ponencia - Asociación de Bancos de Puerto Rico

Anuncio
ASOCIACIÓN DE BANCOS DE PUERTO RICO
3 de febrero de 2016
Hon. Luis Daniel Rivera Filomeno
Presidente
Comisión de Relaciones Laborales, Asuntos del Consumidor
y Creación de Empleos
Senado de Puerto Rico
El Capitolio
San Juan, Puerto Rico
RE: RESOLUCIÓN DEL SENADO 1321
Estimado senador Rivera Filomeno:
Atendiendo a su petición comparece la Asociación de Bancos de Puerto Rico
(“ABPR”) a ofrecer sus comentarios en torno a la Resolución del Senado 1321 (la
“Resolución”) la cual ordena a esta honorable Comisión a realizar una investigación
sobre la seguridad del sistema de procesamiento de transacciones comerciales
ofrecidos por la empresa EVERTEC, en específico detalles a la seguridad del
procesamiento de datos, las tarifas impuestas a sus clientes y el procesamiento de
pagos a través de tarjetas de crédito y débito en Puerto Rico.
La ABPR afirma que el sistema de pagos en nuestro país, que incluye los pagos
mediante el uso de tarjetas de débito y crédito, es uno costo eficiente, confiable,
seguro y conveniente. Veamos.
1.
¿Qué conlleva el Procesamiento de una Transacción de Pago con
Tarjeta de Crédito y Débito?
El uso por los consumidores de tarjetas de crédito y débito como medio para
el pago de bienes y servicios se ha convertido en el método de mayor
aceptación debido a las ventajas que ello representa no sólo para el
consumidor sino para los comerciantes también.
Cada transacción de crédito o débito pasa por un complejo sistema en su
procesamiento que típicamente envuelve cuatro (4) partes principales: el
“tarjetahabiente” que realiza el pago utilizando la tarjeta; el “comerciante”
que acepta el pago a través de la tarjeta; el “banco emisor” que auspicia o
emite la tarjeta al tarjetahabiente y; el “banco adquirente” que es el banco
del comerciante que recibe los fondos del tarjetahabiente y los deposita en la
208 AVE. PONCE DE LEÓN
SUITE 1014
SAN JUAN PR 00918-1002
POPULAR CENTER BUILDING
SUITE 1014
HATO REY · PUERTO RICO
TEL. (787) 753-8630
FAX (787) 754-6022
www.abpr.com
[email protected]
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 2
3 de febrero de 2016
cuenta del comerciante, consumado así el pago de la transacción. En
ocasiones, tanto el banco emisor como el banco adquirente, pueden sub
contratar a un procesador de pagos independiente para efectuar las
funciones de procesamiento que le corresponden. Además, típicamente
estas transacciones son procesadas a través de una “red”, generalmente
asociada a MasterCard o Visa. La red transmite la información relativa a la
transacción electrónicamente entre el tarjetahabiente/banco emisor y el
comerciante/banco adquirente.
Prácticamente todas las transacciones de tarjetas pueden clasificarse en una
de dos categorías: aquellas que requieren un número secreto (PIN) y las que
requieren firma. Cada una de estas categorías de transacciones emplea
métodos diferentes de autenticación. Generalmente, las redes que requieren
firma utilizan la misma estructura para procesar transacciones de débito y
crédito y las que requieren PIN utilizan infraestructura que envuelve ATMs.
Las transacciones de tarjeta, independientemente de la categoría, se
procesan en tres etapas: autorización, despacho (“clearance”) y liquidación
(“settlement”).
La autorización se inicia en el momento en que el tarjetahabiente desliza su
tarjeta por el terminal, lo que envía una solicitud electrónica de autorización
al banco adquirente, en la que se transmite la información sobre la cuenta
del tarjetahabiente y el valor de la transacción. El banco adquirente remite
dicha solicitud a través de la red al banco emisor. Una vez el banco emisor
determina que el tarjetahabiente posee fondos o crédito suficiente en su
cuenta para completar la transacción y que la transacción aparenta ser
genuina, envía respuesta al comerciante a través de la red, aprobando o
desaprobando la transacción. Aun cuando el banco emisor aprueba la
transacción, ésta deba ser “despachada” y “liquidada” para que quede
consumada y los fondos sean depositados en la cuenta del comerciante.
El “despacho” consiste en la solicitud formal de pago enviada por el
comerciante a través de la red al banco emisor. En las transacciones que
media un PIN la autorización y el “despacho” ocurre simultáneamente ya que
el tarjetahabiente generalmente entra su PIN inmediatamente luego de pasar
su tarjeta por el terminal y tanto la autorización como el “despacho” se
efectúan simultáneamente. En las transacciones en que media una firma se
solicita la autorización primero y luego “se despachan” ya que generalmente
el tarjetahabiente firma luego que el banco emisor ha aprobado la
transacción.
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 3
3 de febrero de 2016
El paso final en el procesamiento del pago por tarjeta, la “liquidación” ocurre
con la transferencia de los fondos del banco emisor al banco adquirente.
Como resultado de la “liquidación”, la cuenta del tarjetahabiente es debitada
(en las transacciones de débito) o el cargo efectuado (en las transacciones de
crédito), y por ende, la transacción ha concluido.
2.
Sobre los Cargos que se Imponen en Relación al Procesamiento de
una Transacción de Pago Electrónico.
En relación a cada transacción de pago con tarjeta, las partes imponen varios
tipos de cargos. El banco emisor impone al banco adquirente un cargo
conocido como tarifa de intercambio (“interchange fee”), para compensar al
banco emisor por su función en el proceso de la transacción. Por su parte, la
red en cuestión, impone a ambos, al banco emisor y al banco adquirente, lo
que se conoce como un “network processing fee”, también conocido como
“switch fee”, que compensa a la red por su participación en el proceso de la
transacción. Finalmente, el banco adquirente impone al comerciante lo que
se conoce como el “merchant discount” o el “merchant fee”, que corresponde
a la diferencia entre el valor de la transacción y la cantidad que el banco
adquirente acredita a la cuenta del comerciante. Ninguno de estos cargos se
impone al consumidor por reglamentación específica de las redes. Estos
cargos son parte del costo del negocio para el comerciante.
El “merchant fee” incluye, entre otros, el costo total que le impone al banco
adquirente el banco emisor, la porción correspondiente al banco adquirente
del “network processing fee” y otros costos incurridos por el banco
adquirente en el proceso de la transacción, tales como: costo de fondos;
manejo de riesgos de crédito relacionados a las transacciones; servicios de
contra cargos; mantenimiento de inventario de terminales de puntos de
venta; manejo de data financiera; riesgo transaccional tales como fraudes.
3.
Reglamentación Aplicable a la Tarifa de Intercambio.
Es preciso mencionar que el Dodd-Frank Wall Street Reform and Consumer
Protection Act (Pub. L. 111-203, 124 Stat. 1376-2223, July 21, 2010)
conocida como “Ley Dodd-Frank”, introdujo en su Sección 1075 la conocida
Enmienda Durbin, la que instruyó a la Junta de la Reserva Federal (el
“FED”), a promulgar reglamentación en relación a la tarifa de intercambio en
tarjetas de débito y establecer una prohibición de acuerdos de exclusividad
en relación a las redes. De acuerdo a dicho mandato, el FED adoptó la
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 4
3 de febrero de 2016
reglamentación en cuestión, la cual entró en vigor el 1 de octubre de 2011. 1
Dicho reglamento estableció un límite en la cantidad de la tarifa de
intercambio que los bancos con activos en exceso de $10 billones pueden
incluir como parte del cargo impuesto a los comerciantes en transacciones de
débito. Se exceptúan de las limitaciones establecidas los cargos impuestos
por bancos emisores en relación a ciertos programas administrados por el
gobierno. El cargo máximo establecido por el FED se compone de lo
siguiente: un cargo base de 21 centavos por transacción para cubrir los
costos de procesamiento del banco emisor más un ajuste de hasta cinco (5)
puntos base del monto de la transacción, y para cubrir pérdidas potenciales
por fraude, en el caso de bancos emisores que adopten políticas y
procedimientos para prevenir el fraude, hasta un centavo adicional. Este
cargo máximo aplica tanto a transacciones con firmas como aquellas en las
que media un PIN.
Además, el reglamento establece normas que prohíben ciertas restricciones
impuestas por las redes a los comerciantes. Como resultado, las redes ya no
pueden prohibir a los comerciantes ofrecer descuentos por el uso de tarjetas
de débito versus tarjetas de crédito. Esto les permite a los comerciantes
proveer a los consumidores estímulos para utilizar métodos de pago menos
costosos. También, los bancos emisores deben proveer al menos dos redes
(no afiliadas) para las transacciones de débito y se les prohíbe inhibir al
comerciante su habilidad de enrutar (“routing”) las transacciones de débito.
Esto le provee al comerciante la habilidad de poner enrutar las transacciones
de débito a través de redes menos costosas.
Al establecer dicho cargo máximo, el FED consideró el mandato establecido
en el la Ley Dodd Frank a los efectos de que dicho cargo sea razonable y
proporcional a los costos incurridos por el banco emisor respecto a las
transacciones.
4.
La Práctica Generalizada en Puerto Rico.
Cónsono con lo anterior, la práctica generalizada en Puerto Rico ha sido que
los cargos impuestos a los comerciantes por el procesamiento de
transacciones de pago con tarjetas de débito y crédito son proporcionales a
los costos incurridos en el procesamiento de las transacciones. Así, notamos
que cada banco emisor establece el monto del cargo basado en varios
factores tales como su estructura de costos, el negocio del comerciante y los
riesgos que este conlleva y principalmente, considerando las fuerzas del
1
12 CFR Part 235.
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 5
3 de febrero de 2016
mercado. Existen múltiples competidores en este renglón del negocio y, por
ende, la imposición de cargos a este nivel lo dicta principalmente las fuerzas
del mercado.
Nuestros bancos están sujetos a amplia supervisión por parte de sus
reguladores federales 2 y de su regulador estatal, la Oficina del Comisionado
de Instituciones Financieras, en cuanto al cumplimiento de todas las leyes y
reglamentos locales y estatales aplicables, incluyendo, en este caso, la
referida reglamentación del FED sobre la tarifa de intercambio.
Los
reguladores federales incluyen como parte de los exámenes rutinarios que
realizan a nuestros bancos miembros, así como a los proveedores de
servicios de procesamiento de pagos, la validación de las fórmulas utilizadas
para el cómputo de la tarifa de intercambio. Además, nuestros bancos
mantienen políticas y controles internos para garantizar el cumplimiento por
parte de sus suplidores de servicios de procesamiento de pagos, con la
referida reglamentación.
5.
La Seguridad en el Procesamiento de Datos.
Conforme antes indicado, nuestros bancos miembros forman parte del
sistema bancario de los Estados Unidos y como tal, están sujetos a estrictas
reglamentaciones en lo concerniente a su operación. En lo relativo a la
seguridad de los datos e información de los clientes, las agencias
supervisoras federales han adoptado guías que le exigen a los bancos
establecer estándares apropiados conducentes a la protección de los récords
e información de sus clientes 3 y a establecer programas para responder a
eventos de acceso no autorizados a los datos de sus clientes (en conjunto,
las “Guías”). Los objetivos de dichos estándares son:
•
2
3
asegurar la seguridad y confidencialidad de la información de los
clientes;
Los reguladores federales son el “Federal Deposit Insurance Corporation” en el caso de los bancos
asegurados, el “Board of Governors of the Federal Reserve System”, en el caso de los bancos que
son miembros de dicho sistema y el “Comptroller of the Currency” en el caso de los bancos
nacionales).
Véase Appendix B to Part 364 – Interagency Guidelines Establishing Information Security Standards
y el Supplement A to Appendix B to Part 364 – Interagency Guidance a Response Programs for
Unauthorized Access to Customer Information and Customer Notice. Además, FDIC: FIL – 222001 “Security Standards for Customer Information”; FDIC: FIL-11-2003: New Information
Security Guidance for Examiners and Financial Institutions.
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 6
3 de febrero de 2016
•
protección contra amenazas anticipables a la seguridad e integridad de
dicha información; y
•
protección contra acceso no autorizado o uso de información que
pueda resultar en acceso no autorizado el uso de información de
clientes que pueda resultar en un daño sustancial o inconveniencia al
cliente.
Las Guías requieren que los bancos creen, implanten y mantengan un
Programa de Seguridad de Información (el “Programa”). El Programa debe
incluir salvaguardas administrativos, técnicos y físicos, cónsonos con el
tamaño y complejidad de la institución y la naturaleza y alcance de sus
actividades. Las agencias evaluarán las políticas de seguridad de información
tomando en cuenta los siguientes elementos: Prevención, Detección y
Respuesta.
Dichas Guías también establecen que la Junta de Directores de la institución
tiene un deber continuo de evaluar y supervisar el cumplimiento con el
Programa. A esos efectos, las instituciones deben incluir en el Programa
procedimientos escritos conducentes a:
•
identificar y evaluar los riesgos que puedan afectar la información de
sus clientes.
•
La manera en que tales riesgos deberán ser manejados;
•
la implementación y continua evaluación y pruebas al plan de
seguridad; y
•
ajustes continuos al plan de seguridad tomando en cuenta los cambios
tecnológicos, la sensitividad de la información de los clientes y los
peligros internos y externos a la seguridad de la información.
Así mismo, las Guías requieren se establezca un programa para responder al
acceso no autorizado a los bancos de data de clientes de las instituciones.
Estos programas, entre otros, requieren en el caso que sea aplicable,
notificación al regulador y al cliente, entre otras medidas cautelares.
Nuestros bancos emplean fuertes sumas en la adquisición, implantación y
mantenimiento de los más modernos sistemas tecnológicos para asegurar el
cumplimiento con las Guías, y así asegurar la protección de los datos de
nuestros clientes.
ASOCIACIÓN DE BANCOS DE PUERTO RICO
Hon. Luis Daniel Rivera Filomeno
Página 7
3 de febrero de 2016
Las Guías imponen en las instituciones la obligación de asegurarse que sus
proveedores de servicio han implementado un programa de seguridad
efectivo para proteger la información de sus clientes, y que hayan
implementado sistemas de seguridad consistentes con las Guías. Se le
impone a la institución la obligación de monitorear y efectuar la debida
diligencia para asegurar que sus proveedores de servicio cumplan con las
normas aplicables a las instituciones en la manera establecida en las Guías.
En cuanto a las contrataciones a terceros para proveer servicios, existe una
Guía adoptada por las agencias supervisoras, la que establece las normas
aplicables para la selección y contratación de terceros, tal como sería una
compañía procesadora de datos. 4
Sostenemos que el sistema de pagos existente en Puerto Rico que permite al
comerciante ofrecer métodos de pago tales como tarjetas de créditos y débito, es
eficiente y confiable, y le ofrece al comerciante y a los consumidores, conveniencias
formidables, seguridad y eficiencia. En el caso de los comerciantes, éstos se
benefician del pago garantizado y más rápido en las transacciones en contraste a
los cheques que pueden ser devueltos; mayores volúmenes de venta al proveerle
acceso más rápido y eficiente a un mayor número de clientes; y menos riesgos de
pérdidas por fraude. De otra parte, los consumidores reciben el beneficio de acceso
a sus fondos en todo momento; mejor seguridad al no tener que portar efectivo;
protección contra fraudes y mayor servicio, al poder efectuar compras en todo tipo
de comercio en y fuera de la isla, incluyendo los comercios por el internet.
Así mismo, el sistema de pagos existente beneficia al Estado en la medida en que
provee alternativas al pago en efectivo, lo que tiene el efecto de atraer mayor
número de ciudadanos a la economía formal.
Agradecemos la oportunidad de ofrecer nuestros comentarios en torno a la
Resolución y nos ponemos a su disposición de necesitar información adicional sobre
este asunto.
Muy cordialmente,
Lcda. Zoimé Álvarez Rubio
4
FDIC: FIL-44-2008: Guidance for Managing. Third-Party Risk.
Descargar