Aprueban el Reglamento de Tarjetas de Crédito y Débito RESOLUCIÓN SBS N° 6523-2013 Lima, 30 de octubre de 2013 EL SUPERINTENDENTE DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES CONSIDERANDO: Que, el numeral 34 del artículo 221° de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus normas modificatorias, en adelante Ley General, faculta a las empresas del sistema financiero a expedir y administrar sábado, noviembre 02, 2013

Aprueban el Reglamento de Tarjetas de Crédito y Débito
RESOLUCIÓN SBS N° 6523-2013
Lima, 30 de octubre de 2013
EL SUPERINTENDENTE DE BANCA, SEGUROS Y
ADMINISTRADORAS PRIVADAS DE FONDOS DE
PENSIONES
CONSIDERANDO:

Que, el numeral 34 del artículo 221° de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702
y sus normas modificatorias, en adelante Ley General, faculta a las empresas del sistema financiero a expedir y administrar tarjetas de crédito y débito, de acuerdo con lo dispuesto en el Capítulo I del Título III de la Sección Segunda de la Ley General;

Que, el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS N° 264-2008 y sus normas modificatorias, establece normas referidas a las condiciones contractuales, remisión de información y medidas de seguridad aplicables, con especial énfasis en la verificación de la identidad del titular o usuario y el establecimiento de límites de responsabilidad en el uso fraudulento de dichas tarjetas;

Que, las tarjetas de crédito y débito constituyen un medio de pago, sustituto del dinero en efectivo, lo que ha estimulado la intensificación de su uso, razón por la cual resulta necesario aprobar disposiciones que refuercen las medidas establecidas, con respecto a la expedición y administración de tarjetas de crédito y establecer medidas similares para el caso de tarjetas de débito;

Que, asimismo, resulta necesario adecuar y emitir disposiciones sobre tarjetas de crédito y débito, de acuerdo con lo dispuesto por el Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero aprobado por la Resolución SBS N° 8181-2012
y sus normas modificatorias;

Que, a efectos de recoger las opiniones de los usuarios y del público en general respecto de las propuestas de modificación a la normativa del sistema financiero, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo N° 001-2009-JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Riesgos y de Asesoría Jurídica, así como de la Gerencia de Productos y Servicios al Usuario; y, En uso de las atribuciones conferidas por los numerales 7, 9 y 19 del artículo 349° de la Ley General;

RESUELVE:

Artículo Primero.- Aprobar el Reglamento de Tarjetas de Crédito y Débito, según se indica a continuación:
"REGLAMENTO DE TARJETAS DE
CRÉDITO Y DÉBITO
CAPÍTULO I
ASPECTOS GENERALES
Artículo 1°.- Alcance El presente Reglamento es aplicable a las empresas de operaciones múltiples, a que se refiere el literal A del artículo 16° de la Ley General, autorizadas a expedir y administrar tarjetas de crédito y débito, en adelante empresas.

Artículo 2°.- Definiciones Para efectos de lo dispuesto en el presente Reglamento, se considerarán las siguientes definiciones:

1. Cajero automático: conforme a la definición del Reglamento de Apertura, Conversión, Traslado o Cierre de Oficinas, Uso de Locales Compartidos, Cajeros Automáticos y Cajeros Corresponsales, aprobado por la Resolución SBS
N° 6285-2013 y sus normas modificatorias.

2. Canal: cualquier medio físico o virtual al que accede el usuario para efectuar operaciones monetarias (banca por internet, cajeros automáticos, terminales de punto de venta, entre otros).

3. Circular de pago mínimo: Circular que establece las disposiciones referidas a la metodología del cálculo del pago mínimo en líneas de crédito de tarjetas de crédito y otras modalidades revolventes para créditos a pequeñas empresas, microempresas y de consumo, Circular N° B-2206-2012, F- 546-2012, CM-394-2012, CR-262-2012,
EDPYME-142-2012.

4. Código: Código de Protección y Defensa del Consumidor, aprobado por la Ley N° 29571 y sus normas modificatorias.

5. Comportamiento habitual de consumo del usuario: se refiere al tipo de operaciones que usualmente realiza cada usuario con sus tarjetas, considerando diversos factores, como por ejemplo el país de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la información histórica de las operaciones de cada usuario que registra la empresa.

6. Contrato: documento que contiene todos los derechos y obligaciones que corresponden al titular y a las empresas, incluyendo los anexos que establecen estipulaciones específicas propias de la operación financiera que es objeto del pacto, y que ha sido debidamente celebrado por las partes intervinientes.

7. Días: días calendario.

8. EMV: estándar de interoperabilidad de tarjetas Europay, Mastercard y Visa.

9. Factor de autenticación: conforme a la definición señalada en la Circular G-140-2009, referida a la gestión de la seguridad de la información.

10. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus normas modificatorias.

11. Micropago: operaciones por montos poco significativos determinados por la empresa, en las que no se requiere la clave secreta u otro medio de autenticación por parte de los usuarios al momento de efectuar el consumo u operación.

12. Negocios afiliados: empresas o personas que aceptan tarjetas de crédito o débito como medio de pago por los productos y/o servicios que ofrecen.

13. Reglamento: Reglamento de Tarjetas de Crédito y Débito.

14. Reglamento de Transparencia: Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS
N° 8181-2012 y sus normas modificatorias.

15. Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

16. Tarjeta: tarjeta de crédito y/o débito, según corresponda, que puede permitir la realización de retiros y/u otras operaciones a través de los canales ofrecidos por la empresa emisora, así como ser utilizado como medio de pago de bienes o servicios en la red de negocios afiliados.

17. T erminales de punto de venta: dispositivos de acceso tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por negocios afiliados o usuarios para efectuar operaciones con tarjetas.

18. Titular: persona natural o jurídica a la que, como consecuencia de la celebración de un contrato con las empresas, se le entrega una tarjeta.

19. Usuario: persona natural que se encuentra autorizada para utilizar la tarjeta.

Artículo 3°.- Tarjeta de crédito La tarjeta de crédito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a una línea de crédito revolvente, otorgada por la empresa emisora a favor del titular. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones o, de así permitirlo la empresa emisora y no mediar renuncia expresa por parte del titular, hacer uso del servicio de disposición de efectivo u otros servicios asociados, dentro de los límites y condiciones pactados;
obligándose a su vez, a pagar el importe de los bienes y servicios adquiridos, obligaciones pagadas, y demás cargos, conforme a lo establecido en el respectivo contrato.

Artículo 4°.- Tarjeta de débito La tarjeta de débito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a depósitos previamente constituidos. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones, efectuar el retiro de los depósitos realizados a través de los canales puestos a disposición por la empresa emisora u otros servicios asociados, dentro de los límites y condiciones pactados, debitándose los montos correspondientes de sus depósitos.

CAPÍTULO II
DISPOSICIONES GENERALES APLICABLES
A LAS TARJETAS DE CRÉDITO
Artículo 5°.- Contenido mínimo del contrato El contrato de tarjeta de crédito deberá contener, como mínimo, la siguiente información:

1. Las condiciones aplicables para la reducción o aumento de la línea de crédito y los mecanismos aplicables para requerir el consentimiento previo del usuario en caso se busque realizar un aumento de la línea conforme lo dispone el artículo 30° del Reglamento de Transparencia, cuando corresponda.

2. Forma y medios de pago permitidos.

3. Procedimientos y responsabilidades de las partes en caso de extravío de la tarjeta de crédito o de la sustracción, robo o hurto de esta o la información que contiene.

4. Casos en los que procede el bloqueo o anulación de la tarjeta de crédito y la resolución del contrato.

5. Condiciones aplicables a la renovación del contrato, de ser el caso.

6. Periodicidad con la que se pondrá a disposición o entregará los estados de cuenta.

7. A nombre de quién se emitirán los estados de cuenta, titular o usuario, de ser el caso.

8. Condiciones de emisión y remisión o puesta a disposición, según corresponda, del estado de cuenta en forma física o electrónica y plazo de aceptación del estado de cuenta.

9. El orden de imputación aplicable para el pago de la línea de crédito deberá ser claro y no podrá conllevar un agravamiento desproporcionado del monto adeudado, salvo que la empresa acredite la existencia efectiva de negociación e informe adecuadamente al titular en documento aparte sobre las consecuencias e implicancias económicas de la regla de imputación de pagos negociada.

Se entenderá que existe un agravamiento desproporcionado, cuando el orden de imputación de pagos aplicado por la empresa genera un perjuicio económico al titular. No se genera un perjuicio económico, cuando se amortiza en orden decreciente la deuda, iniciándose la aplicación de los pagos a aquellas obligaciones diferenciadas que generan una mayor carga por concepto de intereses, al corresponderles una tasa de interés mayor, hasta llegar a aquellas que generan una menor carga por dicho concepto.

Asimismo, para efectos de lo dispuesto en el presente numeral se entiende que existe efectiva negociación cuando pueda evidenciarse que la cláusula no constituye una condición masiva que forma parte del contrato de adhesión y que condicione su suscripción; es decir, cuando puede evidenciarse que el titular ha infiuido en el contenido de la cláusula.

10. Las condiciones generales en las que opera la autorización del exceso de línea de crédito, que deberán ser fijadas hasta por un monto razonable que responda, entre otros criterios, a la capacidad de pago del titular, así como al perfil ordinario de montos de consumo de este.

11. Información sobre la prestación de los servicios asociados a las tarjetas de crédito señalados en el artículo 7° del Reglamento.

12. Condiciones generales en las que opera la supresión y reactivación de los servicios señalados en el artículo 7° del Reglamento, cuando corresponda; así como el tratamiento que se otorgará, con relación a estos servicios, a las tarjetas adicionales.

13. Otros que establezca la empresa o la Superintendencia, mediante oficio múltiple.

Artículo 6°.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito Las tarjetas de crédito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta de crédito o nombre comercial que la empresa asigne al producto; y la identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de crédito.

3. Nombre del usuario de la tarjeta de crédito y su firma.

Las firmas podrán ser sustituidas o complementadas por una clave secreta, firma electrónica u otros mecanismos que permitan identificar al usuario antes de realizar una operación, de acuerdo con lo pactado.

4. Fecha de vencimiento.

El plazo de vigencia de las tarjetas de crédito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 7°.- Servicios asociados a las tarjetas de crédito Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso de uno o más de los siguientes servicios:

1. Disposición de efectivo: deberá otorgársele la posibilidad, para cada operación, de decidir si estas disposiciones deberán ser cargadas en cuotas fijas mensuales y el número de cuotas aplicable a estas.

2. Operaciones de compra, consumos o pagos por internet, a través de una página web distinta a la de la empresa.

3. Consumos u operaciones efectuadas en el exterior, con presencia física de la tarjeta.

4. Otras previstas por la empresa en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para contratar la tarjeta de crédito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte de su contenido.

Artículo 8°.- Tarjeta de crédito adicional La tarjeta de crédito adicional es emitida a un usuario, a solicitud y bajo la responsabilidad del titular, al amparo del contrato celebrado con el titular y de la misma línea de crédito otorgada a este o parte de ella.

La tarjeta de crédito adicional a la tarjeta principal solo podrá emitirse cuando exista autorización expresa de su titular, utilizando los medios establecidos por las empresas para dicho efecto.

Artículo 9°.- Cargos Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 7° del Reglamento, en caso corresponda; así como las demás obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de crédito.

Artículo 10°.- Contenido mínimo de los estados de cuenta El estado de cuenta debe contener como mínimo lo siguiente:

1. Nombre del titular o usuario, según lo establecido en el contrato, al que se le asigna una tarjeta de crédito.

2. Número de identificación de la tarjeta de crédito, entendiendo por este como mínimo a los últimos cuatro (4)
dígitos de la tarjeta de crédito.

3. Periodo del estado de cuenta y fecha máxima de pago.

4. Monto mínimo de pago, conforme a la Circular de pago mínimo. Se deberá desglosar el monto que será utilizado para el pago del principal, los intereses, comisiones y cualquier otro concepto aplicable, conforme a la referida Circular.

5. Pagos efectuados durante el periodo informado; es decir, antes de la fecha de corte, indicando la fecha en que se realizó el pago y el monto.

6. Deberá indicarse la relación de todos los consumos u otras operaciones, y el establecimiento afiliado en que se realizaron, de ser el caso; así como la fecha y el monto de las operaciones registradas en el periodo informado. En el caso de consumos u otras operaciones en cuotas fijas, se deberá indicar el número de cuotas pactadas.

7. La cuota fija total que corresponda al periodo de facturación; es decir la suma de las cuotas fijas por los consumos u otras operaciones efectuadas que corresponde pagar en el periodo. Asimismo, deberá desglosarse la cuota fija total y cada cuota fija que la compone precisando el monto que corresponde al principal, intereses y las comisiones y gastos, en caso corresponda. En el supuesto de que por razones operativas, debidamente justificadas ante la Superintendencia, no se pueda mostrar el desglose por cada cuota antes indicado, las empresas deberán informar solo la información que corresponde a la cuota fija total del período.

8. Saldo adeudado a la fecha de corte.

9. Monto total y monto disponible en la línea de crédito.

10. Tasa de interés compensatorio efectiva anual aplicable a cada consumo u operación bajo modalidad revolvente o cuotas fijas, así como la tasa de interés moratorio efectiva anual o penalidad por incumplimiento aplicable a la fecha del estado de cuenta. Se presentará la información desagregada por cada consumo u operación en aquellos casos en los que la empresa ofrezca tasas diferenciadas.

11. Fecha en la cual se hará el cargo por la renovación de la membresía, el periodo al que corresponde el referido cargo y el monto correspondiente, en caso se realicen cobros por este concepto.

12. La información que se detalla a continuación deberá presentarse en el anverso del estado de cuenta, en forma destacada y fácilmente identificable, con tipo de letra sombreado o resaltado y con un tamaño no menor a tres (3) milímetros de acuerdo con el siguiente texto:
"INFORMACIÓN IMPORTANTE:*
Si solo realiza el pago mínimo de su deuda en soles y no realiza más operaciones, esta se cancelará en ____ meses, pagando S/. _____ de intereses y S/._____ por comisiones y gastos.

Si solo realiza el pago mínimo de su deuda en dólares y no realiza más operaciones, esta se cancelará en ____ meses, pagando US$_____ de intereses y US$_____ por comisiones y gastos".
*La información referida a la deuda en dólares americanos se presentará en caso resulte aplicable.

13. La información que se detalla a continuación deberá ser presentada en el estado de cuenta con un tamaño no menor a tres (3) milímetros:
fi"La información referida al cálculo del pago mínimo y sus ejemplos se encuentra a su disposición a través de los siguientes canales ___________________".
- "Si hubiera pactado la posibilidad de: a) disposición de efectivo; b) compras, consumos o pagos por internet a través de una página web distinta a la de la empresa; o, c)
consumos u operaciones en el exterior con presencia física de la tarjeta, recuerde que tiene el derecho de solicitar su supresión a través de los siguientes canales________."
Artículo 11°.- Puesta a disposición o envío y recepción del estado de cuenta y procedimiento de reclamos Las empresas deberán remitir o poner a disposición de los titulares de tarjetas de crédito el estado de cuenta por lo menos mensualmente. Para tal efecto, deberán otorgar a los titulares la posibilidad de elegir la recepción de la mencionada información a través de uno o ambos de los mecanismos señalados a continuación:

1. Medios físicos (remisión al domicilio señalado por el titular).

2. Medios electrónicos (por medio de la presentación de dicha información a través de la página web, correo electrónico, entre otros).

Las empresas y los titulares podrán pactar que no se remita o ponga a disposición el estado de cuenta, en caso no exista saldo deudor.

Asimismo, en caso de incumplimiento en el pago, cesará la obligación de las empresas de remitir los estados de cuenta, siempre que hayan transcurrido cuatro (4)
meses consecutivos de incumplimiento. Las empresas y los titulares podrán pactar un plazo menor al señalado anteriormente.

Las empresas deberán entregar los estados de cuenta en un plazo no menor a cinco (5) días hábiles previos a su fecha máxima de pago. Si los titulares no recibieran los estados de cuenta oportunamente tendrán el derecho de solicitarlos a las empresas y estas la obligación de proporcionar copia de estos, en las condiciones establecidas en los contratos, incluso en aquellos casos en que la no remisión se debiera a lo dispuesto en el párrafo anterior.

Los titulares podrán observar el contenido de los estados de cuenta dentro del plazo establecido en el contrato, el cual no podrá ser menor a los treinta (30)
días siguientes contados a partir de su fecha de entrega.

Transcurrido el plazo de treinta (30) días antes referido o el que se hubiese pactado, se presume que se ha agotado la vía interna para presentar reclamos sobre el estado de cuenta en las empresas. Cabe precisar que esta presunción no enerva los derechos de los titulares establecidos en el ordenamiento legal vigente para reclamar en las instancias administrativas, judiciales y/o arbitrales correspondientes.

CAPÍTULO III
DISPOSICIONES APLICABLES A LAS
TARJETAS DE DÉBITO
Artículo 12°.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito Las tarjetas de débito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta o nombre comercial; y la identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de débito.

3. Fecha de vencimiento.

4. Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 13°.- Servicios asociados a tarjetas de débito Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso, de uno o más de los siguientes servicios, según corresponda:

1. Operaciones de compra, consumos o pagos por internet a través de una página web distinta a la de la empresa.

2. Consumos u operaciones efectuadas en el exterior con presencia física de la tarjeta.

3. Otras previstas por la empresa, en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para celebrar el contrato de depósito o de la tarjeta de débito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte del contenido del contrato de depósito o de la tarjeta de débito.

Artículo 14°.- Cargos Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.

CAPÍTULO IV
OTROS ASPECTOS APLICABLES A LAS
TARJETAS DE CRÉDITO Y DÉBITO
SUBCAPÍTULO I
MEDIDAS DE SEGURIDAD APLICABLES A
TARJETAS DE CRÉDITO Y DÉBITO
Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las siguientes medidas:

1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación.

2. Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras.

3. En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario.

Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea.

4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.

Artículo 16°.- Medidas de seguridad respecto a los usuarios Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios:

1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

2. En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave.

3. En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera.

4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.

6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse.

Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios:

1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.

2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.

3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.

4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.

5. Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad.

6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

Artículo 18°.- Medidas en materia de seguridad de la información Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestión de seguridad de la información y de continuidad del negocio.

Asimismo, en torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad:

1. Implementar y mantener la configuración de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados.

2. Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología.

3. Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio.

4. Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas.

5. Implementar y actualizar software y programas antivirus en computadores y servidores.

6. Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas.

7. Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario.

8. Implementar políticas de asignación de un identificador único a cada persona que acceda a través de software a los datos de los usuarios.

9. Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros.

10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios.

11. Efectuar análisis de vulnerabilidades periódicos a la red interna y pruebas de penetración externas e internas, así también luego de cambios significativos en la red o sistemas informáticos.

12. Implementar lineamientos y procedimientos de seguridad de la información específicos, incluyendo un programa formal de capacitación en seguridad de la información, en función a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violación de seguridad que sea probado anualmente.

Artículo 19°.- Medidas de seguridad en los negocios afiliados Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, así como para dar cumplimiento a las condiciones de uso señalados en el Reglamento, por parte de los operadores o establecimientos afiliados.

En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, deberán asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos:

1. Contar con procedimientos de aceptación de las operaciones, incluyendo entre otros la verificación de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable.

2. No guardar o almacenar en bases de datos manuales o computarizadas la información de la tarjeta, más allá de utilizarla para solicitar la autorización de una operación.

3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable.

Artículo 20°.- Requerimientos de seguridad en caso de subcontratación En los casos de subcontratación, que las empresas realicen para la provisión de servicios con tarjetas, es de aplicación la regulación vigente sobre subcontratación;
en particular, debe formalizarse en los acuerdos con terceros para la aceptación de las tarjetas, la necesidad del cumplimiento de estándares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas.

SUBCAPÍTULO II
OBLIGACIONES ADICIONALES DE LAS EMPRESAS
Artículo 21°.- Mecanismo de comunicación a disposición de los usuarios Las empresas deberán contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deberá encontrarse disponible las veinticuatro (24) horas del día, todos los días del año.

Se deberán registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se deberá generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, se deberá enviar al titular de las tarjetas una copia del registro de la comunicación efectuada, a través de medios físicos o electrónicos, según elección del propio usuario.

La información referida a los mecanismos de comunicación establecidos por la empresa, para dar cumplimiento a lo dispuesto en los párrafos precedentes, deberá encontrarse publicada en la parte inicial de la página web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea fácilmente identificable.

Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos.

Artículo 22°.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos:

1. Mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude.

2. Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario.

Artículo 23°.- Responsabilidad por operaciones no reconocidas Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas serán responsables de demostrar que las operaciones fueron autenticadas y registradas.

El usuario no es responsable de ninguna pérdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad:

1. Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene.

2. Por incumplimiento de lo dispuesto por el artículo 21°
del Reglamento.

3. Cuando las tarjetas hayan sido objeto de clonación.

4. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones.

5. Por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan.

6. Cuando se haya producido la suplantación del usuario en las oficinas.

7. Operaciones denominadas micropago, pactadas con el titular.

8. Operaciones realizadas luego de la cancelación de la tarjeta o cuando esta haya expirado.

En caso el usuario no se encuentre conforme con los fundamentos efectuados por la empresa para no asumir responsabilidad por las operaciones efectuadas, podrá presentar un reclamo o denuncia, de acuerdo con lo establecido por el marco normativo vigente.

Artículo 24°.- Traslado de costos por la contratación de seguros y/o creación de mecanismos de protección o contingencia Las empresas no podrán trasladar a los usuarios como gasto o comisión, según corresponda, el costo asociado a la contratación de pólizas de seguro y/o mecanismos de protección o contingencia, que tengan por objeto cubrir las pérdidas generadas como consecuencia de la realización de operaciones no reconocidas, que son de responsabilidad de estas de acuerdo con lo establecido en el artículo 23° del Reglamento.

Artículo 25°.- Devolución o destrucción En caso de anulaciones de tarjetas, con excepción de los casos de extravío o sustracción, las empresas procurarán la devolución física de la tarjeta encargándose de su destrucción en presencia del titular o del usuario.

La misma disposición resulta aplicable cuando se expidan duplicados o nuevas tarjetas en reemplazo de las deterioradas, o en caso de la resolución o término del contrato suscrito. En caso de que la devolución física de la tarjeta no sea posible, el titular o usuario de esta será responsable de su destrucción. Las empresas deberán comunicar a los establecimientos afiliados la invalidez en los casos de tarjetas anuladas o sustituidas antes del término de su vigencia.

SUBCAPÍTULO III
EN MATERIA DE SUPERVISIÓN
Artículo 26°.- Comunicación para expedir tarjetas Las empresas autorizadas, que decidan iniciar la expedición de tarjetas, deberán comunicarlo a la Superintendencia, en un plazo no menor a los treinta (30)
días anteriores al inicio de la referida expedición.

Artículo 27°.- Manuales aplicables por la expedición y administración de tarjetas Las empresas deberán contar con manuales relacionados con la expedición y administración de tarjetas, considerando para tal efecto el cumplimiento de las obligaciones desarrolladas en el Reglamento.

Adicionalmente, dichos manuales deberán considerar los procedimientos, plazos, controles y medidas de seguridad utilizados en la elaboración física, asignación de clave, transporte, entrega y custodia de las tarjetas.

DISPOSICIONES FINALES
Y TRANSITORIAS
Primera.- Reglamento de Transparencia Resultan aplicables las disposiciones reguladas en el Reglamento de Transparencia.

Segunda.- Cuentas Básicas Las tarjetas que se otorguen como consecuencia de la contratación de una cuenta básica, y exclusivamente para el uso de dicha cuenta, no se encuentran obligadas a cumplir con las disposiciones contempladas en el artículo 15° del Reglamento sobre el uso de tarjetas con circuito integrado o chip ni las obligaciones establecidas en la cuarta disposición final y transitoria del Reglamento que se encuentren asociadas a la implementación y puesta a disposición de tarjetas con circuito integrado o chip.

La referida disposición podrá aplicarse a otros productos financieros previa autorización de la Superintendencia.

Tercera.- Remisión de reportes Las empresas deberán remitir a la Superintendencia, dentro de los quince (15) días siguientes posteriores al cierre de cada mes, el Reporte N° 7 "Tarjetas de Crédito"
del Manual de Contabilidad para las Empresas del Sistema Financiero, vía SUCAVE, de acuerdo con las instrucciones contenidas en el reporte.

Cuarta.- Plazo de adecuación Para cumplir con las exigencias contempladas en el Reglamento, serán de aplicación los siguientes plazos máximos:

1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip, conforme a lo establecido en el artículo 15°
del Reglamento. Asimismo, a partir de esa fecha, las empresas deberán dar la posibilidad a los usuarios de cambiar sus tarjetas con banda magnética por tarjetas con chip.

2. Para implementar lo requerido en los artículos 7°, 10°, 13°, el numeral 4 del artículo 16°, así como lo señalado en el artículo 17°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2014.

3. A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes.

4. A partir del 31 de diciembre de 2015, las empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.

5. Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015.

Artículo Segundo.- El Reglamento de Tarjetas de Crédito y Débito, aprobado por el Artículo Primero de la presente Resolución, entrará en vigencia el 1 de abril de 2014, fecha en la cual quedará derogado el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS N° 264-2008 y sus normas modificatorias, así como el artículo 32° del Reglamento de Transparencia de Información y Disposiciones Aplicables a la Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS N° 1765-2005 y sus normas modificatorias.

Regístrese, comuníquese y publíquese.

DANIEL SCHYDLOWSKY ROSENBERG
Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones