Estimada,

Dra. Eliana Arellano

Bogotá D.C., Octubre de 2019

CONSULTA REGULACIÓN PASARELAS DE PAGO EN COLOMBIA

1) Regulación vigente:

En primer lugar, debemos identificar cual es la normativa dispuesta para regular lo

concerniente a las pasarelas de pago en Colombia. Un primer instrumento
normativo es el que se encuentra en el subnumeral 2.3.8 al Capítulo I, Título II de la
Parte I de la Circular Básica Jurídica de la superintendencia financiera, quien es el
órgano que va a regular todo lo concerniente a las pasarelas de pago en el país.

En este texto normativo encontramos aquellas obligaciones, deberes y

responsabilidades y requerimientos que deben cumplir los contratos que hagan
los administradores de pasarelas de pago con los responsables de páginas web o
plataformas que tengan este modelo como alternativa de pago ante el
ofrecimiento de sus productos o servicios.

Según el subnumeral 2.3.8 al Capítulo I, Título II de la Parte I en el contrato suscrito

entre las dos partes anteriormente referidas se debe incluir:

i) La obligación por parte de los establecimientos de comercio o entidades

administradoras de pasarelas de pago de contar, mantener y entregar la
certificación PCI-DDS emitida por una entidad que ostente la categoría QSA
(Qualified Security Assessor).

ii) La obligación por parte de los establecimientos de comercio o entidades

administradoras de pasarelas de pago de contar con una política de
tratamiento y protección de datos personales de los consumidores, de
acuerdo con lo dispuesto en la Ley 1581 de 2012 y en la Ley 1266 de 2008, en lo
que resulte pertinente.

iii) La obligación por parte de los establecimientos de comercio o entidades

administradoras de pasarelas de pago de contar con políticas y
procedimientos relacionados con la prevención y el control del riesgo de
lavado de activos y financiación del terrorismo.

iv) La obligación por parte de los establecimientos de comercio o entidades

administradoras de pasarelas de pago de adelantar campañas informativas
sobre las medidas de seguridad que deben adoptar los compradores y
vendedores para la realización de operaciones de comercio electrónico.
 v) La obligación por parte de los establecimientos de comercio o entidades
administradoras de pasarelas de pago de informar al consumidor financiero
sobre la manera como se realiza el procedimiento de pago.

vi) Verificar, al menos una vez al año, la vigencia de la certificación PCI-DSS a que
hace referencia el subnumeral 2.3.8.1.1. del presente Capítulo.

Adicionalmente a esto, mediante la circular N° 007 de 2018 la superintendencia

financiera adiciona medidas encaminadas a fortalecer la ciberseguridad en este
tipo de transacciones con pasarelas de pago, de tal manera que los
administradores de las pasarelas de pago tuvieron que implementar lo estipulado
en el Capítulo V “Requerimientos mínimos para la gestión del riesgo de
ciberseguridad” en Título IV de la Parte I.

En el contenido de este texto normativo se ha de implementar diferentes etapas

que estas pasarelas de pago deben tener en cuenta en pro de garantizar la
gestión del riesgo de ciberseguridad. Entre estas etapas se encuentran
prevención, protección y detección, recuperación y aprendizaje, y por último
respuesta y comunicación. Las principales responsabilidades que deben cumplir
estas entidades están dispuestas desde el numeral 3.1 al 3.13 del Capítulo V Título
IV de la Parte I y son:

“1) Las entidades deben contar con políticas, procedimientos y recursos técnicos y
humanos necesarios para gestionar efectivamente el riesgo de ciberseguridad. En ese
sentido, deben adoptar, como mínimo, las medidas en materia de ciberseguridad

2) Establecer una unidad que gestione los riesgos de seguridad de la información y la

ciberseguridad.

3) Contar con un sistema de gestión para la ciberseguridad, para lo cual se pueden tomar
como referencia el estándar ISO 27032, NIST con sus publicaciones SP800 y SP1800, ISF
(Information Security Forum), CIS Critical Security Controls (CSC) o Cobit 5 for Information
Security, y sus respectivas actualizaciones.

4) Implementar controles para mitigar los riesgos que pudieran afectar la seguridad de
información confidencial, en reposo o en tránsito.

5) Emplear mecanismos para la adecuada autenticación y segregar las funciones y

responsabilidades de los usuarios con privilegios de administrador o que brindan soporte
remoto, para mitigar los riesgos de seguridad de la información.

6) Establecer procedimientos para la retención y destrucción final de la información, sin

que se desconozca lo establecido en el Artículo 96 del EOSF y demás normas aplicables.

7) Establecer una estrategia de comunicación e información que contemple los siguientes

ejes, sin perjuicio de las obligaciones de reporte a la SFC y demás autoridades de acuerdo
con la normatividad aplicable:
8) Incluir dentro del ciclo de vida del desarrollo del software, incluyendo servicios web y
apps, que procesan la información confidencial de la entidad o de los consumidores
financieros (desde las etapas iniciales tales como levantamiento de requerimientos hasta
las pruebas de seguridad pertinentes y producción), aspectos relativos con la seguridad
de la información que permitan mitigar dicho riesgo.

9) Incluir en los contratos que se celebren con terceros críticos, las medidas y obligaciones
pertinentes para la adopción y el cumplimiento de políticas para la gestión de los riesgos
de seguridad de la información y ciberseguridad.

10) Verificar periódicamente el cumplimiento de las obligaciones y medidas establecidas

conforme al subnumeral 3.9. de este Capítulo, para lo cual pueden implementar los
mecanismos adecuados para el efecto.

11) Contar con indicadores para medir la eficacia y eficiencia de la gestión de la

seguridad de la información y la ciberseguridad.

12) Gestionar la seguridad de la información y la ciberseguridad en los proyectos que

impliquen la adopción de nuevas tecnologías.

13) Considerar la conveniencia de contar con un seguro que cubra los costos asociados a
ataques cibernéticos.”

Estos requerimientos hechos por la superintendencia financiera responde a la

necesidad de garantizar la protección de datos financieros sensibles, los cuales
pueden ser sustraídos a sus titularos generando desconfianza en el modelo de
pasarela de pago y, consecuentemente, con el sistema de comercio electrónico
propuesto por la persona responsable de la página web. La filtración de
información sensible puede acarrear consecuencias para el responsable de los
datos, en este caso tanto la página web o plataforma que ofrezca servicios o
productos al público así como a las pasarelas de pago inmersas en la
circunstancia adversa.

Del mismo modo, debemos tener en cuenta que las pasarelas de pago
promueven un ambiente de venta no presente, lo que significa que van a dar
lugar a aquellas transacciones en las cuales el instrumento de pago no interactúa
con el dispositivo de captura de información, esto está regulado en el Capítulo I,
Título II, Parte I de la Circular Básica Jurídica de la superintendencia financiera.

2) Modelos de funcionamiento:

A continuación expondré diferentes pasarelas de pago con sus respectivos

modelos de funcionamiento:
PAYU

 Costo de inscripción: Gratis

 Comisión de venta por transacción: 3,49% + $900 (+IVA)

 Valor mínimo por transacción: $ 2,900 COP + IVA

 Costo por retiro a su cuenta bancaria: Nacional: Los 3 primeros retiros al mes son
gratis, a partir de la 4ta transacción en el mes tiene un costo de $6,500 COP +
IVA. Internacional: Con un costo de $30 USD convertido a moneda local; el monto
mínimo para realizar el giro es de $1.000 USD.

 Tiempo de transferencia a su cuenta bancaria: Nacional: 3 días

hábiles. Internacional: 7 días hábiles

 Costo de reversión por transacción: Las transacciones que no son exitosas

(cancelada, declinada y abandonada por el comprador) no son sujetas a cobro

 Límite de transacciones mensuales: Ilimitadas

 Medios de pago: Efectivo: Sured, Efecty y Baloto. Tarjetas de crédito: Visa, Credito
fácil Codensa, Master Card, American Express, Diners Club International. Pagos en
bancos: Davivienda, banco de Bogotá, Grupo Aval, Bancolombia. Transferencia
interbancaria: PSE. Otros medios de pago: PayU te fía, pago contra entrega.

 Los bancos aplicarán estas retenciones sobre los pagos que reciba con tarjeta de
crédito: Retención en la Fuente: 1,5% sobre el precio sin IVA. Retención sobre
IVA: 15% sobre el monto del IVA. Retención sobre ICA: 0,414% sobre el precio sin
IVA.

EPAYCO

 Costo de inscripción: Gratis

 Comisión de venta por transacción: 2.99 % + $900 (+IVA). Por transacciones

menores a $60.000 en PSE es de $2.000 Pesos + IVA.

 Valor mínimo por transacción: $5.000

 Costo por retiro a su cuenta bancaria: $6.500 + IVA

 Tiempo de transferencia a su cuenta bancaria: 24 a 72 horas hábiles

 Costo de reversión por transacción: $10.000 después del 2 día.

  Límite de transacciones mensuales: Ilimitadas

 Medios de pago: Efectivo: Gana, Efecty y Baloto. Tarjetas de Crédito: Visa, Master
Card, American Express, Diners Club International y Banco de Occidente
Credencial. Banca en línea Colombia: PSE. Banca en linea / Efectivo
Internacional: Safetypay.

 Los bancos aplicarán estas retenciones sobre los pagos que reciba con tarjeta de
crédito: Retención en la Fuente: 1,5% sobre el precio sin IVA. Retención sobre
IVA: 15% sobre el monto del IVA. Retención sobre ICA: 0,414% sobre el precio sin
IVA.

PAGO DIGITAL

 Costo de inscripción: Gratis

 Comisión de venta por transacción: Manejan planes a la medida, es decir,

depende de lo que se requiera, del costo de cada una de las transacciones o del
volumen que vaya manejar

 Valor mínimo por transacción: Dependiendo del plan

 Costo por retiro a su cuenta bancaria: Dependiendo del plan

 Costo de reversión por transacción: Dependiendo del plan

 Límite de transacciones mensuales: Dependiendo del plan

 Medios de pago: PSE, todos los bancos, tarjetas de crédito

 Los bancos aplicarán estas retenciones sobre los pagos que reciba con tarjeta de
crédito: Retención en la Fuente: 1,5% sobre el precio sin IVA. Retención sobre
IVA: 15% sobre el monto del IVA. Retención sobre ICA: 0,414% sobre el precio sin
IVA.

PAGOS INTELIGENTES

 Comisión de venta por transacción: 3.39% + $1.000, Incluye Validación Avanzada

Anti Fraude. (Tarifa Dinámica a partir de $10.000.000 en ventas).

 Valor mínimo por transacción: No aplica.

 Costo por retiro a su cuenta bancaria: $3.000 sin importar el monto a desembolsar.
  Tiempo de transferencia a su cuenta bancaria: 2 a 5 días hábiles.

 Costo de reversión por transacción: $1.000 después de 24 horas.

 Límite de transacciones mensuales: Ilimitadas.

 Medios de pago: Tarjetas de crédito (Visa, Master Card, American Express, Diners
Club, Codensa “Master Card”, Éxito “Master Card”) Transferencia interbancaria
(PSE) Efectivo (Efecty, Baloto, Éxito, Carulla, Surtimax) Otros (Nequi, Platy).

 Las transacciones con tarjetas de crédito están sujetas a las siguientes retenciones:
Renta ICA 0.414% sobre la base gravable, Retención en la Fuente 1.5% sobre la
base gravable, e IVA del 15% sobre el valor de IVA enviado en la transacción.

PAYPAL

 Costo de inscripción: Gratis

 Comisión de venta por transacción: 5.4% + 0.30 USD. Se cobrará un costo adicional
de hasta un 3.5% por cualquier conversión de moneda al recibir pagos. Si su ticket
promedio es menor a 10 USD, recomiendan la tarifa de micropagos (6.5% + 0.05
USD)

 Costo por retiro a su cuenta bancaria: Para el banco Davivienda es de $10 dólares
más IVA por cada transacción, independientemente del monto de la misma.

 Tiempo de transferencia a su cuenta bancaria: Hasta 6 días para cuentas

Davivienda

 Costo de reversión por transacción: No tiene costo

 Límite de transacciones mensuales: Ilimitadas

 Medios de pago: Todas las tarjetas de crédito

 Los bancos aplicarán estas retenciones sobre los pagos que reciba con tarjeta de
crédito: Retención en la Fuente: 1,5% sobre el precio sin IVA. Retención sobre
IVA: 15% sobre el monto del IVA. Retención sobre ICA: 0,414% sobre el precio sin
IVA.1

Muy cordialmente.

1Ikkonos. (2019). Pasarelas de pago para e-commerce en Colombia y sus costos - Ikkonos.
[online] Available at: https://www.ikkonos.com/ideate/pasarelas-de-pago-para-e-
commerce-en-colombia-y-sus-costos [Accessed 31 Oct. 2019].