Las APIs, o interfaces de programación de aplicaciones son un conjunto de definiciones y protocolos que se utiliza para desarrollar e integrar el software de las aplicaciones, son la tecnología que permite que diferentes aplicaciones se comuniquen entre sí. Es por ello que son una herramienta clave para simplificar y hacer más eficiente el desarrollo e innovación y se han posicionado como las impulsoras de la transformación digital en el sector financiero.
La Comisión Nacional Bancaria y de Valores (CNBV) de México publicó el pasado 4 de junio de 2020 en el Diario Oficial de la Federación las ‘Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera’, que entraron en vigor el 5 de junio de 2020.
Las disposiciones se emitieron en orden del artículo 76 de la Ley para Regular las Instituciones de Tecnología Financiera, que obliga a las entidades financieras, a las instituciones de tecnología financiera, las sociedades autorizadas para operar bajo modelos novedosos y a los transmisores de dinero, a intercambiar datos a través del uso de APIs a efecto de fomentar la competencia en los mercados.
Las disposiciones regulan, entre otras cuestiones, lo siguiente:
- Establece los sujetos obligados a obtener la autorización de CBNV para operar APIs. Estos sujetos obligados pueden ser:
- Solicitantes de datos: las entidades que solicitan acceso a datos abiertos.
- Proveedores de datos: las entidades obligadas a establecer APIs a fin de compartir datos abiertos.
- Los requisitos que se deben cumplir para obtener la autorización de la CNBV para el establecimiento y funcionamiento de las APIs.
- Los proveedores de datos deberán contar con una política de seguridad de la información que proteja la infraestructura informática que soporte la operación de las APIs, así como la confidencialidad e integridad de los datos compartidos.
- Requisitos mínimos de la infraestructura para la operación de las APIs.
- La obligación de notificar a la CNBV de incidentes en la seguridad de la información, así como de interrupciones en el acceso a la información.
- El procedimiento para la autorización y registro de las contraprestaciones que los proveedores de datos pretendan cobrar a los solicitantes de datos por el uso de las APIs.
- Programas de regularización aplicables a los sujetos que incumplan con las disposiciones. Dicha regularización en ningún caso debe exceder de tres meses una vez que el programa sea aprobado por la CNBV.