Conoce los requisitos de la CNBV para un pentest exitoso
¿Sabías que la Comisión Nacional Bancaria y de Valores (CNBV) de México ahora pide dos pruebas de intrusión anuales para poder operar en el país?
Pues así es. Sí eres una fintech o una institución de crédito puede que estés familiarizado con la Ley Fintech. Si aún no conoces mucho sobre ella y te interesa operar en México, es algo a lo que hay que echarle ojo.
Es importante que conozcas los requisitos de esta ley para poder expandir tus operaciones en el país. Sabemos que puede sonar abrumador, pero no te preocupes. Aquí te explicamos todo sobre los requerimientos para realizar un reporte de ethical hacking correctamente.
Empecemos por lo básico: ¿qué es una prueba de intrusión?
Pruebas de intrusión, pentest o ethical hacking. No importa como lo prefieras llamar, lo que sí importa es que es un requisito para que puedas operar en México bajo la Ley Fintech.
Y, la verdad es que su importancia no sólo queda ahí. Estándares internacionales de seguridad como PCI DSS e ISO 27001 también lo piden como requisito para certificarte. Así que te recomendamos realizar estas pruebas anualmente y, si estás en México y eres fintech, dos veces al año.
Lo que la Ley Fintech y la CNBV esperan de ti
Hablemos sobre la famosa Ley Fintech.
Para operar en México, ya seas local o foráneo, tendrás que crear, formalizar y poner en práctica varios procedimientos de seguridad.
La Ley Fintech es una disposición legal mexicana que regula la operación y el funcionamiento de las fintech para proteger a sus usuarios. Esta ley cuenta con tres disposiciones diferentes:
- Disposiciones de carácter general aplicables a las instituciones de tecnología financiera
- Disposiciones aplicables a las instituciones de fondos de pago electrónico
- Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas
Cada disposición puede tener requisitos diferentes, y con estos, las condiciones para pruebas de intrusión. Tantos requisitos y condiciones pueden hacer que el proceso sea algo confuso. Lo bueno es que aquí te presentamos los requisitos de cada una para que tu reporte de ethical hacking sea todo un éxito.
Disposiciones de carácter general aplicables a las instituciones de tecnología financiera
O en otras palabras, lo que deben saber las fintechs. Si eres una fintech por default tendrás que cumplir con esa primera disposición. Así que los requisitos que toda fintech debe cumplir para realizar un pentest exitoso son los siguientes:
- Aplica pruebas de intrusión en los diferentes sistemas y aplicaciones de la empresa.
- Realizar las pruebas con un proveedor que tenga las habilidades técnicas necesarias. Es decir, no se vale que te evalúes a ti mismo. Contrata a un experto de la seguridad ofensiva que pueda ayudarte a mantenerte seguro.
- Para aplicar las pruebas de intrusión considera lo siguiente:
- Alcance y metodología aplicada.
- Realízalas por lo menos dos veces al año, o cuando la CNBV te lo pida.
- También pueden aplicarse pruebas por evento y a juicio de la empresa, cuando existan cambios significativos en los sistemas y/o aplicativos con vulnerabilidades críticas identificadas.
- Cuando esté listo tu reporte de ethical hacking debes enviarlo a la CNBV en los primeros 20 días hábiles después de haber finalizado las pruebas.
Disposiciones aplicables a las instituciones de fondos de pago electrónico
Aquí la Ley Fintech se refiere a wallets o monederos electrónicos. Estas plataformas pueden usarse para realizar compras, pagos y envíos de dinero. No importa la moneda o el tipo de cambio que uses, si operas en México, hay que cumplir con esta ley y esta disposición.
Si tu empresa entra en esta disposición, estos son los requerimientos que tienes que cumplir:
- Al menos cada dos años hay que realizar pruebas de intrusión a los diferentes sistemas y aplicativos de tu Infraestructura Tecnológica.
- Realizar las pruebas con un proveedor que tenga las habilidades técnicas necesarias. Es decir, no se vale que te evalúes a ti mismo. Contrata a un experto que pueda ayudarte a mantenerte seguro.
- Si se identifican observaciones de alta o muy alta criticidad, las instituciones deberán presentar a la CNBV un plan de remediación documentado para arreglar esos problemillas, en un periodo no mayor a 20 días hábiles después de haber aplicado las pruebas.
- Una vez concluidas las actividades de remediación, tendrás que realizar nuevamente las pruebas de intrusión en un plazo no mayor a dos meses para validar que efectivamente las brechas se arreglaron.
- Documenta en un manual las metodologías que se utilizaron para clasificar la criticidad y el riesgo de los hallazgos de las pruebas.
Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas.
Esta disposición aplica para toda interfaz de programación de aplicaciones (API). Si tu startup entra en en esta categoría, los requerimientos a cumplir son los siguientes:
- Tener un programa de pruebas de intrusión para los sistemas y aplicativos que estén relacionados o conectados con APIs.
- Aplicación de pruebas al menos dos veces al año, o cuando lo ordene la CNBV.
- Las pruebas deben realizarse por un tercero independiente con capacidad técnica comprobable (por ejemplo: certificaciones especializadas en la materia).
- Plan de remediación para las vulnerabilidades críticas detectadas.
Las pruebas de intrusión son tus aliadas para cumplir
Realizar una prueba de intrusión no traerá nada más que cosas buenas a tu vida. Ya que, no solo podrás cerrar contratos con grandes corporativos, sino que estarás listo para operar en México.
Las regulaciones de un mercado emergente como México piden cumplir con ciertos requisitos de ciberseguridad, entre ellos, reportes de ethical hacking dos veces al año para todas las fintech en el país.
Si ya te toca llevar a cabo una prueba de intrusión, o quieres conocer más sobre sus beneficios, puedes contactarnos y con gusto te ayudaremos.