ASOCIACIÓN DE BANCOS DE PUERTO RICO 3 de febrero de 2016 Hon. Luis Daniel Rivera Filomeno Presidente Comisión de Relaciones Laborales, Asuntos del Consumidor y Creación de Empleos Senado de Puerto Rico El Capitolio San Juan, Puerto Rico RE: RESOLUCIÓN DEL SENADO 1321 Estimado senador Rivera Filomeno: Atendiendo a su petición comparece la Asociación de Bancos de Puerto Rico (“ABPR”) a ofrecer sus comentarios en torno a la Resolución del Senado 1321 (la “Resolución”) la cual ordena a esta honorable Comisión a realizar una investigación sobre la seguridad del sistema de procesamiento de transacciones comerciales ofrecidos por la empresa EVERTEC, en específico detalles a la seguridad del procesamiento de datos, las tarifas impuestas a sus clientes y el procesamiento de pagos a través de tarjetas de crédito y débito en Puerto Rico. La ABPR afirma que el sistema de pagos en nuestro país, que incluye los pagos mediante el uso de tarjetas de débito y crédito, es uno costo eficiente, confiable, seguro y conveniente. Veamos. 1. ¿Qué conlleva el Procesamiento de una Transacción de Pago con Tarjeta de Crédito y Débito? El uso por los consumidores de tarjetas de crédito y débito como medio para el pago de bienes y servicios se ha convertido en el método de mayor aceptación debido a las ventajas que ello representa no sólo para el consumidor sino para los comerciantes también. Cada transacción de crédito o débito pasa por un complejo sistema en su procesamiento que típicamente envuelve cuatro (4) partes principales: el “tarjetahabiente” que realiza el pago utilizando la tarjeta; el “comerciante” que acepta el pago a través de la tarjeta; el “banco emisor” que auspicia o emite la tarjeta al tarjetahabiente y; el “banco adquirente” que es el banco del comerciante que recibe los fondos del tarjetahabiente y los deposita en la 208 AVE. PONCE DE LEÓN SUITE 1014 SAN JUAN PR 00918-1002 POPULAR CENTER BUILDING SUITE 1014 HATO REY · PUERTO RICO TEL. (787) 753-8630 FAX (787) 754-6022 www.abpr.com [email protected] ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 2 3 de febrero de 2016 cuenta del comerciante, consumado así el pago de la transacción. En ocasiones, tanto el banco emisor como el banco adquirente, pueden sub contratar a un procesador de pagos independiente para efectuar las funciones de procesamiento que le corresponden. Además, típicamente estas transacciones son procesadas a través de una “red”, generalmente asociada a MasterCard o Visa. La red transmite la información relativa a la transacción electrónicamente entre el tarjetahabiente/banco emisor y el comerciante/banco adquirente. Prácticamente todas las transacciones de tarjetas pueden clasificarse en una de dos categorías: aquellas que requieren un número secreto (PIN) y las que requieren firma. Cada una de estas categorías de transacciones emplea métodos diferentes de autenticación. Generalmente, las redes que requieren firma utilizan la misma estructura para procesar transacciones de débito y crédito y las que requieren PIN utilizan infraestructura que envuelve ATMs. Las transacciones de tarjeta, independientemente de la categoría, se procesan en tres etapas: autorización, despacho (“clearance”) y liquidación (“settlement”). La autorización se inicia en el momento en que el tarjetahabiente desliza su tarjeta por el terminal, lo que envía una solicitud electrónica de autorización al banco adquirente, en la que se transmite la información sobre la cuenta del tarjetahabiente y el valor de la transacción. El banco adquirente remite dicha solicitud a través de la red al banco emisor. Una vez el banco emisor determina que el tarjetahabiente posee fondos o crédito suficiente en su cuenta para completar la transacción y que la transacción aparenta ser genuina, envía respuesta al comerciante a través de la red, aprobando o desaprobando la transacción. Aun cuando el banco emisor aprueba la transacción, ésta deba ser “despachada” y “liquidada” para que quede consumada y los fondos sean depositados en la cuenta del comerciante. El “despacho” consiste en la solicitud formal de pago enviada por el comerciante a través de la red al banco emisor. En las transacciones que media un PIN la autorización y el “despacho” ocurre simultáneamente ya que el tarjetahabiente generalmente entra su PIN inmediatamente luego de pasar su tarjeta por el terminal y tanto la autorización como el “despacho” se efectúan simultáneamente. En las transacciones en que media una firma se solicita la autorización primero y luego “se despachan” ya que generalmente el tarjetahabiente firma luego que el banco emisor ha aprobado la transacción. ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 3 3 de febrero de 2016 El paso final en el procesamiento del pago por tarjeta, la “liquidación” ocurre con la transferencia de los fondos del banco emisor al banco adquirente. Como resultado de la “liquidación”, la cuenta del tarjetahabiente es debitada (en las transacciones de débito) o el cargo efectuado (en las transacciones de crédito), y por ende, la transacción ha concluido. 2. Sobre los Cargos que se Imponen en Relación al Procesamiento de una Transacción de Pago Electrónico. En relación a cada transacción de pago con tarjeta, las partes imponen varios tipos de cargos. El banco emisor impone al banco adquirente un cargo conocido como tarifa de intercambio (“interchange fee”), para compensar al banco emisor por su función en el proceso de la transacción. Por su parte, la red en cuestión, impone a ambos, al banco emisor y al banco adquirente, lo que se conoce como un “network processing fee”, también conocido como “switch fee”, que compensa a la red por su participación en el proceso de la transacción. Finalmente, el banco adquirente impone al comerciante lo que se conoce como el “merchant discount” o el “merchant fee”, que corresponde a la diferencia entre el valor de la transacción y la cantidad que el banco adquirente acredita a la cuenta del comerciante. Ninguno de estos cargos se impone al consumidor por reglamentación específica de las redes. Estos cargos son parte del costo del negocio para el comerciante. El “merchant fee” incluye, entre otros, el costo total que le impone al banco adquirente el banco emisor, la porción correspondiente al banco adquirente del “network processing fee” y otros costos incurridos por el banco adquirente en el proceso de la transacción, tales como: costo de fondos; manejo de riesgos de crédito relacionados a las transacciones; servicios de contra cargos; mantenimiento de inventario de terminales de puntos de venta; manejo de data financiera; riesgo transaccional tales como fraudes. 3. Reglamentación Aplicable a la Tarifa de Intercambio. Es preciso mencionar que el Dodd-Frank Wall Street Reform and Consumer Protection Act (Pub. L. 111-203, 124 Stat. 1376-2223, July 21, 2010) conocida como “Ley Dodd-Frank”, introdujo en su Sección 1075 la conocida Enmienda Durbin, la que instruyó a la Junta de la Reserva Federal (el “FED”), a promulgar reglamentación en relación a la tarifa de intercambio en tarjetas de débito y establecer una prohibición de acuerdos de exclusividad en relación a las redes. De acuerdo a dicho mandato, el FED adoptó la ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 4 3 de febrero de 2016 reglamentación en cuestión, la cual entró en vigor el 1 de octubre de 2011. 1 Dicho reglamento estableció un límite en la cantidad de la tarifa de intercambio que los bancos con activos en exceso de $10 billones pueden incluir como parte del cargo impuesto a los comerciantes en transacciones de débito. Se exceptúan de las limitaciones establecidas los cargos impuestos por bancos emisores en relación a ciertos programas administrados por el gobierno. El cargo máximo establecido por el FED se compone de lo siguiente: un cargo base de 21 centavos por transacción para cubrir los costos de procesamiento del banco emisor más un ajuste de hasta cinco (5) puntos base del monto de la transacción, y para cubrir pérdidas potenciales por fraude, en el caso de bancos emisores que adopten políticas y procedimientos para prevenir el fraude, hasta un centavo adicional. Este cargo máximo aplica tanto a transacciones con firmas como aquellas en las que media un PIN. Además, el reglamento establece normas que prohíben ciertas restricciones impuestas por las redes a los comerciantes. Como resultado, las redes ya no pueden prohibir a los comerciantes ofrecer descuentos por el uso de tarjetas de débito versus tarjetas de crédito. Esto les permite a los comerciantes proveer a los consumidores estímulos para utilizar métodos de pago menos costosos. También, los bancos emisores deben proveer al menos dos redes (no afiliadas) para las transacciones de débito y se les prohíbe inhibir al comerciante su habilidad de enrutar (“routing”) las transacciones de débito. Esto le provee al comerciante la habilidad de poner enrutar las transacciones de débito a través de redes menos costosas. Al establecer dicho cargo máximo, el FED consideró el mandato establecido en el la Ley Dodd Frank a los efectos de que dicho cargo sea razonable y proporcional a los costos incurridos por el banco emisor respecto a las transacciones. 4. La Práctica Generalizada en Puerto Rico. Cónsono con lo anterior, la práctica generalizada en Puerto Rico ha sido que los cargos impuestos a los comerciantes por el procesamiento de transacciones de pago con tarjetas de débito y crédito son proporcionales a los costos incurridos en el procesamiento de las transacciones. Así, notamos que cada banco emisor establece el monto del cargo basado en varios factores tales como su estructura de costos, el negocio del comerciante y los riesgos que este conlleva y principalmente, considerando las fuerzas del 1 12 CFR Part 235. ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 5 3 de febrero de 2016 mercado. Existen múltiples competidores en este renglón del negocio y, por ende, la imposición de cargos a este nivel lo dicta principalmente las fuerzas del mercado. Nuestros bancos están sujetos a amplia supervisión por parte de sus reguladores federales 2 y de su regulador estatal, la Oficina del Comisionado de Instituciones Financieras, en cuanto al cumplimiento de todas las leyes y reglamentos locales y estatales aplicables, incluyendo, en este caso, la referida reglamentación del FED sobre la tarifa de intercambio. Los reguladores federales incluyen como parte de los exámenes rutinarios que realizan a nuestros bancos miembros, así como a los proveedores de servicios de procesamiento de pagos, la validación de las fórmulas utilizadas para el cómputo de la tarifa de intercambio. Además, nuestros bancos mantienen políticas y controles internos para garantizar el cumplimiento por parte de sus suplidores de servicios de procesamiento de pagos, con la referida reglamentación. 5. La Seguridad en el Procesamiento de Datos. Conforme antes indicado, nuestros bancos miembros forman parte del sistema bancario de los Estados Unidos y como tal, están sujetos a estrictas reglamentaciones en lo concerniente a su operación. En lo relativo a la seguridad de los datos e información de los clientes, las agencias supervisoras federales han adoptado guías que le exigen a los bancos establecer estándares apropiados conducentes a la protección de los récords e información de sus clientes 3 y a establecer programas para responder a eventos de acceso no autorizados a los datos de sus clientes (en conjunto, las “Guías”). Los objetivos de dichos estándares son: • 2 3 asegurar la seguridad y confidencialidad de la información de los clientes; Los reguladores federales son el “Federal Deposit Insurance Corporation” en el caso de los bancos asegurados, el “Board of Governors of the Federal Reserve System”, en el caso de los bancos que son miembros de dicho sistema y el “Comptroller of the Currency” en el caso de los bancos nacionales). Véase Appendix B to Part 364 – Interagency Guidelines Establishing Information Security Standards y el Supplement A to Appendix B to Part 364 – Interagency Guidance a Response Programs for Unauthorized Access to Customer Information and Customer Notice. Además, FDIC: FIL – 222001 “Security Standards for Customer Information”; FDIC: FIL-11-2003: New Information Security Guidance for Examiners and Financial Institutions. ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 6 3 de febrero de 2016 • protección contra amenazas anticipables a la seguridad e integridad de dicha información; y • protección contra acceso no autorizado o uso de información que pueda resultar en acceso no autorizado el uso de información de clientes que pueda resultar en un daño sustancial o inconveniencia al cliente. Las Guías requieren que los bancos creen, implanten y mantengan un Programa de Seguridad de Información (el “Programa”). El Programa debe incluir salvaguardas administrativos, técnicos y físicos, cónsonos con el tamaño y complejidad de la institución y la naturaleza y alcance de sus actividades. Las agencias evaluarán las políticas de seguridad de información tomando en cuenta los siguientes elementos: Prevención, Detección y Respuesta. Dichas Guías también establecen que la Junta de Directores de la institución tiene un deber continuo de evaluar y supervisar el cumplimiento con el Programa. A esos efectos, las instituciones deben incluir en el Programa procedimientos escritos conducentes a: • identificar y evaluar los riesgos que puedan afectar la información de sus clientes. • La manera en que tales riesgos deberán ser manejados; • la implementación y continua evaluación y pruebas al plan de seguridad; y • ajustes continuos al plan de seguridad tomando en cuenta los cambios tecnológicos, la sensitividad de la información de los clientes y los peligros internos y externos a la seguridad de la información. Así mismo, las Guías requieren se establezca un programa para responder al acceso no autorizado a los bancos de data de clientes de las instituciones. Estos programas, entre otros, requieren en el caso que sea aplicable, notificación al regulador y al cliente, entre otras medidas cautelares. Nuestros bancos emplean fuertes sumas en la adquisición, implantación y mantenimiento de los más modernos sistemas tecnológicos para asegurar el cumplimiento con las Guías, y así asegurar la protección de los datos de nuestros clientes. ASOCIACIÓN DE BANCOS DE PUERTO RICO Hon. Luis Daniel Rivera Filomeno Página 7 3 de febrero de 2016 Las Guías imponen en las instituciones la obligación de asegurarse que sus proveedores de servicio han implementado un programa de seguridad efectivo para proteger la información de sus clientes, y que hayan implementado sistemas de seguridad consistentes con las Guías. Se le impone a la institución la obligación de monitorear y efectuar la debida diligencia para asegurar que sus proveedores de servicio cumplan con las normas aplicables a las instituciones en la manera establecida en las Guías. En cuanto a las contrataciones a terceros para proveer servicios, existe una Guía adoptada por las agencias supervisoras, la que establece las normas aplicables para la selección y contratación de terceros, tal como sería una compañía procesadora de datos. 4 Sostenemos que el sistema de pagos existente en Puerto Rico que permite al comerciante ofrecer métodos de pago tales como tarjetas de créditos y débito, es eficiente y confiable, y le ofrece al comerciante y a los consumidores, conveniencias formidables, seguridad y eficiencia. En el caso de los comerciantes, éstos se benefician del pago garantizado y más rápido en las transacciones en contraste a los cheques que pueden ser devueltos; mayores volúmenes de venta al proveerle acceso más rápido y eficiente a un mayor número de clientes; y menos riesgos de pérdidas por fraude. De otra parte, los consumidores reciben el beneficio de acceso a sus fondos en todo momento; mejor seguridad al no tener que portar efectivo; protección contra fraudes y mayor servicio, al poder efectuar compras en todo tipo de comercio en y fuera de la isla, incluyendo los comercios por el internet. Así mismo, el sistema de pagos existente beneficia al Estado en la medida en que provee alternativas al pago en efectivo, lo que tiene el efecto de atraer mayor número de ciudadanos a la economía formal. Agradecemos la oportunidad de ofrecer nuestros comentarios en torno a la Resolución y nos ponemos a su disposición de necesitar información adicional sobre este asunto. Muy cordialmente, Lcda. Zoimé Álvarez Rubio 4 FDIC: FIL-44-2008: Guidance for Managing. Third-Party Risk.