La presente norma entra en vigor a partir del 1 de agosto de 2025, excepto respecto de los casos de ARC obligatoria, cuya vigencia comenzará el 1 de julio de 2026.
El 17 de junio la Comisión para el Mercado Financiero emitió la Norma de Carácter General N° 538, sobre medidas de seguridad y autenticación de operaciones sometidas a la Ley N° 20.009.
La norma establece los estándares mínimos de seguridad, registro y autenticación aplicables a los emisores de medios de pago y prestadores de servicios financieros sujetos a la fiscalización de la Comisión para el Mercado Financiero. Asimismo, determina los supuestos de uso y transacciones en los cuales es obligatorio implementar mecanismos de autenticación reforzada.
La autentificación reforzada del cliente o ARC, es aquel procedimiento de autenticación basado en la utilización de al menos dos factores de autenticación independientes y de diferentes categorías. Las categorías a considerar son las siguientes: conocimiento; posesión; inherencia.
Los emisores deberán de cumplir con la normativa vigente asociada a su calidad de emisor de medios de pago, deben velar por la integridad, confidencialidad y disponibilidad de los sistemas de pago, en los componentes y elementos de infraestructura de los cuales estos participan, mediante la implementación de medidas de seguridad, incluyendo lo siguiente:
- Implementación de medidas que aseguren la independencia de los factores de autenticación utilizados.
- Mecanismos de cifrado, protección y confidencialidad de los datos utilizados en el proceso de autenticación.
- Registros auditables y trazables de todas las transacciones y eventos de autenticación, incluyendo los intentos o peticiones fallidas con los respectivos códigos de error o información de depuración.
- Monitoreo continuo de patrones de transacciones para detectar posibles fraudes.
- Medidas de protección para el almacenamiento y transmisión de los respectivos códigos de autenticación. Será obligación de los Emisores disponer de protocolos de caducidad y expiración de códigos de autenticación.
La presente norma entra en vigor a partir del 1 de agosto de 2025, excepto respecto de los casos de ARC obligatoria, cuya vigencia comenzará el 1 de julio de 2026.