Cifrado Laws Complicar la seguridad de los pagos en línea en China

El procesamiento de pagos en línea en China representa una gran oportunidad para las empresas de servicios financieros con sede en el extranjero. Sin embargo, como discutimos en nuestra publicación de blog anterior, las empresas de servicios financieros con sede en el extranjero deben seguir regulaciones estrictas, como lo describe el Banco Popular de China (PBOC), lo que dificulta que las empresas ingresen al negocio de procesamiento de pagos en China. .

Estas empresas con sede en el extranjero se clasifican como infraestructura de información crítica (CII), lo que significa que estas organizaciones almacenan y procesan datos que podrían amenazar la seguridad nacional si se revelaran, deshabilitaran o dañaran. Uno de los requisitos para proteger adecuadamente estos datos requiere que estas empresas mantengan estos datos dentro de China continental. Si es necesario enviar datos al extranjero, existen pautas estrictas y requisitos de autorización que deben cumplir. También existen sanciones significativas por enviar datos al extranjero sin autorización. Bajo la ciberseguridad de China laws, una empresa y su personal responsable podrían recibir una multa de hasta 100,000 15,450 yuanes ($XNUMX XNUMX USD). Si el delito se considera grave, se podría suspender o revocar la licencia comercial de la empresa y cerrar su sitio web. Por lo tanto, los proveedores de pagos en línea deben establecer centros de datos en China para almacenar, procesar y analizar información confidencial.

Sin embargo, la localización de datos no es suficiente para garantizar la seguridad, también se deben tomar otras medidas. Por lo general, los datos de transacciones en línea se cifran cuando viajan desde un sitio de comercio electrónico a un procesador de pagos en línea y, en última instancia, a la institución financiera o cuenta de tarjeta de crédito del consumidor. Sin embargo, las políticas de China con respecto al cifrado se han visto complicadas durante mucho tiempo por los intereses contrapuestos del desarrollo comercial y el control gubernamental.

Entendiendo la Ley de Cifrado de China

Los intereses contrapuestos entre el desarrollo comercial y el control gubernamental han cambiado significativamente con la nueva Ley de Cifrado de China que entró en vigencia en enero de 2020. Esta ley reemplazó las complejas regulaciones que controlaban los productos de cifrado chinos (los productos de cifrado extranjeros estaban estrictamente prohibidos) y fue diseñada para fomentar la desarrollo de tecnologías nacionales al tiempo que permite al gobierno monitorear y acceder a datos confidenciales.

Cuando se introdujo la nueva Ley de Cifrado de China, la mayoría de las organizaciones esperaban que restringiera aún más cualquier cifrado extranjero. Hizo exactamente lo contrario para sorpresa de todos al crear distinciones importantes entre el cifrado requerido en el comercio electrónico y el cifrado requerido para proteger la CII y los secretos de estado. Esto fomentó la participación extranjera en el desarrollo de la tecnología de encriptación. Este paso fue necesario para continuar desarrollando la economía digital de China y aprovechar otras tecnologías innovadoras, como blockchain.

Sin embargo, es importante tener en cuenta que CII está excluida de estos requisitos de cifrado menos estrictos. Las CII deben cumplir con los requisitos de seguridad y estar autorizadas por una institución designada por el gobierno. Por lo tanto, los proveedores de pagos en línea de terceros tienen menos opciones cuando se trata de encriptar transacciones.

Certificación de la Autoridad de Certificación Financiera de China (CFCA)

La Autoridad de Certificación Financiera de China (CFCA) se estableció en 2000 a través de una empresa conjunta entre 13 bancos comerciales bajo la autoridad del PBOC con la intención de acelerar el comercio electrónico. La CFCA ha sido aprobada por el PBOC y la Administración de Seguridad de la Información del Estado para servir como una autoridad de certificación (CA) nacional para el sector financiero. Las CA emiten certificados digitales que verifican la propiedad de las claves de cifrado públicas y permiten que las organizaciones confíen en las claves privadas correspondientes.

Rahi recomienda que cualquier empresa de servicios financieros que tenga la intención de hacer negocios en China obtenga certificados digitales de la CFCA y mantenga sus claves de cifrado dentro de China. Aunque la CFCA tiene monopoly power, su aceptación por parte del PBOC puede ayudar a agilizar las auditorías de seguridad y garantizar el cumplimiento normativo.

El equipo de Rahi tiene una amplia experiencia ayudando a los proveedores de pagos en línea a construir centros de datos en China, aprobar auditorías de seguridad y cumplir con los requisitos de protección de datos y continuidad comercial. Nuestros expertos están listos para ayudar a las empresas de servicios financieros a desarrollar una estrategia y ejecutar sus iniciativas chinas. Contáctenos hoy para saber cómo expandir su negocio a China.