Jueves, 21 de noviembre 2024 - Diario digital del Perú

Aprueban Reglamento del Servicio de Pago con Códigos de Respuesta Rápida (QR)

Aprueban Reglamento del Servicio de Pago con Códigos de Respuesta Rápida (QR)

CIRCULAR Nº 0003-2020-BCRP

Lima, 31 de enero de 2020

Ref: Reglamento del Servicio de Pago con Códigos de Respuesta Rápida (QR)

CONSIDERANDO QUE:

Para fomentar la eficiencia y seguridad del Servicio de Pago con Códigos QR, el Directorio del Banco Central de Reserva del Perú aprobó establecer el estándar del Código QR para pagos y promover la Interoperabilidad, el acceso, la transparencia de la información y la adecuada administración de riesgos.

Los Códigos de Respuesta Rápida (QR) y las Billeteras Digitales son innovaciones tecnológicas en pagos que han promovido en varios países con baja bancarización que los medianos y pequeños Comercios y sus Consumidores hayan sido incluidos en los servicios de pago digitales. Estas innovaciones vienen siendo implementadas en el país por Empresas del Sistema Financiero y por entidades no financieras.

La Tercera Disposición Complementaria Final de la Ley N° 29985, Ley que regula las características básicas del dinero electrónico como instrumento de inclusión financiera, faculta al BCRP, en el ámbito de sus competencias, a establecer condiciones y oportunidades para la Interoperabilidad.

La Ley de los Sistemas de Pagos y de Liquidación de Valores, Ley N° 29440, establece en el literal n) del Artículo 10 que el Banco Central de Reserva del Perú (BCRP) puede dictar, cuando estime necesario, normas, reglamentos, principios y estándares aplicables a los Acuerdos de Pago y Proveedores de Servicios de Pagos; así como supervisar su cumplimiento, para propender a su funcionamiento seguro y eficiente.

El literal l) del Artículo 10 de dicha Ley faculta al BCRP a requerir a las entidades administradoras de Acuerdos de Pagos que no han sido calificadas como de importancia sistémica, a quienes intervienen en dichos Acuerdos de Pagos y a las entidades que les brinden soporte tecnológico, entre otros; así como a los Proveedores de Servicios de Pagos, información que le permita conocer la naturaleza y el volumen de sus operaciones, su funcionalidad y las medidas de control de los riesgos.

SE RESUELVE:

DISPOSICIONES GENERALES

Artículo 1.- Objetivo y alcance del Reglamento

El presente Reglamento tiene como objeto establecer el estándar para los Códigos QR utilizados en pagos; así como los requerimientos regulatorios para el Servicio de Pago con Códigos QR, abarcando en su ámbito de aplicación a los Proveedores de Códigos QR, los Proveedores de Billeteras y a las Redes de Pago que participan en dicho servicio.

Artículo 2.- Definiciones

Billetera Digital: Aplicación móvil que permite iniciar una transferencia de fondos a través de los Instrumentos de Pago vinculados a ella. En el caso de transacciones con Códigos QR, la Billetera Digital escanea la información del código presentado por el Comercio, para que el Consumidor ordene el pago.

Código QR: Método de representación de información en una matriz de puntos bidimensional denominada símbolo, está formado por módulos negros dispuestos en forma cuadrada sobre un fondo blanco. Tiene una alta capacidad de almacenamiento de diferentes tipos de información, la que puede ser encriptada.

Código QR dinámico: Es el código QR presentado por el Comercio que contiene su información e incluye el monto a pagar.

Código QR estático: Es el código QR presentado por el Comercio que contiene su información pero no el monto del pago.

Comercio: Persona jurídica o persona natural con negocio.

Consumidor: Usuario que utiliza billeteras digitales para realizar compras con Códigos QR.

Cuenta de Fondos: Abarca a las cuentas de depósito, cuentas de dinero electrónico, líneas de tarjetas de crédito u otras cuentas ofrecidas por Proveedores de Servicios de Pago.

Instrumento de Pago: Instrumento que tiene por objeto efectuar un pago (transferencias de crédito o inmediatas, entre otros) o requerirlo (cheques o tarjetas de pago, entre otros).

Interoperabilidad en el Servicio de Pago con Códigos QR: Capacidad que tiene este servicio de pago para que las transferencias de fondos entre el Comercio y el Consumidor se lleven a cabo independientemente de las entidades que participan en la prestación de dicho servicio.

Portal Institucional: www.bcrp.gob.pe

Proveedor de Códigos QR: Persona Jurídica que afilia a los Comercios para que acepten pagos utilizando Códigos QR, provee de un código individual y de un mecanismo para recibir notificaciones.

Proveedor de Billeteras Digitales: Persona jurídica que contrata con los Consumidores el acceso a los servicios de las Billeteras Digitales que suministran, permitiéndoles ordenar transferencias y pagos desde una Cuenta de Fondos. Para ello, los Consumidores registran o vinculan Instrumentos de Pago en la Billetera Digital que les proporcione una empresa del sistema financiero, entre otras.

Proveedor de Servicios de Pagos: Persona Jurídica que ofrece servicios de pago para que se lleven a cabo transferencias de fondos mediante una variedad de modalidades, entre ellas, tarjetas de pago, monederos electrónicos, pagos móviles y pagos por Internet.

Red de Pago: Conjunto de normas, acuerdos y procedimientos para el procesamiento de instrucciones de transferencias de fondos vinculadas al Servicio de Pago con Códigos QR. Esta función puede ser provista por las Empresas de Servicios de Canje y Compensación, los Acuerdos de Pagos de Dinero Electrónico, los Acuerdos de Pago de Tarjetas, las Empresas Emisoras de Dinero Electrónico y los Proveedores de Servicios de Pagos.

ESTANDAR DE LOS CÓDIGOS QR

Artículo 3.- Estándar

3.1 Para realizar transferencias de fondos o pagos con Códigos QR, los emisores o proveedores de dichos códigos deben observar el estándar internacional EMV® QR Code Specification for Payment Systems presentado por el Comercio (EMV QRCPS), emitido por la Organización EMVCo, en la versión 1.0 de julio de 2017 y sus modificatorias, para Códigos QR estáticos y dinámicos.

3.2 La información contenida en el Código QR identificará a un único Comercio e incluirá la información que requiera el estándar para que la transferencia de fondos o pago llegue a la cuenta de dicho Comercio a través de las Redes de Pago.

3.3 En los Códigos QR emitidos bajo el estándar EMVCo, se reserva el espacio identificado con los ID “49”, “50” y “51” para su uso futuro por parte del BCRP.

SERVICIO DE PAGO CON CÓDIGOS QR

Artículo 4.- Servicio de Pago

4.1 El Servicio de Pago con Códigos QR es la transferencia de recursos de las Cuentas de Fondos del Consumidor hacia las cuentas del Comercio, utilizando para ello el Código QR presentado por el Comercio. La información contenida en dicho código es escaneada por una Billetera Digital para que el Consumidor inicie la instrucción de transferencia vía el Instrumento de Pago que vinculó a su Billetera Digital.

4.2 Las entidades que participan en el Servicio de Pago con Códigos QR son los Proveedores de Códigos QR, los Proveedores de Billeteras Digitales y las Redes de Pago.

PRINCIPIOS APLICABLES

Artículo 5.- Principios

Las entidades que participan en el Servicio de Pago con Códigos QR deben contar con:

5.1 Procedimientos, reglamentos y contratos consistentes con las normas y regulaciones vigentes.

5.2 Políticas y procedimientos documentados de buen gobierno, que le proporcionen lineamientos claros y directos de gestión, responsabilidad y rendición de cuentas.

5.3 Políticas, procedimientos y sistemas de gestión de riesgos que le permitan identificar, medir, monitorear y gestionar los riesgos que surjan o que asuma.

5.4 Mecanismos que aseguren la finalización eficiente y oportuna de la liquidación de fondos en cuentas en la misma entidad o en otra Red de Pago.

5.5 Procedimientos relativos a incumplimientos de pago.

5.6 Sistemas de control y de gestión para identificar, vigilar y administrar los riesgos generales de negocio y contar con procedimientos para identificar las fuentes de riesgo operacional internas y externas y para mitigar su impacto.

5.7 Procedimientos que le garanticen un alto grado de fiabilidad operativa y de continuidad del servicio, teniendo como objetivo la recuperación oportuna de las operaciones.

5.8 Políticas de seguridad de la información (confidencialidad, integridad, autenticación, disponibilidad, entre otros) que aborden las vulnerabilidades y amenazas potenciales y que le garanticen la fidelidad de la información procesada y transmitida.

5.9 Políticas de acceso a sus servicios en función de requisitos razonables de participación relacionados con el riesgo, evitando prácticas discriminatorias.

5.10 Un servicio que sea eficiente y eficaz y que propicie la Interoperabilidad y que cubra las necesidades de pago de Comercios y Consumidores.

5.11 Procedimientos para difundir a los Comercios, Consumidores, entidades participantes en el servicio y al público en general, las características del servicio, políticas de gestión de riesgos, esquemas tarifarios por los servicios, canales de comunicación y mecanismos de resolución de controversias.

OBLIGACIONES

Artículo 6.- Generales

6.1 Los Proveedores de Códigos QR y los Proveedores de Billeteras deben contar con:

a. Un Reglamento Operativo que contenga como mínimo:

i. La definición, funcionalidad y características de los servicios que brinda.

ii. Las obligaciones y derechos de las partes.

iii. Los requisitos para el acceso al servicio, requerimientos técnicos y de seguridad, entre otros; así como las condiciones de suspensión y exclusión del servicio.

iv. Las Certificaciones obtenidas (PCI-DSS u otras).

v. Las Redes de Pago que se incluyen en el Código QR entregado a los Comercios.

vi. El proceso de la transferencia de fondos a la cuenta del Comercio y las empresas que participan en dicho proceso.

vii. Los horarios de atención del servicio y los canales dispuestos de comunicación a fin de ofrecer un soporte especializado.

viii. La política de comisiones.

ix. Procedimientos de contingencia.

x. Los mecanismos de solución de controversias y los canales de comunicación para dicho fin.

Los Proveedores de Billeteras deben también incluir en su Reglamento Operativo lo siguiente:

xi. Las medidas que garanticen la seguridad del proceso de lectura de los Códigos QR, para evitar casos de fraudes o de direccionamientos de información o fondos no autorizados.

xii. Los procedimientos implementados para el tratamiento adecuado de casos de ataques cibernéticos.

xiii. El mecanismo para mostrar al Consumidor la información del Comercio para facilitar su identificación.

xiv. Las medidas adoptadas para la validación y autenticación de la identidad del Consumidor.

xv. Los límites por operación, por día, u otros que se defina.

xvi. Los mecanismos de seguridad que prevengan casos de fraude asociados a la pérdida de celular, casos de clonación u otros.

xvii. El tratamiento en caso de consumos no reconocidos o las reversas o anulaciones de cargos.

xviii. La opción de mostrar al Consumidor el saldo disponible de su Cuenta de Fondos, siempre que se disponga de dicha información.

xix. El mecanismo para notificar a los Consumidores sobre el estado final de la transacción, es decir, si se realizó con éxito o hubo un fallo.

b. Un documento de administración de riesgos que contenga, como mínimo, la identificación de las principales fuentes internas y externas de riesgo operacional que puedan afectar la disponibilidad o continuidad del servicio; así como las medidas y controles adoptados para minimizarlas o evitarlas.

c. Un reporte de incidentes que contenga la descripción de los incidentes, su análisis y las medidas adoptadas para mitigarlos. Estos incidentes están relacionados, entre otros, a:

i. Fallos en la transmisión de mensajes y en la infraestructura de comunicaciones.

ii. Indisponibilidad o interrupciones del servicio.

iii. Actividades fraudulentas.

iv. Violaciones a la confidencialidad de la información.

v. Insuficiente capacidad para mantener la calidad del servicio.

vi. Otros casos que afecten la correcta marcha del servicio.

d. Reporte de pruebas periódicas de continuidad de operaciones (pruebas de estrés u otras relevantes), al menos una vez al año.

e. Un plan de divulgación al público de las características del servicio, los mecanismos de acceso y de las tarifas o comisiones de los servicios individuales que ofrezca, a través de su página web u otro medio que se considere relevante.

f. Un listado de las empresas con las que participa, o está asociado, en el Servicio de Pago con Códigos QR.

6.2 Los Proveedores de Códigos QR y los Proveedores de Billeteras deben contar con:

a. Una política de seguridad que explique claramente cómo los Comercios y Consumidores son protegidos contra el fraude y qué acciones deben adoptar estos para evitar errores y fraudes.

b. Una política de privacidad de la información explicando cómo se usan, guardan y transmiten los datos del Comercio y del Consumidor, la misma que debe asegurar la confidencialidad de la información y que ésta no podrá ser utilizada para otros fines sin su aprobación, conforme a la Ley de Protección de Datos Personales vigente.

6.3 Las Redes de Pago, Proveedores de Códigos QR y Proveedores de Billeteras deben contar con un documento que describa su participación en el proceso de transferencia de fondos y el flujo de información en dicho proceso.

6.4 Observar otras obligaciones que señale el presente Reglamento.

REGISTRO E INFORMACIÓN PARA EL BCRP

Artículo 7.- Registro

7.1 Los Proveedores de Billeteras Digitales y Proveedores de Códigos QR deben inscribirse en el Registro creado por el BCRP en un plazo máximo de noventa (90) días de publicada la presente Circular. Las nuevas empresas deben registrase al menos noventa (90) días antes de iniciar sus operaciones.

Para la inscripción deberán remitir a la Subgerencia de Pagos e Infraestructuras Financieras el formulario que se presenta en el Anexo 1, publicado en el Portal Institucional y los documentos considerados en los acápites 6.1, 6.2 y 6.3 del Artículo 6. Estos documentos deberán ser actualizados cada vez que tengan alguna modificación y se entregarán en formato digital al correo electrónico:

Dpto.AnalisisSistPagos@bcrp.gob.pe

El BCRP podrá solicitar aclaraciones e información adicional a la presentada para el registro.

7.2 El mencionado registro se publica en el Portal Institucional y éste se renueva anualmente con la entrega de la información señalada en el acápite 8.1 del Artículo 8 del presente Reglamento.

Artículo 8.- Información solicitada por el BCRP

Las entidades inscritas en el registro mencionado en el Artículo precedente deben proporcionar al BCRP la siguiente información:

8.1 Antes del cierre del mes de febrero de cada año remitirán en formato digital la versión anual del Reporte de Operaciones (Ver Anexo 2), publicado en el Portal Institucional.

8.2 Al mes posterior al cierre de un trimestre remitirán por medios digitales la información señalada en el Reporte de Operaciones (Ver Anexo 2).

8.3 Otra información que el BCRP les solicite.

Toda información recibida tendrá carácter de declaración jurada y será tratada de manera confidencial.

DISPOSICIONES FINALES Y TRANSITORIAS

Primera.- Promoción de la Interoperabilidad

Los Proveedores de Códigos QR, Proveedores de Billeteras y Redes de Pago deberán propender a la interoperabilidad y evitar que subsistan prácticas que la limiten. El BCRP podrá establecer condiciones y oportunidades para la interoperabilidad.

Segunda.- Segregación de cuentas

Las empresas administradoras de plataformas digitales, que vinculan a Comercios con Consumidores para facilitar los pagos entre ellos y que gestionan sus cuentas, deben mantener los correspondientes fondos en cuentas en el sistema financiero, en fideicomisos o en dinero electrónico. Estas cuentas deben ser segregadas de aquellas en las que las empresas administradoras gestionan sus recursos propios.

Tercera.- Plazo para la adopción del estándar de Código QR

Los Proveedores de Códigos QR deben utilizar el estándar definido en el Artículo 3 arriba señalado en un plazo máximo de ciento ochenta (180) días de publicado el presente Reglamento.

RENZO ROSSINI MIÑÁN

Gerente General

1851460-1