, por medio del Proyecto de Circular Externa, consolidar una arquitectura para el desarrollo de las finanzas abiertas en Colombia, en condiciones de seguridad, interoperabilidad y transparencia.
Así mismo, el Proyecto de Circular autorizaría a las entidades vigiladas a comercializar la tecnología e infraestructura digital que utilicen para la prestación de sus servicios, tales como equipos, instalaciones y tecnologías digitales (p.ej. sistemas de hardware y software).
En ese sentido, con esta norma la SFC busca impartir reglas para:
- Definir los estándares tecnológicos y de seguridad que deben adoptar las entidades vigiladas en el marco de los ecosistemas de finanzas abiertas, tales como implementar interfaces de programación de aplicaciones (APIs) para atender las solicitudes de acceso a datos presentadas por los terceros receptores de datos en el marco de los ecosistemas de finanzas abiertas.
Dichas APIs deberán cumplir con estándares mínimos en materia de arquitectura y administración de datos como son: ejecutar el intercambio de datos bajo el formato JSON y cumplir con el marco de referencia REST. - Establecer las obligaciones que deben atender las entidades vigiladas para el tratamiento de los datos de los consumidores financieros, dando cumplimiento, en todos con las normas relacionadas con protección de datos y habeas data de las que tratan las Leyes 1266 de 2008 y 1581 de 2012 o demás normas que las modifiquen, sustituyan o adicionen.
- Revelar información mínima a los consumidores financieros en el marco de los ecosistemas de finanzas.
- Definir reglas para la vinculación de terceros receptores (TPPs), de los datos de los consumidores financieros, dado que las entidades vigiladas se vincularán con terceros no vigilados por la SFC con el fin de compartir información, se exigirán requerimientos mínimos para esta vinculación, tales como:
- Ser una persona jurídica constituida y domiciliada en Colombia.
- Contar con políticas y procedimientos para el tratamiento de datos.
- Mecanismos de mitigación de riesgos de ciberseguridad y fallas en la infraestructura, tecnología y sistemas.
- Definir los lineamientos que deberán cumplir las entidades vigiladas cuando comercialicen su tecnología e infraestructura digital, tales como evaluar de forma previa los riesgos asociados a dicha comercialización y establecer salvaguardas para cubrir el riesgo de incumplimiento de las obligaciones derivadas de dichos contratos.
Teniendo en cuenta que estas reglas pueden promover y/o tener impacto en el desarrollo de nuevos productos y/o servicios, invitamos a nuestros colegas y clientes a revisar el Proyecto de Circular Externa y enviar comentarios a la SFC.
Plazo para enviar comentarios: 31 de mayo de 2023.