Etiquetas
Ninguna
RESOLUCIÓN BCP N° 25/2025 - REGLAMENTO DE DEFINICIÓN DE ROLES, REGISTRO Y TRANSPARENCIA INFORMATIVA Y SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES DE SERVICIOS DE PAGO (PSP) DEL SISTEMA NACIONAL DE PA
2025-12-19Norma: LeyOrganización: Poder Legislativo NacionalJurisdicción: NacionalAlcance: General
REGLAMENTO DE DEFINICIÓN DE ROLES, REGISTRO Y TRANSPARENCIA INFORMATIVA Y SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES DE SERVICIOS DE PAGO (PSP) DEL SISTEMA NACIONAL DE PAGOS.
AÑO 2025
Acta N° 58 de fecha 18 de diciembre de 2025.-
RESOLUCIÓN N° 25.-
VISTO: la Ley N° 489/1995 “ORGÁNICA DEL BANCO CENTRAL DEL PARAGUAY”, modificada y ampliada por la Ley N° 6.104/2018; la Ley N° 7503/2025 “SISTEMA NACIONAL DE PAGOS”; la “NORMA REGLAMENTARIA PARA LA ELABORACIÓN Y EMISIÓN DE PROYECTOS NORMATIVOS DEL BCP Y SUS GUÍAS REFERENCIALES DE FUNDAMENTACIÓN Y DE TÉCNICA LEGISLATIVA”, aprobado por Resolución N° 5, Acta N° 35 de fecha 10 de junio de 2020; el informe conjunto SGGOF N° 10/2025 de la Gerencia General y de la Sub Gerencia General de Operaciones Financieras de fecha 15 de setiembre de 2025 “Fundamentos Técnicos del Reglamento sobre Interoperabilidad e Interconexión en Pagos con Tarjetas”; el dictamen GUJ.DJ.SMV-IP Nº 48/2025 de la Unidad Jurídica de fecha 24 de noviembre de 2025; los memorandos SGGOF N°s. 201/2025 y 245/2025 de la Sub Gerencia General de Operaciones Financieras de fechas 14 de octubre y 9 de diciembre de 2025; la providencia de la Gerencia General de fecha 11 de diciembre de 2025; la providencia de la Presidencia, de fecha 16 de diciembre de 2025; y,
CONSIDERANDO: que el artículo 45° de la Ley N° 489/1995 “Orgánica del Banco Central del Paraguay” dispone “Sistemas Internos de Pagos: El Banco Central del Paraguay velará por la eficiencia y el buen funcionamiento de los sistemas de pagos y de movimiento interno de dinero. A tal efecto y en particular: a) Adoptará o promoverá las medidas que tengan por objeto normalizar, desarrollar y agilizar los procedimientos y técnicas de los sistemas de pago y de movimiento de dinero, así como de compensación entre los bancos y demás entidades de crédito […]”.
Que, el artículo 3° de la Ley N° 7.503/2025 “Sistema Nacional de Pagos” designa al Banco Central del Paraguay (BCP) como autoridad de aplicación de dicha ley, facultándolo a “…regular y establecer las medidas, requerimientos, autorizaciones, definiciones, limitaciones y reglamentos correspondientes para su cumplimiento”.
Que, en el mismo sentido, la Ley N° 7.503/2025 establece que son Servicios de Pago: “…todo servicio que permite los depósitos y retiros de efectivo, la ejecución de las transferencias de fondos y las transacciones de pago, el procesamiento de pagos, la emisión, gestión y aceptación de los instrumentos de pago y la adquisición de transacciones de pago, la prestación de servicios de remesas y cualquier otro servicio funcional para la transferencia de dinero, la emisión y gestión de dinero electrónico e instrumentos de dinero electrónico, transferencias electrónicas no bancarias, los servicios no financieros relacionados con los servicios de pago, que permiten, facilitan u optimizan la ejecución de pagos, como los servicios de iniciación de pagos, y otros servicios de pago que el Banco Central del Paraguay determine reglamentariamente” y que, el proveedor de servicios de pago es la entidad que proporciona servicios de pago.
Que, el inciso d) del Artículo 4 de la Ley N° 7.503/2025 cita entre las atribuciones del Banco Central del Paraguay establecer los proveedores de servicios de pago y servicios de pago que quedarán sujetos a la regulación, control, supervisión y vigilancia de la banca matriz y al régimen de las faltas y sanciones previstas en la referida ley, en atención a su importancia en el ecosistema de pagos.
Que, igualmente, el inciso e) del Artículo 4 de la ley citada previamente, el Banco Central del Paraguay está facultado a reglamentar, definir los roles y establecer los requisitos aplicables a los distintos roles dentro del Sistema Nacional de Pagos, incluyendo los criterios organizativos, funcionales y de transparencia que correspondan.
Que, de acuerdo con el inciso f) del citado artículo, el BCP puede instituir los registros y fijar los criterios de inscripción aplicables a administradores, participantes, proveedores, sistemas y/o servicios que integran el Sistema Nacional de Pagos.
Que, conforme al inciso b) del citado artículo, en su segundo párrafo, el BCP está facultado a reglamentar las medidas necesarias, sean de carácter general o particular, para garantizar la seguridad en el manejo de la información y la protección de los datos de los participantes en el Sistema Nacional de Pagos.
Que, en el Informe Técnico SGGOF N° 10/2025 de fecha 15 de setiembre de 2025, se concluye que es necesario aprobar y poner en vigencia una normativa complementaria que se refiera a la definición de roles, registro y transparencia informativa de los servicios de pagos, que permita identificar y clasificar adecuadamente a los distintos proveedores de servicio de pagos.
Que, dentro de este marco normativo, el Registro de PSP se constituye en un instrumento esencial para la correcta identificación de los proveedores que operan en el Sistema Nacional de Pagos, permitiendo contar con información actualizada y verificable sobre los actores que intervienen en la prestación de servicios de pago, contribuyendo a consolidar un ecosistema alineado con los principios establecidos en la Ley N° 7.503/2025.
Que, la regulación de los PSP requiere, además, el establecimiento de estándares mínimos de transparencia informativa, seguridad de la información, ciberseguridad y protección de datos, acordes a la criticidad de los servicios que prestan y a la exposición a riesgos operativos y tecnológicos. Dichos estándares mínimos son indispensables para proteger a los usuarios y comercios, asegurar la integridad de las transacciones, prevenir incidentes que comprometan la continuidad operativa y resguardar la confidencialidad, disponibilidad e integridad de la información procesada por los PSP.
Que, la complejidad, diversidad y rápida evolución tecnológica de los servicios de pago requiere que la Gerencia General del BCP cuente con la facultad de emitir regulaciones complementarias que regulen de manera específica requisitos aplicables a cada tipo de PSP, de conformidad con su perfil, escala y nivel de riesgo. La emisión de tales normas complementarias permitirá adoptar un enfoque regulatorio dinámico y proporcional, consistente con las mejores prácticas internacionales y alineado con la protección de los usuarios y la estabilidad del ecosistema de pagos.
Que, el artículo 4° “Atribuciones de la Autoridad de Aplicación” de la Ley N° 7503/2025 de “Sistema Nacional de Pagos” (último párrafo, parte pertinente) que expresa cuanto sigue: “El Directorio del Banco Central del Paraguay podrá delegar facultades reglamentarias, supervisión y vigilancia a la unidad administrativa del Banco Central del Paraguay que corresponda,…”, de cuya lectura queda claro que el Directorio de la Institución tiene atribuciones legales para delegar, en el contexto del marco normativo que regula los sistemas de pagos y servicios de pago en el marco de tarjetas de crédito y/o débito, sus facultades de reglamentación, supervisión y vigilancia, en este caso a la Gerencia General del BCP.
Que, conforme al Dictamen GUJ.DJ.SMV-IP Nº 48/2025 de la Unidad Jurídica, el Directorio del Banco Central del Paraguay cuenta con suficientes atribuciones reglamentarias a fin de emitir una regulación con el objeto de: “definir los roles que los Proveedores de Servicios de Pago (PSP) que prestan los servicios de pago…, así como normas relativas a la protección de datos, la transparencia informativa y el registro que dichos proveedores deberán cumplir”, de conformidad a lo establecido en la Ley N° 489/95 “Orgánica del Banco Central del Paraguay”, en su versión modificada por la Ley N° 6104/2018, y en la Ley N° 7503/2025 “Sistema Nacional de Pagos”.
Que, la “Norma Reglamentaria para la Elaboración y Emisión de Proyectos Normativos del BCP y sus Guías Referenciales de Fundamentación y de Técnica Legislativa” aprobado por la Resolución N° 5 Acta N° 35 de fecha 10 de junio de 2020, establece la revisión jurídica como una de las etapas para la emisión de normativas. En tal sentido, por lo antedicho considera razonable proseguir con la decisión entendiendo que se encuentra debidamente fundada y dentro de las facultades del Directorio.
Por tanto, en uso de las atribuciones,
EL DIRECTORIO DEL BANCO CENTRAL DEL PARAGUAY
R E S U E L V E:
AÑO 2025
Acta N° 58 de fecha 18 de diciembre de 2025.-
RESOLUCIÓN N° 25.-
VISTO: la Ley N° 489/1995 “ORGÁNICA DEL BANCO CENTRAL DEL PARAGUAY”, modificada y ampliada por la Ley N° 6.104/2018; la Ley N° 7503/2025 “SISTEMA NACIONAL DE PAGOS”; la “NORMA REGLAMENTARIA PARA LA ELABORACIÓN Y EMISIÓN DE PROYECTOS NORMATIVOS DEL BCP Y SUS GUÍAS REFERENCIALES DE FUNDAMENTACIÓN Y DE TÉCNICA LEGISLATIVA”, aprobado por Resolución N° 5, Acta N° 35 de fecha 10 de junio de 2020; el informe conjunto SGGOF N° 10/2025 de la Gerencia General y de la Sub Gerencia General de Operaciones Financieras de fecha 15 de setiembre de 2025 “Fundamentos Técnicos del Reglamento sobre Interoperabilidad e Interconexión en Pagos con Tarjetas”; el dictamen GUJ.DJ.SMV-IP Nº 48/2025 de la Unidad Jurídica de fecha 24 de noviembre de 2025; los memorandos SGGOF N°s. 201/2025 y 245/2025 de la Sub Gerencia General de Operaciones Financieras de fechas 14 de octubre y 9 de diciembre de 2025; la providencia de la Gerencia General de fecha 11 de diciembre de 2025; la providencia de la Presidencia, de fecha 16 de diciembre de 2025; y,
CONSIDERANDO: que el artículo 45° de la Ley N° 489/1995 “Orgánica del Banco Central del Paraguay” dispone “Sistemas Internos de Pagos: El Banco Central del Paraguay velará por la eficiencia y el buen funcionamiento de los sistemas de pagos y de movimiento interno de dinero. A tal efecto y en particular: a) Adoptará o promoverá las medidas que tengan por objeto normalizar, desarrollar y agilizar los procedimientos y técnicas de los sistemas de pago y de movimiento de dinero, así como de compensación entre los bancos y demás entidades de crédito […]”.
Que, el artículo 3° de la Ley N° 7.503/2025 “Sistema Nacional de Pagos” designa al Banco Central del Paraguay (BCP) como autoridad de aplicación de dicha ley, facultándolo a “…regular y establecer las medidas, requerimientos, autorizaciones, definiciones, limitaciones y reglamentos correspondientes para su cumplimiento”.
Que, en el mismo sentido, la Ley N° 7.503/2025 establece que son Servicios de Pago: “…todo servicio que permite los depósitos y retiros de efectivo, la ejecución de las transferencias de fondos y las transacciones de pago, el procesamiento de pagos, la emisión, gestión y aceptación de los instrumentos de pago y la adquisición de transacciones de pago, la prestación de servicios de remesas y cualquier otro servicio funcional para la transferencia de dinero, la emisión y gestión de dinero electrónico e instrumentos de dinero electrónico, transferencias electrónicas no bancarias, los servicios no financieros relacionados con los servicios de pago, que permiten, facilitan u optimizan la ejecución de pagos, como los servicios de iniciación de pagos, y otros servicios de pago que el Banco Central del Paraguay determine reglamentariamente” y que, el proveedor de servicios de pago es la entidad que proporciona servicios de pago.
Que, el inciso d) del Artículo 4 de la Ley N° 7.503/2025 cita entre las atribuciones del Banco Central del Paraguay establecer los proveedores de servicios de pago y servicios de pago que quedarán sujetos a la regulación, control, supervisión y vigilancia de la banca matriz y al régimen de las faltas y sanciones previstas en la referida ley, en atención a su importancia en el ecosistema de pagos.
Que, igualmente, el inciso e) del Artículo 4 de la ley citada previamente, el Banco Central del Paraguay está facultado a reglamentar, definir los roles y establecer los requisitos aplicables a los distintos roles dentro del Sistema Nacional de Pagos, incluyendo los criterios organizativos, funcionales y de transparencia que correspondan.
Que, de acuerdo con el inciso f) del citado artículo, el BCP puede instituir los registros y fijar los criterios de inscripción aplicables a administradores, participantes, proveedores, sistemas y/o servicios que integran el Sistema Nacional de Pagos.
Que, conforme al inciso b) del citado artículo, en su segundo párrafo, el BCP está facultado a reglamentar las medidas necesarias, sean de carácter general o particular, para garantizar la seguridad en el manejo de la información y la protección de los datos de los participantes en el Sistema Nacional de Pagos.
Que, en el Informe Técnico SGGOF N° 10/2025 de fecha 15 de setiembre de 2025, se concluye que es necesario aprobar y poner en vigencia una normativa complementaria que se refiera a la definición de roles, registro y transparencia informativa de los servicios de pagos, que permita identificar y clasificar adecuadamente a los distintos proveedores de servicio de pagos.
Que, dentro de este marco normativo, el Registro de PSP se constituye en un instrumento esencial para la correcta identificación de los proveedores que operan en el Sistema Nacional de Pagos, permitiendo contar con información actualizada y verificable sobre los actores que intervienen en la prestación de servicios de pago, contribuyendo a consolidar un ecosistema alineado con los principios establecidos en la Ley N° 7.503/2025.
Que, la regulación de los PSP requiere, además, el establecimiento de estándares mínimos de transparencia informativa, seguridad de la información, ciberseguridad y protección de datos, acordes a la criticidad de los servicios que prestan y a la exposición a riesgos operativos y tecnológicos. Dichos estándares mínimos son indispensables para proteger a los usuarios y comercios, asegurar la integridad de las transacciones, prevenir incidentes que comprometan la continuidad operativa y resguardar la confidencialidad, disponibilidad e integridad de la información procesada por los PSP.
Que, la complejidad, diversidad y rápida evolución tecnológica de los servicios de pago requiere que la Gerencia General del BCP cuente con la facultad de emitir regulaciones complementarias que regulen de manera específica requisitos aplicables a cada tipo de PSP, de conformidad con su perfil, escala y nivel de riesgo. La emisión de tales normas complementarias permitirá adoptar un enfoque regulatorio dinámico y proporcional, consistente con las mejores prácticas internacionales y alineado con la protección de los usuarios y la estabilidad del ecosistema de pagos.
Que, el artículo 4° “Atribuciones de la Autoridad de Aplicación” de la Ley N° 7503/2025 de “Sistema Nacional de Pagos” (último párrafo, parte pertinente) que expresa cuanto sigue: “El Directorio del Banco Central del Paraguay podrá delegar facultades reglamentarias, supervisión y vigilancia a la unidad administrativa del Banco Central del Paraguay que corresponda,…”, de cuya lectura queda claro que el Directorio de la Institución tiene atribuciones legales para delegar, en el contexto del marco normativo que regula los sistemas de pagos y servicios de pago en el marco de tarjetas de crédito y/o débito, sus facultades de reglamentación, supervisión y vigilancia, en este caso a la Gerencia General del BCP.
Que, conforme al Dictamen GUJ.DJ.SMV-IP Nº 48/2025 de la Unidad Jurídica, el Directorio del Banco Central del Paraguay cuenta con suficientes atribuciones reglamentarias a fin de emitir una regulación con el objeto de: “definir los roles que los Proveedores de Servicios de Pago (PSP) que prestan los servicios de pago…, así como normas relativas a la protección de datos, la transparencia informativa y el registro que dichos proveedores deberán cumplir”, de conformidad a lo establecido en la Ley N° 489/95 “Orgánica del Banco Central del Paraguay”, en su versión modificada por la Ley N° 6104/2018, y en la Ley N° 7503/2025 “Sistema Nacional de Pagos”.
Que, la “Norma Reglamentaria para la Elaboración y Emisión de Proyectos Normativos del BCP y sus Guías Referenciales de Fundamentación y de Técnica Legislativa” aprobado por la Resolución N° 5 Acta N° 35 de fecha 10 de junio de 2020, establece la revisión jurídica como una de las etapas para la emisión de normativas. En tal sentido, por lo antedicho considera razonable proseguir con la decisión entendiendo que se encuentra debidamente fundada y dentro de las facultades del Directorio.
Por tanto, en uso de las atribuciones,
EL DIRECTORIO DEL BANCO CENTRAL DEL PARAGUAY
R E S U E L V E:
Art. 1°) Aprobar el “REGLAMENTO DE DEFINICIÓN DE ROLES, REGISTRO Y TRANSPARENCIA INFORMATIVA Y SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES DE SERVICIOS DE PAGO (PSP) DEL SISTEMA NACIONAL DE PAGOS”, cuyo texto se adjunta como anexo y forma parte de la presente Resolución, y disponer su entrada en vigencia a partir de la fecha de emisión de ésta Resolución.-
Art. 2°) Delegar a la Gerencia General la emisión de las disposiciones necesarias para el cumplimiento del presente reglamento. -
Art. 3°) Comunicar a quienes corresponda, publicar y archivar. -
FIRMADO DIGITALMENTE:
CARLOS CARVALLO SPALDING.-PRESIDENTE.-
CARMEN MARÍN RODRÍGUEZ.-LIANA CABALLERO KRAUSE.-
MIGUEL ÁNGEL MORA.-MARCO GONZÁLEZ MALDONADO.-DIRECTORES TITULARES.-
FÁTIMA VÁZQUEZ FLEITAS.-SECRETARIA DEL DIRECTORIO.-
FIRMADO DIGITALMENTE:
CARLOS CARVALLO SPALDING.-PRESIDENTE.-
CARMEN MARÍN RODRÍGUEZ.-LIANA CABALLERO KRAUSE.-
MIGUEL ÁNGEL MORA.-MARCO GONZÁLEZ MALDONADO.-DIRECTORES TITULARES.-
FÁTIMA VÁZQUEZ FLEITAS.-SECRETARIA DEL DIRECTORIO.-
ANEXO
Artículo 2° – Definiciones
Para los fines del presente reglamento, se entenderá por:
a. Adquirencia: actividad que consiste en disponibilizar la aceptación de instrumentos de pago en comercios, mediante la suscripción de acuerdos contractuales, asumiendo la
responsabilidad de procesar las transacciones, gestionando su autorización y liquidación, así como los riesgos asociados y garantizar la correcta transferencia de los fondos entre emisor y comercio/beneficiario.
b. Beneficiario: persona física o jurídica designada por el usuario para recibir los fondos derivados de una transacción de pago.
c. Billetera digital: aplicación móvil o plataforma digital, que permite a los usuarios almacenar instrumentos de pago digitales y realizar transacciones electrónicas de forma segura, tanto en entornos presenciales como remotos.
d. Canal digital: medio a través del cual se realizan transacciones de pago en entornos electrónicos, a través de plataformas accesibles por internet o aplicaciones móviles, como sitios web de comercios, plataformas de comercio electrónico, portales de facturación digital, dispositivos móviles, entre otros.
e. Canal físico: medio a través del cual se realizan transacciones de pago de forma presencial, en un entorno físico.
f. Comercio o establecimiento adherido o afiliado (comercio): persona física o jurídica, que celebra un contrato con un PSP para aceptar transacciones de pago por bienes o servicios, en puntos de aceptación a través de canales físicos o digitales.
g. Emisión: actividad mediante la cual se pone a disposición de los usuarios un instrumento de pago, mediante la suscripción de acuerdos contractuales, que permite efectuar compras u operaciones de pago, asumiendo la responsabilidad por su autorización, registro y gestión operativa o financiera.
h. Instrumento de pago: medio que permite a un usuario realizar transacciones de pago o transferencia de fondos a través de un PSP. Puede adoptar la forma de efectivo, cheque, tarjeta de débito y/o crédito, y transferencias de fondos, entre otros.
i. Proveedores de Servicios de Pago (PSP): a los efectos del presente reglamento, se considera como PSP a la entidad que proporciona servicios de pago relacionados al sistema de tarjetas de crédito y/o débito y billeteras digitales.
j. Red de pagos: infraestructura tecnológica que permiten la interconexión de participantes y la aceptación universal de instrumentos de pagos incluyendo reglas de operación, estándares técnicos y procesos de compensación/liquidación.
k. Servicios de pago: todo servicio que permita la ejecución de las transferencias de fondos y las transacciones de pago, el procesamiento de pagos, la emisión, gestión y aceptación de los instrumentos de pago y la adquisición de transacciones de pago.
l. Tarjeta de débito y crédito: instrumentos de pagos otorgados por un emisor a favor de sus usuarios.
m. Transferencias de fondos: operación mediante la cual se ejecutan instrucciones destinadas a poner una cantidad determinada de dinero a disposición de un destinatario final, con el efecto de cumplir o extinguir una obligación de pago, a través de registros contables en las cuentas de los participantes correspondientes.
n. Transacciones de pago: operación realizada por un usuario mediante el uso de un instrumento de pago, a través de cualquier canal (físico o digital), con el fin de ejecutar un pago por bienes o servicios, dando lugar a la acreditación de fondos en la cuenta del comercio.
o. Usuario o titular: persona física o jurídica autorizada a utilizar instrumentos de pago, siendo responsable de todos los cargos y consumos realizados por sí mismo o por terceros debidamente autorizados para dicho efecto.
Para los fines del presente reglamento, se entenderá por:
a. Adquirencia: actividad que consiste en disponibilizar la aceptación de instrumentos de pago en comercios, mediante la suscripción de acuerdos contractuales, asumiendo la
responsabilidad de procesar las transacciones, gestionando su autorización y liquidación, así como los riesgos asociados y garantizar la correcta transferencia de los fondos entre emisor y comercio/beneficiario.
b. Beneficiario: persona física o jurídica designada por el usuario para recibir los fondos derivados de una transacción de pago.
c. Billetera digital: aplicación móvil o plataforma digital, que permite a los usuarios almacenar instrumentos de pago digitales y realizar transacciones electrónicas de forma segura, tanto en entornos presenciales como remotos.
d. Canal digital: medio a través del cual se realizan transacciones de pago en entornos electrónicos, a través de plataformas accesibles por internet o aplicaciones móviles, como sitios web de comercios, plataformas de comercio electrónico, portales de facturación digital, dispositivos móviles, entre otros.
e. Canal físico: medio a través del cual se realizan transacciones de pago de forma presencial, en un entorno físico.
f. Comercio o establecimiento adherido o afiliado (comercio): persona física o jurídica, que celebra un contrato con un PSP para aceptar transacciones de pago por bienes o servicios, en puntos de aceptación a través de canales físicos o digitales.
g. Emisión: actividad mediante la cual se pone a disposición de los usuarios un instrumento de pago, mediante la suscripción de acuerdos contractuales, que permite efectuar compras u operaciones de pago, asumiendo la responsabilidad por su autorización, registro y gestión operativa o financiera.
h. Instrumento de pago: medio que permite a un usuario realizar transacciones de pago o transferencia de fondos a través de un PSP. Puede adoptar la forma de efectivo, cheque, tarjeta de débito y/o crédito, y transferencias de fondos, entre otros.
i. Proveedores de Servicios de Pago (PSP): a los efectos del presente reglamento, se considera como PSP a la entidad que proporciona servicios de pago relacionados al sistema de tarjetas de crédito y/o débito y billeteras digitales.
j. Red de pagos: infraestructura tecnológica que permiten la interconexión de participantes y la aceptación universal de instrumentos de pagos incluyendo reglas de operación, estándares técnicos y procesos de compensación/liquidación.
k. Servicios de pago: todo servicio que permita la ejecución de las transferencias de fondos y las transacciones de pago, el procesamiento de pagos, la emisión, gestión y aceptación de los instrumentos de pago y la adquisición de transacciones de pago.
l. Tarjeta de débito y crédito: instrumentos de pagos otorgados por un emisor a favor de sus usuarios.
m. Transferencias de fondos: operación mediante la cual se ejecutan instrucciones destinadas a poner una cantidad determinada de dinero a disposición de un destinatario final, con el efecto de cumplir o extinguir una obligación de pago, a través de registros contables en las cuentas de los participantes correspondientes.
n. Transacciones de pago: operación realizada por un usuario mediante el uso de un instrumento de pago, a través de cualquier canal (físico o digital), con el fin de ejecutar un pago por bienes o servicios, dando lugar a la acreditación de fondos en la cuenta del comercio.
o. Usuario o titular: persona física o jurídica autorizada a utilizar instrumentos de pago, siendo responsable de todos los cargos y consumos realizados por sí mismo o por terceros debidamente autorizados para dicho efecto.
Artículo 3° - Roles de los PSP
Los roles establecidos en este reglamento corresponden a las funciones que los PSP ofrecen según los servicios de pago que prestan, así como a las responsabilidades que asumen frente a otros participantes, usuarios, comercios y al BCP.
Un PSP podrá desempeñar más de un rol, conforme a las normativas vigentes. El desempeño de múltiples roles no exime al PSP del cumplimiento individual de las obligaciones asociadas a cada función.
A los efectos de esta reglamentación, se describen a continuación los roles desempeñados por los siguientes PSP:
a. Adquirente: PSP que realiza la actividad de adquirencia, en forma directa o a través de un tercero.
b. Emisor: PSP que provee los servicios de emisión.
c. Pasarela de pagos: PSP que provee infraestructura tecnológica que facilita la transmisión segura de información para autorizar y procesar transacciones de pagos en los canales digitales, actuando como intermediario entre adquirentes y comercios/beneficiarios, sin participar en el manejo de los fondos.
d. Procesador de Pagos: PSP que provee servicios tecnológicos y operativos, por cuenta de emisores, adquirentes o redes, para el procesamiento, enrutamiento, autorización, compensación o liquidación de operaciones de pago, sin asumir relación contractual con usuarios o comercios.
e. Proveedor de billetera digital: PSP que provee una billetera digital.
f. Subadquirentes: PSP que suscribe un contrato con el adquirente y contrata en nombre del adquirente con comercios para su vinculación a la red de pagos.
Los roles establecidos en este reglamento corresponden a las funciones que los PSP ofrecen según los servicios de pago que prestan, así como a las responsabilidades que asumen frente a otros participantes, usuarios, comercios y al BCP.
Un PSP podrá desempeñar más de un rol, conforme a las normativas vigentes. El desempeño de múltiples roles no exime al PSP del cumplimiento individual de las obligaciones asociadas a cada función.
A los efectos de esta reglamentación, se describen a continuación los roles desempeñados por los siguientes PSP:
a. Adquirente: PSP que realiza la actividad de adquirencia, en forma directa o a través de un tercero.
b. Emisor: PSP que provee los servicios de emisión.
c. Pasarela de pagos: PSP que provee infraestructura tecnológica que facilita la transmisión segura de información para autorizar y procesar transacciones de pagos en los canales digitales, actuando como intermediario entre adquirentes y comercios/beneficiarios, sin participar en el manejo de los fondos.
d. Procesador de Pagos: PSP que provee servicios tecnológicos y operativos, por cuenta de emisores, adquirentes o redes, para el procesamiento, enrutamiento, autorización, compensación o liquidación de operaciones de pago, sin asumir relación contractual con usuarios o comercios.
e. Proveedor de billetera digital: PSP que provee una billetera digital.
f. Subadquirentes: PSP que suscribe un contrato con el adquirente y contrata en nombre del adquirente con comercios para su vinculación a la red de pagos.
Artículo 4° – Registro de PSP
Los PSP definidos en el artículo 3° del presente reglamento deberán registrarse en el Banco Central del Paraguay (BCP).
La Gerencia General mediante norma complementaria establecerá los plazos, la forma y los requisitos para el registro.
El BCP podrá requerir información con el objetivo de verificar el cumplimiento de las obligaciones asociadas al registro.
Los PSP definidos en el artículo 3° del presente reglamento deberán registrarse en el Banco Central del Paraguay (BCP).
La Gerencia General mediante norma complementaria establecerá los plazos, la forma y los requisitos para el registro.
El BCP podrá requerir información con el objetivo de verificar el cumplimiento de las obligaciones asociadas al registro.
Artículo 5° – Transparencia informativa y atención
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán garantizar la publicidad, claridad, accesibilidad y comparabilidad de la información relativa a los servicios que prestan, en condiciones que permitan a dichos comercios y/o usuarios conocer y evaluar adecuadamente la naturaleza del servicio, los costos, condiciones y derechos asociados.
En particular, deberán:
a. Publicar en medios digitales de acceso público, de forma clara, actualizada y comprensible, el detalle de las comisiones, tarifas, cargos y demás condiciones económicas aplicables. La publicación deberá incluir, como mínimo:
i. La estructura tarifaria aplicable (porcentaje y valor fijo), así como el desglose de las mismas;
ii. Las condiciones de aplicación diferenciadas por tipo de servicio, canal, tecnología utilizada o sector económico del comercio;
iii. Cualquier cargo adicional, penalidad o costo operativo relevante.
b. Comunicar previamente a los comercios y/o usuarios, con una antelación no menor a treinta (30) días corridos, cualquier modificación en las comisiones, tarifas o condiciones contractuales.
c. Garantizar que los contratos celebrados con los usuarios y/o comercios sean redactados en lenguaje claro y accesible, y estipulen la responsabilidad del usuario en caso de fraude.
Asimismo, deberán especificar de manera estandarizada las condiciones de tarifas, comisiones, tiempos de ejecución, procedimientos de reclamos y las responsabilidades de las partes.
d. Establecer y mantener mecanismos eficaces de atención y resolución de reclamos, accesibles a todos los usuarios a través de canales físicos y/o digitales, que sean gratuitos y garanticen transparencia, equidad, celeridad, no discriminación y registro documentado de cada gestión. Estos mecanismos deberán prever un plazo máximo de respuesta y asegurar que la resolución sea comunicada a los usuarios y/o comercios de manera clara y verificable.
La Gerencia General del BCP podrá establecer requerimientos adicionales y/o solicitar reportes sobre las operaciones a los PSP, mediante norma complementaria o instrucciones específicas.
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán garantizar la publicidad, claridad, accesibilidad y comparabilidad de la información relativa a los servicios que prestan, en condiciones que permitan a dichos comercios y/o usuarios conocer y evaluar adecuadamente la naturaleza del servicio, los costos, condiciones y derechos asociados.
En particular, deberán:
a. Publicar en medios digitales de acceso público, de forma clara, actualizada y comprensible, el detalle de las comisiones, tarifas, cargos y demás condiciones económicas aplicables. La publicación deberá incluir, como mínimo:
i. La estructura tarifaria aplicable (porcentaje y valor fijo), así como el desglose de las mismas;
ii. Las condiciones de aplicación diferenciadas por tipo de servicio, canal, tecnología utilizada o sector económico del comercio;
iii. Cualquier cargo adicional, penalidad o costo operativo relevante.
b. Comunicar previamente a los comercios y/o usuarios, con una antelación no menor a treinta (30) días corridos, cualquier modificación en las comisiones, tarifas o condiciones contractuales.
c. Garantizar que los contratos celebrados con los usuarios y/o comercios sean redactados en lenguaje claro y accesible, y estipulen la responsabilidad del usuario en caso de fraude.
Asimismo, deberán especificar de manera estandarizada las condiciones de tarifas, comisiones, tiempos de ejecución, procedimientos de reclamos y las responsabilidades de las partes.
d. Establecer y mantener mecanismos eficaces de atención y resolución de reclamos, accesibles a todos los usuarios a través de canales físicos y/o digitales, que sean gratuitos y garanticen transparencia, equidad, celeridad, no discriminación y registro documentado de cada gestión. Estos mecanismos deberán prever un plazo máximo de respuesta y asegurar que la resolución sea comunicada a los usuarios y/o comercios de manera clara y verificable.
La Gerencia General del BCP podrá establecer requerimientos adicionales y/o solicitar reportes sobre las operaciones a los PSP, mediante norma complementaria o instrucciones específicas.
Artículo 6° – Reporte de operaciones y costos
Los PSP que mantengan relación contractual directa con comercios y/o usuarios, deberán poner a disposición reportes claros, completos y actualizados, a través de medios digitales seguros y en formatos exportables, de las transacciones de pago realizadas que hayan sido autorizadas, procesadas y/o liquidadas a través de su red o plataforma, así como de los costos asociados a dichos servicios.
Referidos PSP, según corresponda al rol desempeñado, deberán facilitar y comunicar como mínimo lo siguiente:
a. Identificación de cada transacción (fecha, hora, monto, instrumento y canal utilizado); b. Estado de la transacción (autorizada, procesada, liquidada, rechazada);
c. Costos aplicados a cada operación, discriminados por tipo de comisión o cargo; d. Montos netos acreditados y plazos de liquidación;
e. Resumen consolidado por períodos (diario y/o mensual) y/o facilitar herramientas que permitan generar o exportar informes consolidados.
Los reportes deberán estar disponibles de manera continua para los comercios y/o usuarios, sin perjuicio de otros plazos y/o requerimientos establecidos en normativas aplicables.
La Gerencia General del BCP podrá establecer requerimientos adicionales y/o solicitar reportes sobre las operaciones a los PSP, mediante norma complementaria o instrucciones específicas.
Los PSP que mantengan relación contractual directa con comercios y/o usuarios, deberán poner a disposición reportes claros, completos y actualizados, a través de medios digitales seguros y en formatos exportables, de las transacciones de pago realizadas que hayan sido autorizadas, procesadas y/o liquidadas a través de su red o plataforma, así como de los costos asociados a dichos servicios.
Referidos PSP, según corresponda al rol desempeñado, deberán facilitar y comunicar como mínimo lo siguiente:
a. Identificación de cada transacción (fecha, hora, monto, instrumento y canal utilizado); b. Estado de la transacción (autorizada, procesada, liquidada, rechazada);
c. Costos aplicados a cada operación, discriminados por tipo de comisión o cargo; d. Montos netos acreditados y plazos de liquidación;
e. Resumen consolidado por períodos (diario y/o mensual) y/o facilitar herramientas que permitan generar o exportar informes consolidados.
Los reportes deberán estar disponibles de manera continua para los comercios y/o usuarios, sin perjuicio de otros plazos y/o requerimientos establecidos en normativas aplicables.
La Gerencia General del BCP podrá establecer requerimientos adicionales y/o solicitar reportes sobre las operaciones a los PSP, mediante norma complementaria o instrucciones específicas.
Artículo 7° - Protección y segregación de fondos
A efectos de garantizar la correcta administración de los fondos involucrados en las operaciones de pago, se establece la obligación de mantener cuentas diferenciadas y segregadas para aquellos Proveedores de Servicios de Pago (PSP) que administren o custodien fondos de usuarios y/o comercios, comprendiendo a emisores y subadquirentes, de manera a asegurar que los fondos de los clientes se encuentren protegidos legalmente frente a reclamaciones de otros acreedores del PSP.
Los adquirentes, procesadores y red de pagos que no mantengan custodia directa de fondos de usuarios y/o comercios quedan exceptuados de esta disposición, debiendo garantizar en cambio la trazabilidad, seguridad y correcta conciliación de las transacciones procesadas.
A efectos de garantizar la correcta administración de los fondos involucrados en las operaciones de pago, se establece la obligación de mantener cuentas diferenciadas y segregadas para aquellos Proveedores de Servicios de Pago (PSP) que administren o custodien fondos de usuarios y/o comercios, comprendiendo a emisores y subadquirentes, de manera a asegurar que los fondos de los clientes se encuentren protegidos legalmente frente a reclamaciones de otros acreedores del PSP.
Los adquirentes, procesadores y red de pagos que no mantengan custodia directa de fondos de usuarios y/o comercios quedan exceptuados de esta disposición, debiendo garantizar en cambio la trazabilidad, seguridad y correcta conciliación de las transacciones procesadas.
Artículo 8° – De la Seguridad de la Información, Ciberseguridad y Protección de Datos
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán adoptar e implementar políticas, procedimientos y controles adecuados, que garanticen la integridad, confidencialidad y disponibilidad de la información, así como la seguridad de las operaciones procesadas a través de sus infraestructuras tecnológicas, basado en un enfoque de riesgo, con controles proporcionales a la naturaleza, nivel de exposición a riesgos, escala y complejidad de sus operaciones, sin perjuicio de los requerimientos establecidos en normativas aplicables.
Los referidos PSP deberán mantener a disposición del BCP, toda la documentación contemplada en el presente artículo, la cual podrá ser solicitada por el BCP cuando lo estime pertinente. Así mismo, el BCP podrá realizar verificaciones en cualquier momento, para asegurar el cumplimiento de los requerimientos establecidos.
Los PSP que también sean participantes del Sistema de Pagos del Paraguay (SIPAP), deberán cumplir con todas las reglamentaciones vigentes en la materia.
La Gerencia General del BCP podrá establecer, mediante norma complementaria o instrucciones específicas, medidas, requerimientos, estrategias o prácticas proporcionales relativas a la seguridad de la información, ciberseguridad y protección de datos, además de los mecanismos de verificación de su cumplimiento y el procedimiento de notificación de incidentes al BCP.
a. Responsabilidad y alcance
Los PSP que mantengan relación contractual directa con comercios y/o usuarios son responsables de salvaguardar la confidencialidad, protección, integridad y disponibilidad de la información y los datos de todos sus usuarios y/o comercios, así como de la infraestructura tecnológica que soporta la prestación de sus servicios. Para tal fin, deberán implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un enfoque de riesgo, con controles proporcionales a la naturaleza, nivel de exposición de riesgos, escala y complejidad de sus operaciones.
b. Requisitos mínimos
El SGSI de cada PSP deberá contemplar, como mínimo, las siguientes capacidades y controles, organizados de la siguiente forma:
i. Gobernanza y Gestión de Datos:
1. Política de Seguridad: Contar con una Política de Seguridad de la Información y Ciberseguridad formal, aprobada por su máxima instancia de gobierno (Directorio o equivalente), que defina claramente los roles y responsabilidades en la materia.
2. Clasificación de la Información: Establecer y aplicar un sistema de clasificación para la información que manejan, a fin de implementar controles de protección adecuados para cada categoría de datos.
3. Tratamiento de Datos Personales: Limitar la recolección de datos personales a lo estrictamente necesario para la prestación del servicio, obteniendo el consentimiento explícito del usuario para su tratamiento.
ii. Ciberseguridad y Controles Técnicos:
1. Control de Acceso: Implementar controles de acceso lógico y físico basados en el principio de mínimo privilegio, asegurando que el personal y los sistemas solo accedan a los recursos indispensables para ejecutar sus funciones autorizadas.
2. Cifrado de Datos: Utilizar algoritmos de cifrado robustos para proteger los datos sensibles, tanto en tránsito como en reposo.
3. Seguridad Perimetral y de Red: Desplegar y mantener mecanismos de seguridad, tales como firewalls y sistemas de detección de intrusiones, para proteger la infraestructura tecnológica de accesos no autorizados y ataques cibernéticos.
4. Gestión de Vulnerabilidades: Mantener un proceso continuo para la identificación, evaluación y remediación oportuna de las vulnerabilidades de seguridad en todos sus sistemas, aplicaciones e infraestructura.
iii. Continuidad del Negocio y Gestión de Incidentes:
1. Plan de Respuesta a Incidentes: Disponer de un plan documentado con procedimientos claros para detectar, contener, erradicar y recuperarse eficazmente de incidentes de seguridad, incluyendo ciberataques y brechas de datos.
2. Notificación de Incidentes: Los PSP que mantengan relación directa con usuarios y/o comercios deberán establecer un procedimiento de notificación al BCP sobre incidentes de seguridad que comprometan la confidencialidad o integridad de sus datos.
3. Plan de Continuidad del Negocio: Contar con un plan que asegure la disponibilidad y recuperación de los servicios de pago críticos ante eventos disruptivos.
c. Verificación y cumplimiento
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán someterse a evaluaciones periódicas independientes para verificar la eficacia de sus controles de seguridad.
Para ello, deberán:
i. Implementar mecanismos específicos para la prevención, detección y gestión del fraude en los servicios de pago que prestan.
ii. Demostrar el cumplimiento mediante una auditoría externa basada en estándares internacionalmente reconocidos (ej. ISO/IEC 27001 u otros marcos equivalentes). Los resultados de dichas evaluaciones deberán ser notificados anualmente al BCP, en la forma y plazos que este determine.-
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán adoptar e implementar políticas, procedimientos y controles adecuados, que garanticen la integridad, confidencialidad y disponibilidad de la información, así como la seguridad de las operaciones procesadas a través de sus infraestructuras tecnológicas, basado en un enfoque de riesgo, con controles proporcionales a la naturaleza, nivel de exposición a riesgos, escala y complejidad de sus operaciones, sin perjuicio de los requerimientos establecidos en normativas aplicables.
Los referidos PSP deberán mantener a disposición del BCP, toda la documentación contemplada en el presente artículo, la cual podrá ser solicitada por el BCP cuando lo estime pertinente. Así mismo, el BCP podrá realizar verificaciones en cualquier momento, para asegurar el cumplimiento de los requerimientos establecidos.
Los PSP que también sean participantes del Sistema de Pagos del Paraguay (SIPAP), deberán cumplir con todas las reglamentaciones vigentes en la materia.
La Gerencia General del BCP podrá establecer, mediante norma complementaria o instrucciones específicas, medidas, requerimientos, estrategias o prácticas proporcionales relativas a la seguridad de la información, ciberseguridad y protección de datos, además de los mecanismos de verificación de su cumplimiento y el procedimiento de notificación de incidentes al BCP.
a. Responsabilidad y alcance
Los PSP que mantengan relación contractual directa con comercios y/o usuarios son responsables de salvaguardar la confidencialidad, protección, integridad y disponibilidad de la información y los datos de todos sus usuarios y/o comercios, así como de la infraestructura tecnológica que soporta la prestación de sus servicios. Para tal fin, deberán implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un enfoque de riesgo, con controles proporcionales a la naturaleza, nivel de exposición de riesgos, escala y complejidad de sus operaciones.
b. Requisitos mínimos
El SGSI de cada PSP deberá contemplar, como mínimo, las siguientes capacidades y controles, organizados de la siguiente forma:
i. Gobernanza y Gestión de Datos:
1. Política de Seguridad: Contar con una Política de Seguridad de la Información y Ciberseguridad formal, aprobada por su máxima instancia de gobierno (Directorio o equivalente), que defina claramente los roles y responsabilidades en la materia.
2. Clasificación de la Información: Establecer y aplicar un sistema de clasificación para la información que manejan, a fin de implementar controles de protección adecuados para cada categoría de datos.
3. Tratamiento de Datos Personales: Limitar la recolección de datos personales a lo estrictamente necesario para la prestación del servicio, obteniendo el consentimiento explícito del usuario para su tratamiento.
ii. Ciberseguridad y Controles Técnicos:
1. Control de Acceso: Implementar controles de acceso lógico y físico basados en el principio de mínimo privilegio, asegurando que el personal y los sistemas solo accedan a los recursos indispensables para ejecutar sus funciones autorizadas.
2. Cifrado de Datos: Utilizar algoritmos de cifrado robustos para proteger los datos sensibles, tanto en tránsito como en reposo.
3. Seguridad Perimetral y de Red: Desplegar y mantener mecanismos de seguridad, tales como firewalls y sistemas de detección de intrusiones, para proteger la infraestructura tecnológica de accesos no autorizados y ataques cibernéticos.
4. Gestión de Vulnerabilidades: Mantener un proceso continuo para la identificación, evaluación y remediación oportuna de las vulnerabilidades de seguridad en todos sus sistemas, aplicaciones e infraestructura.
iii. Continuidad del Negocio y Gestión de Incidentes:
1. Plan de Respuesta a Incidentes: Disponer de un plan documentado con procedimientos claros para detectar, contener, erradicar y recuperarse eficazmente de incidentes de seguridad, incluyendo ciberataques y brechas de datos.
2. Notificación de Incidentes: Los PSP que mantengan relación directa con usuarios y/o comercios deberán establecer un procedimiento de notificación al BCP sobre incidentes de seguridad que comprometan la confidencialidad o integridad de sus datos.
3. Plan de Continuidad del Negocio: Contar con un plan que asegure la disponibilidad y recuperación de los servicios de pago críticos ante eventos disruptivos.
c. Verificación y cumplimiento
Los PSP que mantengan relación contractual directa con comercios y/o usuarios deberán someterse a evaluaciones periódicas independientes para verificar la eficacia de sus controles de seguridad.
Para ello, deberán:
i. Implementar mecanismos específicos para la prevención, detección y gestión del fraude en los servicios de pago que prestan.
ii. Demostrar el cumplimiento mediante una auditoría externa basada en estándares internacionalmente reconocidos (ej. ISO/IEC 27001 u otros marcos equivalentes). Los resultados de dichas evaluaciones deberán ser notificados anualmente al BCP, en la forma y plazos que este determine.-