Alerta: Aprueban Reglamento de Tarjetas de Crédito y Débito

 

Alerta: Aprueban Reglamento de Tarjetas de Crédito y Débito

 

Alerta: Aprueban Reglamento de Tarjetas de Crédito y Débito

El día 02 de Noviembre de 2013 se publicó en El Peruano la Resolución SBS N° 6523-2013
Lima, 30 de octubre de 2013 que aprueba el “Reglamento de Tarjetas de Crédito y Débito” que es aplicable a las empresas de operaciones múltiples del sistema financiero, autorizadas a expedir y administrar tarjetas de tarjetas de crédito y débito.

Los alcances del dispositivo son los siguientes:

DE LAS TARJETAS DE CRÉDITO:

1.       Se define la TARJETA DE CRÉDITO como el instrumento que permite realizar operaciones con cargo a una línea de crédito revolvente, otorgada por la empresa emisora a favor del titular. Estas operaciones son: adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones o, de así permitirlo la empresa emisora y no mediar renuncia expresa por parte del titular, hacer uso del servicio de disposición de efectivo u otros servicios asociados, dentro de los límites y condiciones pactados; obligándose a su vez, a pagar el importe de los bienes y servicios adquiridos, obligaciones pagadas, y demás cargos, conforme a lo establecido en el respectivo contrato.

 

2.       El contenido del contrato de tarjeta de crédito debe incluir la siguiente información:

§   Condiciones para reducción o aumento de la línea de crédito.

§   Forma y medios de pago permitidos.

§   Procedimientos y responsabilidades de las partes en caso de extravío, sustracción, robo o hurto de la tarjeta o la información que contiene.

§   Casos para bloqueo o anulación de la tarjeta y la resolución del contrato.

§   Condiciones para renovación de contrato.

§   Periodicidad para disposición o entrega de los estados de cuenta.

§   A nombre de quién se emitirán los estados de cuenta.

§   Condiciones de emisión y remisión o puesta a disposición, según corresponda, del estado de cuenta en forma física o electrónica y plazo de aceptación del estado de cuenta.

§   Orden de imputación para pago de la línea de crédito, sin que pueda generar un perjuicio económico al titular.

§   Condiciones generales para autorización del exceso de línea de crédito.

§   Información sobre la prestación de los servicios asociados a las tarjetas de crédito.

§   Condiciones generales para supresión y reactivación de los servicios asociados a las tarjetas de crédito; así como el tratamiento en las tarjetas adicionales.

 

3.       La información mínima que deben tener las tarjetas de crédito es la siguiente:

 

§  Denominación social o nombre comercial de la empresa; e identificación del sistema de tarjeta de crédito (marca) al que pertenece.

§  Número.

§  Nombre del usuario y firma. Las firmas pueden ser sustituidas o complementadas por una clave secreta, firma electrónica u otros mecanismos que permitan identificar al usuario antes de realizar una operación, de acuerdo con lo pactado.

§  Fecha de vencimiento.

Son intransferibles.

El plazo de vigencia no podrá exceder de cinco (5) años.

 

4.       Son servicios asociados a las tarjetas de crédito:

A.       Disposición de efectivo: deberá otorgársele la posibilidad, para cada operación, de decidir si estas disposiciones deberán ser cargadas en cuotas fijas mensuales y el número de cuotas aplicable a estas.

B.       Operaciones de compra, consumos o pagos por internet, a través de una página web distinta a la de la empresa.

C.       Consumos u operaciones efectuadas en el exterior, con presencia física de la tarjeta.

D.       Otras previstas por la empresa en los contratos.

Pueden otorgarse al momento de contratar o posteriormente.

Deben establecer mecanismos simples para su supresión o reactivación a voluntad del titular.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte de su contenido.

 

5.       El importe de bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera o pague utilizándola, se cargarán de acuerdo con las órdenes de pago que este suscriba o autorice.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de crédito.

 

6.       El estado de cuenta debe contener como mínimo lo siguiente:

§  Nombre del titular o usuario.

§  Número de identificación de la tarjeta de crédito, como mínimo a los últimos cuatro (4)
dígitos de la tarjeta de crédito.

§  Periodo del estado de cuenta y fecha máxima de pago.

§  Monto mínimo de pago, desglosando el monto que será utilizado para el pago del principal, los intereses, comisiones y cualquier otro concepto aplicable.

§  Pagos efectuados antes de la fecha de corte, indicando la fecha en que se realizó el pago y el monto.

§  Relación de todos los consumos u otras operaciones, y el establecimiento afiliado en que se realizaron, de ser el caso; fecha y monto de las operaciones registradas en el periodo informado. En el caso de consumos u otras operaciones en cuotas fijas, se deberá indicar el número de cuotas pactadas.

§  La cuota fija total del periodo de facturación, desglosándose cada cuota fija que la compone precisando el monto que corresponde al principal, intereses y las comisiones y gastos, en caso corresponda.

§  Saldo adeudado a la fecha de corte.

§  Monto total y monto disponible en la línea de crédito.

§  Tasa de interés compensatorio efectiva anual aplicable a cada consumo u operación bajo modalidad revolvente o cuotas fijas, así como la tasa de interés moratorio efectiva anual o penalidad por incumplimiento aplicable a la fecha del estado de cuenta. Se presentará la información desagregada por cada consumo u operación en aquellos casos en los que la empresa ofrezca tasas diferenciadas.

§  Fecha en la cual se hará el cargo por la renovación de la membresía, el periodo al que corresponde el referido cargo y el monto correspondiente, en caso se realicen cobros por este concepto.

§  Se incluirá en el anverso  en forma destacada y fácilmente identificable, con tipo de letra sombreado o resaltado y con un tamaño no menor a tres (3) milímetros de acuerdo con el siguiente texto:

 

"INFORMACIÓN IMPORTANTE:* Si solo realiza el pago mínimo de su deuda en soles y no realiza más operaciones, esta se cancelará en ____ meses, pagando S/. _____ de intereses y S/._____ por comisiones y gastos. Si solo realiza el pago mínimo de su deuda en dólares y no realiza más operaciones, esta se cancelará en ____ meses, pagando US$_____ de intereses y US$_____ por comisiones y gastos".

*La información referida a la deuda en dólares americanos se presentará en caso resulte aplicable.

 

§  La información que se detalla a continuación deberá ser presentada en el estado de cuenta con un tamaño no menor a tres (3) milímetros:

–        "La información referida al cálculo del pago mínimo y sus ejemplos se encuentra a su disposición a través de los siguientes canales ___________________".

–        "Si hubiera pactado la posibilidad de: a) disposición de efectivo; b) compras, consumos o pagos por internet a través de una página web distinta a la de la empresa; o, c)
consumos u operaciones en el exterior con presencia física de la tarjeta, recuerde que tiene el derecho de solicitar su supresión a través de los siguientes canales________."

 

7.       El estado de cuenta debe ser remitido o puesto a disposición de los titulares de tarjetas de crédito por lo menos mensualmente, a través de uno o ambos de los mecanismos, a elección del titular:

§  Medios físicos (remisión al domicilio señalado por el titular).

§  Medios electrónicos (por medio de la presentación de dicha información a través de la página web, correo electrónico, entre otros).

 

Las empresas y los titulares podrán pactar que no se remita o ponga a disposición el estado de cuenta, en caso no exista saldo deudor.

El plazo de entrega de los estados de cuenta es de no menos de cinco (5) días hábiles previos a su fecha máxima de pago. Los titulares podrán observar el contenido de los estados de cuenta dentro de un plazo no menor a los treinta (30) días siguientes contados de la fecha de entrega.

En caso de incumplimiento en el pago por más de cuatro (4) meses, cesará la obligación de las empresas de remitir los estados de cuenta, salvo pacto en contrario.

Transcurrido el plazo de treinta (30) días antes referido o el que se hubiese pactado, se presume que se ha agotado la vía interna para presentar reclamos sobre el estado de cuenta en las empresas, sin perjuicio de los reclamos en las instancias administrativas, judiciales y/o arbitrales correspondientes.

 

TARJETAS DE DEBITO

8.       Se definen como el instrumento que permite realizar operaciones con cargo a depósitos previamente constituidos. Estas operaciones son: adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones, efectuar el retiro de los depósitos realizados a través de los canales puestos a disposición por la empresa emisora u otros servicios asociados, dentro de los límites y condiciones pactados, debitándose los montos correspondientes de sus depósitos.

 

9.       La información mínima que deben tener las tarjetas de débito es la siguiente

§  Denominación social o nombre comercial de la empresa; e identificación del sistema de tarjeta de débito (marca) al que pertenece.

§  Número.

§  Fecha de vencimiento.

§  Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

 

Son intransferibles.

El plazo de vigencia no podrá exceder de cinco (5) años.

 

10.    Son servicios asociados a las tarjetas de débito:

A.      Operaciones de compra, consumos o pagos por internet a través de una página web distinta a la de la empresa.

B.       Consumos u operaciones efectuadas en el exterior con presencia física de la tarjeta.

C.       Otras previstas por la empresa, en los contratos.

Pueden otorgarse al momento de contratar o posteriormente.

Deben establecer mecanismos simples para su supresión o reactivación a voluntad del titular.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte de su contenido.

 

11.    El importe de bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, se cargarán de acuerdo con las órdenes de pago que este suscriba o autorice.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.

 

MEDIDAS DE SEGURIDAD

12.    Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las siguientes medidas:

A.       Reglas de seguridad definidas en el chip de las tarjetas para verificar la autenticidad de la tarjeta y validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación.

B.       Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras.

C.       En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. También se incluirán límites al número de operaciones consecutivas.

D.       Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.

Las tarjetas que se otorguen como consecuencia de la contratación de una cuenta básica, y exclusivamente para el uso de dicha cuenta, no se encuentran obligadas a uso de tarjetas con circuito integrado o chip ni la implementación de obligaciones para puesta a disposición de tarjetas con circuito integrado o chip.

13.    Respecto a los usuarios, las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad:

§   Entregar la tarjeta y adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

§   En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave.

§   En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera.

§   Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

§   Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.

§   En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse.

 

14.    Respecto al monitoreo y realización de las operaciones, las empresas deben:

§  Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.

§  Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.

§  Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones.

§  Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.

§  Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor.

§  En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

 

15.    Medidas en materia de seguridad de la información. Serán aplicables las normas vigentes emitidas por la Superintendencia sobre gestión de seguridad de la información y de continuidad del negocio.

En torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad:
 

§  Implementar y mantener la configuración de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados.

§  Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología.

§  Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio.

§  Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas.

§  Implementar y actualizar software y programas antivirus en computadores y servidores.

§  Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas.

§  Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario.

§  Implementar políticas de asignación de un identificador único a cada persona que acceda a través de software a los datos de los usuarios.

§  Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros.

§  Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios.

§  Efectuar análisis de vulnerabilidades periódicos a la red interna y pruebas de penetración externas e internas, así también luego de cambios significativos en la red o sistemas informáticos.

§  Implementar lineamientos y procedimientos de seguridad de la información específicos, incluyendo un programa formal de capacitación en seguridad de la información, en función a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violación de seguridad que sea probado anualmente.

 

MEDIDAS DE SEGURIDAD EN LOS NEGOCIOS AFILIADOS

16.    Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, así como para dar cumplimiento a las condiciones de uso por parte de los operadores o establecimientos afiliados.

En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, deberán asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos:

A.       Contar con procedimientos de aceptación de las operaciones, incluyendo entre otros la verificación de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable.

B.       No guardar o almacenar en bases de datos manuales o computarizadas la información de la tarjeta, más allá de utilizarla para solicitar la autorización de una operación.

C.       Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable.

OBLIGACIONES ADICIONALES DE LAS EMPRESAS

17.      Mecanismo de comunicación a disposición de los usuarios, incluyendo infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deberá encontrarse disponible las veinticuatro (24) horas del día, todos los días del año.

 

Se deberán registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se deberá generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, se deberá enviar al titular de las tarjetas una copia del registro de la comunicación efectuada, a través de medios físicos o electrónicos, según elección del propio usuario.
Esta información debe encontrarse publicada en la parte inicial de la página web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea fácilmente identificable.
Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos.
 

18.    Operaciones que pueden corresponder a patrones de fraude: Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos:

§  Mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude.

§  Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario.

 

19.      Responsabilidad por operaciones no reconocidas: Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas serán responsables de demostrar que las operaciones fueron autenticadas y registradas.

El usuario no es responsable de ninguna pérdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad:

§  Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene.

§  Por incumplimiento de mecanismos de comunicación y disposición de los usuarios.

§  Cuando las tarjetas hayan sido objeto de clonación.

§  Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones.

§  Por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan.

§  Cuando se haya producido la suplantación del usuario en las oficinas.

§  Operaciones denominadas micropago, pactadas con el titular.

§  Operaciones realizadas luego de la cancelación de la tarjeta o cuando esta haya expirado.

En caso el usuario no se encuentre conforme con los fundamentos efectuados por la empresa para no asumir responsabilidad por las operaciones efectuadas, podrá presentar un reclamo o denuncia, de acuerdo con lo establecido por el marco normativo vigente.

 

20.    Está prohibido el traslado de costos por la contratación de seguros y/o creación de mecanismos de protección o contingencia como gasto o comisión, según corresponda.

 

21.    En caso de anulaciones de tarjetas, con excepción de los casos de extravío o sustracción, las empresas procurarán la devolución física de la tarjeta encargándose de su destrucción en presencia del titular o del usuario. De la misma forma cuando se expidan duplicados o nuevas tarjetas en reemplazo de las deterioradas, o en caso de la resolución o término del contrato suscrito. En caso de que la devolución física de la tarjeta no sea posible, el titular o usuario de esta será responsable de su destrucción. Las empresas deberán comunicar a los establecimientos afiliados la invalidez en los casos de tarjetas anuladas o sustituidas antes del término de su vigencia.

 

22.    Las empresas deberán contar con manuales relacionados con la expedición y administración de tarjetas, considerando para tal efecto el cumplimiento de las obligaciones desarrolladas en el Reglamento. Dichos manuales deberán incluir los procedimientos, plazos, controles y medidas de seguridad utilizados en la elaboración física, asignación de clave, transporte, entrega y custodia de las tarjetas.

La resolución entrará en vigencia el 1 de abril de 2014. Las empresas tendrán los siguientes plazos máximos para cumplir con las exigencias del Reglamento:

 

1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip, debiendo darse la posibilidad a los usuarios de cambiar sus tarjetas con banda magnética por tarjetas con chip.

2. Para implementar los servicios asociados a las tarjetas, el contenido mínimo de los estados de cuenta, medidas de seguridad para las operaciones con riesgo de fraude y medidas de seguridad respecto del monitoreo y realización de las operaciones, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2014.

3. A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos puedan autenticar las tarjetas emitidas a través del uso del chip o circuito integrado. Las empresas que permitan operaciones sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.

4. Para implementar las medidas de seguridad de la información, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015.