Ministerio de Tecnologías de la Información y las Comunicaciones

RESOLUCIÓN 970 DE 2011 

(Mayo 17)

“Por la cual se fijan los requisitos de tipo operativo para la obtención del título habilitante como operador de servicios postales de pago y se dictan otras disposiciones”.

(Nota: Derogada por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

El Director de Comunicaciones del Ministerio de Tecnologías de la Información y las Comunicaciones,

en ejercicio de sus facultades legales y, en especial, de las que le confieren la Ley 1369 de 2009, el Decreto 091 de 2010, y la Resolución Minitic 517 de mayo 14 de 2010 artículo 2º numeral 14, y

CONSIDERANDO:

Que el artículo 1º de la Ley 1369 de 2009 se indica que el objetivo de la misma es señalar el régimen general de los servicios postales, considerados estos como un servicio público en los términos del artículo 365 de la Constitución Política, cuya prestación estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad.

Que el artículo 2º de la citada ley establece dentro de los objetivos de intervención del Estado, el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales.

Que en cumplimiento de lo dispuesto por el artículo 7º de la Ley 1340 de 2009, reglamentado por el Decreto 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio mediante comunicación con registro número 456345 de 18 de abril de 2011, este proyecto de resolución con el objeto de tener concepto previo de esa entidad sobre el mismo.

Que mediante oficio Radicado bajo el número 413325 del 12 de mayo de 2011, el superintendente delegado para la protección de la competencia, se pronunció sobre el proyecto de resolución, en los siguientes términos: “(...) El proyecto pretende establecer requisitos de tipo operativo para los servicios postales de pago, lo cual está permitido por el literal c) del artículo 4º de la ley. La justificación parece estar en la naturaleza especial de estos servicios, pues al involucrar el manejo y transporte de dinero y recursos públicos, aun cuando no pueda considerarse un servicio financiero propiamente dicho en los términos del EOSF, amerita cierto grado de control previo sobre la estructura administrativa y la infraestructura tecnológica con la que deben contar estos operadores.

No obstante, al tratarse de servicios de corto plazo y de entrega inmediata, a diferencia de los servicios financieros de largo plazo, los requerimientos tecnológicos deberían ser menores a los exigidos a una entidad financiera (...)”.

Que sin embargo, en cuanto a la posición fijada por el superintendente delegado para la protección de la competencia mediante el concepto en estudio, este ministerio se aparta del mismo porque si bien es cierto el servicio postal de pago no es un servicio financiero, a través de este se ordenan pagos de dineros en efectivo, por lo tanto la plataforma tecnológica que vaya a ser implementada por el operador postal de pago, debe ser lo suficientemente segura de tal suerte que proteja a los usuarios de este servicio de los riesgos propios de cualquier sistema informático, además también se debe garantizar la continuidad de las operaciones y esto solo se logra mediante estructuración de unos requerimientos tecnológicos estandarizados y confiables.

De otro lado la definición establecida en dicho concepto referente a que el servicio postal de pago es un servicio de corto plazo, no deviene de la Ley 1369 de 2009.

Adicionalmente al tenor de lo dispuesto en el artículo 1º de Ley 1369 de 2009, los servicios postales son un servicio público en los términos del artículo 365 de la Constitución Política, sometido a la intervención del Estado y con sujeción a los principios de calidad, eficiencia y universalidad, es por ello que el Ministerio de Tecnologías de la Información y las Comunicaciones al establecer la reglamentación para el servicio postal de pago tiene como finalidad dar cumplimiento a estos principios.

Que el artículo 4º de la ley en mención establece que para ser operador postal se requiere estar habilitado por el Ministerio de Tecnologías de la Información y las Comunicaciones y estar inscrito en el registro de operadores postales.

Quienes se encuentren interesados en obtener la habilitación para ser operador postal de pago, deben cumplir con los requisitos señalados en el artículo 4º de la citada Ley 1369, entre otros, el de definir las características del servicio a prestar en cuanto al ámbito geográfico en el cual desarrollará su actividad, tipo de servicio a prestar, y estructura operativa que permita asegurar la idoneidad y capacidad para prestar el servicio, misma que será verificada por el Ministerio de Tecnologías de la Información y las Comunicaciones.

Que para verificar las condiciones operativas que aseguren la idoneidad y capacidad en la prestación del servicio a que se refiere la norma transcrita, se hace necesario que el Ministerio de Tecnologías de la Información y las Comunicaciones las defina previamente.

Que como quiera que los servicios postales de pago presuponen la existencia de una red postal, se requiere acreditar que en dicha red se prestan servicios de admisión, clasificación y distribución de cualquier clase de objeto postal.

Que conforme a la delegación conferida mediante Resolución Ministerial 517 de 2010, artículo 2º numeral 14, corresponde al director de comunicaciones del Ministerio de Tecnologías de la Información y las Comunicaciones, determinar y verificar los requisitos de tipo patrimonial y operacional exigibles a los interesados en la obtención de título habilitante para la prestación de servicios postales.

Que en virtud de lo expuesto,

RESUELVE:

ART. 1º—Objeto. La presente resolución tiene por objeto establecer cuáles son las condiciones operativas que aseguran la idoneidad y capacidad en la prestación del servicio postal de pago, las cuales serán verificadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, acorde con lo expuesto en la parte motiva de esta providencia.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 2º—Ámbito geográfico y servicios a prestar. Los interesados en obtener la habilitación a que hace referencia la presente resolución deberán señalar el ámbito geográfico y la cobertura dentro del mismo, para la prestación de los servicios postales de pago.

Así mismo deberán acreditar que en los puntos de atención al público se recepcionan y entregan además de los servicios postales de pago, los servicios de correo y mensajería expresa.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 3º—Estructura operativa. La estructura operativa comprende la estructura administrativa, así como la infraestructura física y tecnológica del interesado.

3.1. Estructura administrativa. Las personas jurídicas interesadas en obtener la habilitación como operador de servicios postales de pago, deberán contar con una estructura administrativa acorde con su plan de negocios y el volumen de las operaciones proyectadas.

La estructura administrativa que se pretenda adoptar deberá garantizar la adecuada administración del negocio, incluida la gestión de los riesgos a los cuales se encuentra expuesto el operador en desarrollo de su actividad. Dicha estructura en todo caso deberá contener, como mínimo, lo siguiente:

a) Organigrama de la estructura del solicitante.

b) Una descripción detallada del área encargada de administrar los riesgos junto con los nombres, funciones y responsabilidades de quienes desempeñen dichos cargos, incluido el gestor de riesgos, y la acreditación de experiencia mínima y capacitación en el tema.

3.2. Infraestructura tecnológica. Las personas jurídicas interesadas en obtener la habilitación como operador de servicios postales de pago deberán contar con una infraestructura tecnológica que les posibilite, al mismo tiempo, el debido manejo y control del conjunto de sus operaciones en procura de lograr su correcto registro y el oportuno reporte de la información que requiera tanto el ministerio como las demás autoridades competentes. Para tal efecto los interesados deberán contar con los siguientes requerimientos:

3.2.1. Infraestructura, protocolos y sistemas:

a) Disponer de un centro de cómputo con al menos un (1) estándar de calidad.

b) Disponer de un data center alterno como contingencia, con disponibilidad de la información que cumpla con los estándar de calidad ISO 27000, o el último estándar disponible.

c) Generar en cada trimestre pruebas periódicas de la información que se aloje en el data center alterno, con el fin de verificar la veracidad de la misma.

d) Disponer de un software de replicación en línea y tiempo real de la base de datos hacia el sitio alterno.

e) Tanto el sitio principal como el sitio alterno deben contener los mismos equipos de cómputo y dispositivos de red en un esquema redundante o clúster.

f) Deben estar implementados sistemas UTM (gestión unificada de amenazas) que permitan una prevención y detección de incidentes de seguridad a nivel perimetral en la red.

g) Disponer de un sistema de monitoreo y detección de fallas de toda la plataforma tecnológica.

h) Descripción de la arquitectura de la plataforma tecnológica a nivel de servidores, dispositivos, flujos de datos y la red de comunicaciones.

i) Debe existir un plan de continuidad de negocio basado en una norma reconocida internacionalmente, que permita realizar las operaciones, cuando se presentan eventos adversos y determinar la capacidad de retorno a la normalidad.

j) Generar tiempos de respuestas al momento de generar peticiones, no mayores a veinte (20) segundos durante el proceso de recepción y pago de giros.

k) Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo lo pueda realizar personal debidamente autorizado.

3.2.2. Seguridad de datos y usuarios:

a) Tener implementadas políticas de control de usuarios en cuanto a la autenticación, monitoreo y gestión de actividades.

b) Gestionar la seguridad de la información, para lo cual podrán tener como referencia los estándares ISO 17799 y 27001, o el último estándar disponible.

c) Tener implementados sistemas de encriptación de la información para el tráfico de los datos.

d) Tener implementados protocolos seguros de comunicación para el tráfico de los datos.

e) Se debe disponer de un módulo que permita la administración de perfiles, roles de usuarios y gestión de contraseñas.

f) La arquitectura de software debe tener interfaces claramente definidas. Debe existir documentación de los procesos de diseño, pruebas, implementación y puesta en producción.

3.2.3. Interfaz empresa-usuario.

Utilizar un software para el registro de las operaciones que cumpla con los siguientes requisitos:

a) Contar con módulos que permitan una auditoría detallada en todas sus transacciones y procesos.

b) Garantizar la confidencialidad, integridad y disponibilidad de los datos de los clientes.

c) Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.

d) Presentar un protocolo para el acceso a la base de datos por parte del administrador del sistema.

e) Generar registro electrónico de las operaciones, que no pueda ser modificado o borrado y en los que se deberá incluir al menos la fecha, hora y monto del giro, el número interno asignado por el sistema al giro, ubicación física de la ventanilla, así como la información suficiente que permita la identificación del personal que realizó la operación.

3.2.4. Reglas sobre actualización de software.

Con el propósito de mantener un adecuado control sobre el software, las entidades deberán cumplir, como mínimo, con las siguientes medidas:

a) Mantener tres ambientes independientes: uno para el desarrollo de software, otro para la realización de pruebas, y un tercer ambiente para los sistemas en producción. En todo caso, el desempeño y la seguridad de un ambiente no podrán influir en los demás.

b) Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas.

c) Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas.

d) Contar con procedimientos y controles para el paso de programas a producción. El software en operación deberá estar catalogado.

e) Mantener documentada y actualizada, al menos, la siguiente información: parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones; versión de los programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas de información; y procedimientos de instalación del software.

3.2.5. Autenticación de usuarios. Los sistemas informáticos de los operadores de servicios de pagos deberán autenticar a los usuarios remitentes y destinatarios de los giros, mediante el uso de un identificador individual o factores biométricos que cumplan las siguientes características:

a) Factor individual: Se considera factor individual la captura de datos personales del usuario, que contemplen al menos los siguientes campos: (i) nombre y apellidos; (ii) clase y número de documento de identificación; (iii) lugar de expedición del documento; (iv) dirección de residencia; (v) teléfono fijo o móvil; (vi) ocupación.

b) Factor biométrico: En caso de utilizar lectores biométricos para la autenticación de los usuarios, dichos lectores deberán tener mecanismos que aseguren que la persona que solicita el servicio, corresponde a la misma previamente registrada ante el operador.

3.2.6. Bloqueo automático de los factores de autenticación. Los interesados en obtener la habilitación como operadores deberán establecer esquemas de bloqueo automático de los factores de autenticación cuando se intente realizar una operación, ya sea por los factores arrojados por el sistema de administración del riesgo de LA/FT, o cuando se trate de ingresar al sistema de forma incorrecta.

3.2.7. Bases de datos. El acceso a la información relativa a los usuarios y sus transacciones a través de los operadores postales de pago, debe contar con niveles de seguridad, de modo que esta información solo puede ser entregada a entidades de inspección, vigilancia y control o con facultades para solicitar el reporte de información.

3.3. Infraestructura física. Se exigirá el cumplimiento de los siguientes requisitos:

3.3.1. Puntos de atención al público. Deberán tener en lugar visible las condiciones de prestación de los servicios postales que prestan, incluidas las tarifas. Así mismo deberán contar con un aviso que contenga la siguiente información: “vigilado y controlado por el Ministerio de Tecnologías de la Información y las Comunicaciones”.

3.3.2. Área de peticiones, quejas y reclamos. Se deberá disponer de un área para la atención de las peticiones, quejas y reclamos (PQR), que se presenten bien telefónicamente o a través de medios electrónicos.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 4º—Actividades operativas realizadas a través de terceros. Las personas jurídicas que pretendan obtener el título habilitante como operador de servicios postales de pago que contraten a terceros para la prestación de alguna de las actividades operativas involucradas en la prestación del mismo, deberán comunicar la siguiente información al Ministerio de Tecnologías de la Información y las Comunicaciones:

a) Nombre, identificación y domicilio del tercero;

b) Modalidad jurídica de la contratación y modelo de los contratos utilizados;

c) Descripción de los mecanismos de control interno que vayan a utilizar los terceros a fin de cumplir las obligaciones que establecen las normas para la prevención y administración de los riesgos a los que está expuesto sobre la actividad postal de pago;

d) El nombre y la identificación de los directores y personas responsables de la gestión del tercero que vaya a utilizarse en la prestación de servicios postales, así como la prueba de que se trata de personas con los conocimientos y capacidades necesarios.

Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la entrada en vigencia del presente artículo, por lo menos, los siguientes aspectos:

e) Niveles de servicio y operación.

f) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.

g) Propiedad de la información.

h) Restricciones sobre el software empleado.

i) Normas de seguridad informática y física a ser aplicadas.

j) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de equipos o información.

k) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.

Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que co­rresponden a los servicios convenidos, funcionen en las condiciones esperadas.

Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.

Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados.

La contratación de terceros para la realización de funciones operativas deberá realizarse de modo tal que no afecte significativamente ni a la calidad del control interno de dichas funciones por parte del operador ni a la capacidad del Ministerio de Tecnologías de la Información y las Comunicaciones, para controlar que el operador de servicios postales de pago cumplen todas las obligaciones que establece la Ley 1369 de 2009, la presente resolución y demás normas que le sean aplicables.

La persona jurídica en la que se apoye para la realización de los servicios postales de pago, debe tener contemplado dentro su objeto social la realización de actividades de apoyo a un operador de servicios postales de pago debidamente habilitado por el Ministerio de Tecnologías de la Información y las Comunicaciones.

Cuando con posterioridad a su habilitación un operador pretenda contratar con terceros funciones operativas relacionadas con los servicios postales de pago, deberá informar de ello al Ministerio de Tecnologías de la Información y las Comunicaciones.

La contratación de terceros para la ejecución de funciones operativas no dará lugar a la delegación de responsabilidad por parte de la alta dirección o de cualquiera de los funcionarios del operador a quienes la presente resolución y demás normas aplicables les hayan asignado determinada responsabilidad y tampoco alterará las relaciones y obligaciones del operador con respecto a sus usuarios ni con respecto al Ministerio de Tecnologías de la Información y las Comunicaciones.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 5º—Acreditación del cumplimiento de los requisitos. A efectos de acreditar el cumplimiento de los requisitos de que trata la presente resolución se deberá allegar la siguiente documentación:

a) En cuanto al ámbito geográfico y los servicios a prestar deberá presentarse una relación de los puntos de atención en operación o que se proyectan abrir durante el primer año.

b) En relación con la acreditación de prestar conjuntamente con los servicios postales de pago, los servicios de correo y de mensajería expresa, se deberá allegar convenio celebrado con servicios postales nacionales para el primero de ellos, y con cualquier operador de mensajería expresa debidamente habilitado para el segundo, en estos convenios debe constar que se admitirán y distribuirán dichos servicios en al menos el 50% de los puntos de atención al público del operador postal de pago.

c) En relación con el requisito sobre estructura operativa, su acreditación se hará con base en los soportes solicitados en el punto 3.1.; en relación con la infraestructura física mediante certificación suscrita por el revisor fiscal.

d) Frente a la infraestructura tecnológica la certificación bajo la gravedad de juramento, debe ser expedida por una firma consultora que tenga dentro de su objeto la prestación de servicios de diseño, montaje y mantenimiento de redes de comunicaciones o electrónicas conforme a los estándares de calidad ISO 17799 y 27001, o el último estándar disponible.

e) Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 6º—Negativa de la solicitud. En caso que el Ministerio de Tecnologías de la Información y las Comunicaciones, encuentre que la información facilitada no es veraz o no se encuentra ajustada a los requisitos solicitados, procederá a negar la habilitación a los interesados.

(Nota: Derogado por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 7º—Derogatorias y vigencias. La presente resolución deroga las normas que le sean contrarias y rige a partir de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 17 de mayo de 2011.

(Nota: Derogada por la Resolución 3680 de 2013 artículo 15 del Ministerio de Tecnologías de la Información y las Comunicaciones)