Email infraestructura bajo régimen SBP · 9 bancos del CBI atendidos · Atrium Tower

El correo del banco vive bajo el Acuerdo 11-2018, no bajo Mailchimp.

El banco panameño que usa una plataforma genérica de email marketing para comunicaciones con clientes camina sobre exposición regulatoria visible al regulador. El Acuerdo 3-2012 obliga a la Unidad de Seguridad de la Información a monitorear cada incidente del correo institucional. El Acuerdo 5-2003 exige conservar registros cinco años desde la transacción. El Acuerdo 001-2022 obliga al Oficial de Protección de Datos a aprobar cada flujo que procese datos del cliente. El Artículo 85 del Decreto Ley 9-1998 prohíbe divulgar información del cliente sin consentimiento expreso, con sanción hasta cien mil balboas por violación. Los servicios ESP genéricos no firman responsabilidad bajo ninguno de esos marcos. EMP opera con nueve bancos del Centro Bancario Internacional desde 2014, con scope diseñado específicamente para banca panameña.

63bancos CBI con licencia SBP
SBP Feb 2026
$163Kmillones activos CBI 2025
SBP IAB 2025
5años retención logs
Acuerdo 5-2003 Art. 8
9bancos atendidos desde 2014
Operación EMP
Realidad operacional 2026 · sector bancario panameño

Los números que justifican la inversión.

El sector bancario panameño es objetivo prioritario de ciberataques regionales. Los datos publicados por SBP, Soluciones Seguras y CSIRT-AIG durante 2025 y 2026 muestran un panorama que dejó de admitir negligencia operacional sobre el correo institucional. Phishing por suplantación de bancos panameños alcanzó niveles que el regulador empezó a tratar como riesgo sistémico documentado.

3,300

Ataques semanales sector financiero PA

Soluciones Seguras · VI Congreso Ciberseguridad · marzo 2026

$125M

Fraudes evitados por bancos en 2025

SBP · informe anual · Milton Ayón Wong · feb 2026

6/10

Incidentes CSIRT son phishing suplantación

CSIRT-AIG · estadísticas anuales · abril 2026

El crecimiento interanual de ciberataques al sector bancario panameño fue del veinticinco por ciento entre 2025 y 2026 según el CEO de Soluciones Seguras Eli Fasca, citado en el VI Congreso Internacional de Ciberseguridad celebrado en marzo de este año. Los ataques que antes tomaban meses en llegar desde otras geografías hoy se propagan en cuestión de días gracias a infraestructura de phishing-as-a-service que opera con bases de datos sectoriales pre-armadas. Panamá como hub financiero regional, con presencia bancaria sofisticada y alto uso digital del cliente, se consolidó como blanco atractivo. El correo electrónico institucional del banco es el vector dominante del ataque: el cliente recibe email que parece venir del banco, hace clic, entrega credenciales, el dinero se mueve. Sin DMARC en enforcement con policy reject y sin BIMI con Verified Mark Certificate, el banco no tiene control técnico sobre quién envía correo con su dominio. Esa exposición ya no es discutible.

Matrix regulatoria SBP × controles operacionales

Cada obligación normativa tiene un control técnico equivalente.

Seis obligaciones SBP mapeadas a controles técnicos concretos que EMP implementa sobre la infraestructura de email del banco. Esta tabla es el output que el banco lleva al Comité de Riesgos para justificar la inversión y al equipo de Auditoría Interna para sustentar el cumplimiento ante revisión SBP. Las referencias regulatorias están verificadas contra el Compendio de Acuerdos publicado en superbancos.gob.pa al momento de redacción.

Mapeo Acuerdos SBP × Implementación EMP

Verificado contra documentos compilados SBP vigentes mayo 2026

Norma SBP Obligación específica Control técnico EMP Evidencia para auditoría
Acuerdo 3-2012Riesgo TI Confidencialidad e integridad de información transmitida; Unidad de Seguridad de la Información monitorea incidentes. TLS 1.3 obligatorio + MTA-STS modo enforce + DANE TLSA Reporte TLS-RPT semanal entregado al CISO; logs criptográficos firmados; runbook de incidente integrado al SOC del banco.
Acuerdo 5-2003Banca electrónica Conservación de registros por al menos cinco años desde la fecha de la transacción (Art. 8). Almacenamiento WORM 5 años con hash SHA-256 por bloque Política de retención firmada; pruebas anuales de integridad documentadas; export disponible para SBP bajo solicitud formal.
Acuerdo 11-2018Riesgo operativo Plan de Continuidad de Negocio probado al menos una vez al año; base de datos de eventos de riesgo operativo. DR multi-region con RTO 2h / RPO 15min + DR drill anual Acta de DR drill firmada por CTO del banco; inserción automática de incidentes email en base de datos de Riesgo Operativo.
Acuerdo 001-2022Datos bancarios Notificación al titular y a la SBP de cualquier incidente de seguridad sobre datos personales (Art. 26). SOC 24/7 con alerting tier 1/2/3 y escalation al ODP del banco Procedimiento de notificación firmado por el Oficial de Protección de Datos; ventana 48-72h documentada por severidad.
Art. 85 DL 9-1998Reserva bancaria Prohibición de divulgar información del cliente sin consentimiento expreso; sanción hasta B/.100,000. Plantillas con masking de datos sensibles + reply-to controlado Catálogo de plantillas aprobadas por el Oficial de Protección de Datos; auditoría trimestral de cumplimiento.
Ley 81-2019+ DE 285-2021 Principios de minimización, finalidad y calidad; derechos ARCO del titular; contrato de Encargado del Tratamiento. Contrato Encargado del Tratamiento + portal de derechos ARCO Contrato firmado bilateralmente; bitácora ARCO con tiempos de respuesta dentro de plazo legal de 15 días hábiles.

La matrix no es ornamental. Es el documento que el banco presenta al comité de riesgos cuando justifica la inversión y al equipo SBP durante una inspección anual. Cada fila resuelve una pregunta concreta del auditor: dónde está el control técnico, qué evidencia produce, quién lo aprueba dentro del banco. EMP entrega la implementación pero la propiedad del documento es del banco; nuestro nombre aparece solo como Encargado del Tratamiento o proveedor tecnológico bajo el acuerdo de outsourcing del Acuerdo 9-2005.

Lo que ve el cliente del banco en su inbox

Phishing suplantador vs correo legítimo con BIMI VMC.

El ataque de phishing más común contra clientes de bancos panameños no es sofisticado técnicamente. Es un correo que parece venir del banco, con domain parecido o spoofeado, sin firma BIMI verificada. El cliente confiado hace clic. Con DMARC en enforcement modo reject el banco bloquea la entrega del phishing antes de que llegue al inbox del cliente. Con BIMI Verified Mark Certificate emitido por DigiCert o Entrust el correo legítimo del banco muestra el logo verificado y un checkmark azul que el cliente reconoce visualmente.

Phishing · sin BIMI
B
Banco Nacional Panamá [email protected]

Urgente: verificación de cuenta requerida

Estimado cliente, hemos detectado actividad sospechosa en su cuenta. Para evitar bloqueo, confirme sus datos en el siguiente enlace dentro de las próximas 24 horas...

⚠ Domain: banco-naciona1-pa.com (con número 1 reemplazando la "l")
⚠ Sin firma DKIM válida del banco real
⚠ Sin logo BIMI verificado

Legítimo · BIMI VMC verified
Banco Nacional de Panamá [email protected]

Confirmación de transferencia ACH

Estimado cliente terminado en ****4892, le confirmamos la transferencia ACH realizada hoy por B/. ***.00 hacia la cuenta beneficiaria registrada en su banca online...

✓ DMARC reject + SPF pass + DKIM 2048-bit válido
✓ BIMI VMC verificado por DigiCert · trademark IGRJ
✓ TLS 1.3 + MTA-STS enforce + DANE TLSA

La diferencia visual es lo que el cliente percibe. Detrás, el control técnico real opera en tres capas. Primera, DMARC con policy reject le dice a Gmail, Microsoft, Apple Mail y Yahoo que cualquier correo que falle alineación con SPF o DKIM y que pretenda venir del dominio del banco debe ser rechazado antes de la entrega. El phishing ni siquiera llega al inbox. Segunda, BIMI VMC requiere trademark registrada del logo del banco; el certificado lo emite DigiCert o Entrust después de validar la titularidad legal del logo, lo cual el atacante no puede falsificar. Tercera, el reverse path criptográfico DKIM con clave de 2048 bits garantiza que el contenido del mensaje no fue modificado en tránsito.

Tres capas operacionales que el banco debe documentar

El correo del banco se ejecuta en tres capas técnicas distintas.

No es un sistema único. Email transaccional confirma operaciones del cliente (Art. 9 del Acuerdo 5-2003). Email marketing y avisos institucionales mantienen al cliente informado bajo consentimiento Ley 81. Email forense conserva evidencia bajo retención de cinco años con cadena de custodia. Cada capa tiene controles propios y se documenta separada en el manual de Riesgo Operativo que el banco remite a la SBP cada 31 de enero.

01 Transaccional

Confirmación de operaciones del cliente

Email que el Acuerdo 5-2003 Art. 9 obliga a enviar para confirmar la ejecución de operaciones realizadas por banca electrónica. Incluye confirmaciones de transferencias ACH, pagos a tarjetas, depósitos a plazo, cambios de contraseña, ingresos a banca online desde dispositivos nuevos. El contenido respeta reserva bancaria Art. 85: nunca número completo de cuenta, nunca balance, nunca monto en claro cuando el flujo de phishing potencial es alto. Volumen típico para banco mediano del CBI panameño: 800K a 3M envíos mensuales.

Stack técnico: MTA dedicado PowerMTA o KumoMTA · IPs dedicadas con warmup desde cero · DMARC reject + DKIM 2048-bit + SPF strict · MTA-STS enforce + DANE TLSA · BIMI VMC verificado · retención WORM 5 años con hash SHA-256
02 Comunicaciones

Avisos institucionales y marketing autorizado

Comunicaciones masivas que requieren consentimiento específico bajo Ley 81: ofertas de productos, novedades del banco, avisos regulatorios masivos del Acuerdo 9-2022 sobre transparencia. El consentimiento se obtiene por canal: aceptación generalizada a "banca electrónica" no cubre marketing por email. El Acuerdo 001-2022 Art. 11 obliga a entregar Aviso de Privacidad al recolectar datos personales por canales electrónicos. EMP separa este flujo de transaccional en pool de IPs distinto para que un problema reputacional en marketing no afecte la entrega de las confirmaciones críticas.

Stack técnico: Pool IPs dedicadas separadas del transaccional · DMARC reject misma policy · BIMI VMC compartido · gestión de consentimiento integrada con la base de datos del banco · suppression list bajo control del Oficial de Protección de Datos · respuesta automática a derechos ARCO en 15 días hábiles
03 Forense

Conservación de evidencia y respuesta a incidentes

Capa invisible al cliente pero crítica para el banco. Logs de cada envío con metadata completa (sender IP, timestamp, message-ID, DKIM signature, status de entrega, bounces, complaints) conservados cinco años bajo el Acuerdo 5-2003 Art. 8. Disponible para Auditoría Interna, Oficial de Protección de Datos y autoridad competente bajo solicitud formal. Cadena de custodia documentada para que la evidencia sea admisible en proceso ante SBP, MEF, Procuraduría, o tribunales civiles y penales. La capa forense también es la que alimenta el reporte anual al Comité de Riesgos sobre eventos de Riesgo Operativo email.

Stack técnico: Almacenamiento WORM en Panamá · hash SHA-256 por bloque · validación periódica de integridad · acceso con MFA y registro completo de consultas · export firmado digitalmente bajo solicitud formal · integración con peritaje email forense si el banco lo requiere
Lo que un ESP genérico no puede hacer

Mailchimp, SendGrid o HubSpot no son aptos.

Sin juicio comercial sobre esas plataformas: son excelentes para SaaS B2B, ecommerce, retail. Pero ninguna firma contrato de Encargado del Tratamiento bajo Ley 81 panameña, ninguna se compromete a notificar incidentes dentro de la ventana SBP, ninguna entrega logs cinco años en almacenamiento WORM auditable por la SBP, ninguna pasa por aprobación del Oficial de Protección de Datos del banco antes de cada flujo nuevo. El banco que usa ESP genérico para correos a clientes está delegando responsabilidad sin contrato que lo cubra. En la primera inspección SBP que revise el detalle del email institucional, el hallazgo es inevitable. La pregunta no es si va a salir; es cuándo.

Stakeholders del banco que validan el proyecto

Quién aprueba qué durante el discovery y el setup.

El proyecto bancario no se aprueba con un solo interlocutor. Cinco roles del banco intervienen en momentos específicos del ciclo. EMP coordina con cada uno sin pedirle al CTO que sea intermediario único. Esa coordinación directa es lo que reduce el tiempo total del proyecto de seis meses a doce semanas en bancos medianos.

Rol 01

Oficial de Protección de Datos

NormaAcuerdo 001-2022 Art. 22

Aprueba cláusulas del contrato de Encargado del Tratamiento. Valida cada flujo email que procese datos del cliente. Recibe el reporte trimestral de cumplimiento.

Rol 02

Unidad de Seguridad de la Información

NormaAcuerdo 3-2012 Art. 11

Integra el SOC del banco con el monitoreo email de EMP. Aprueba runbooks de respuesta a incidentes. Valida controles criptográficos.

Rol 03

Comité de Riesgos

NormaAcuerdo 11-2018 + Acuerdo 8-2010

Aprueba presupuesto y el alcance del outsourcing tecnológico bajo Acuerdo 9-2005. Recibe reportes periódicos de exposición a riesgo operativo email.

Rol 04

Auditoría Interna

NormaAcuerdo 5-2011

Audita el cumplimiento operacional anualmente. Remite hallazgos a SBP cada 31 de enero. Valida la cadena de custodia de los logs forenses.

Rol 05

CSIRT del banco

NormaAcuerdo SBP-AIG 2021

Recibe alertas de incidentes email en tiempo real. Coordina con CSIRT-Panamá vía AIG. Activa el plan de respuesta dentro de la ventana SBP.

Setup banco mediano · 6 fases · 8-12 semanas

Cómo ejecutamos la implementación bancaria.

Fase 01
Semana 1-2

Discovery + NDA bilateral

Análisis del estado email actual contra las seis obligaciones SBP. Sesión con Oficial de Protección de Datos. Inventario de senders, flujos y consentimientos.

Fase 02
Semana 2-3

Contractual + comité

Firma del contrato de Encargado del Tratamiento bajo Ley 81. Presentación del scope al Comité de Riesgos. Aprobación del outsourcing tecnológico SBP.

Fase 03
Semana 3-6

Infraestructura técnica

Aprovisionamiento de MTA dedicado, IPs nuevas, configuración DNS (SPF strict, DKIM 2048, DMARC reject), MTA-STS enforce, DANE TLSA, BIMI VMC con DigiCert.

Fase 04
Semana 4-9

Warmup IPs + migración

Curva warmup conservadora 6-8 semanas para IPs nuevas dedicadas del banco. Migración gradual desde ESP genérico o desde Postfix legacy. Coexistencia paralela.

Fase 05
Semana 8-10

SOC integration + runbooks

Integración con SOC del banco. Configuración de alerting tier 1/2/3. Runbooks de incidente y notificación SBP. DR drill coordinado con TI del banco.

Fase 06
Semana 10-12

Go-live + handover

Cutover formal coordinado con ventana de mantenimiento del banco. Capacitación equipo de Cumplimiento. Documento de cierre para Auditoría Interna. 90 días soporte SOC incluido.

Pricing transparente · banca

Cuatro tiers según tamaño y complejidad del banco.

Pricing es indicativo; banco enterprise del CBI con activos sobre USD 5,000 millones tiene scope ampliado que requiere quote dedicada. El discovery bancario ($4,500) es separable: si el banco decide ejecutar internamente con el plan entregado, no hay obligación de continuar. Si avanza el proyecto, el costo del discovery se descuenta del primer servicio dentro de noventa días.

Discovery Bancario

Standalone · 2 semanas · descontable.

$4,500 USD
  • Mapping vs 6 obligaciones SBP
  • Sesión con Oficial de Protección de Datos
  • Plan para Comité de Riesgos
  • Sin compromiso continuar
  • Descontable del proyecto
  • NDA bilateral incluido
Solicitar Discovery

Setup Enterprise

Banco grande del CBI · 12-16 semanas.

$68,000 USD
  • Arquitectura HA multi-region
  • Anti-phishing dedicated scoping
  • Integración CSIRT-Panamá
  • BAA equivalente bancario
  • 90 días monitoreo SOC
  • Presentación Comité Riesgos
Hablar Enterprise

Compliance Audit Anual

Anual · 3 semanas · independiente.

$8,500 USD
  • Audit vs estado SBP vigente
  • Informe apto Auditoría Interna
  • Updates normativos del año
  • Gap analysis priorizado
  • Contratable independiente
  • Para Auditoría 31 enero
Agendar Audit
Lo que pregunta el CISO o CRO bancario en primera reunión

Las dudas reales cuando el banco evalúa cambiar.

"Nuestro ESP actual es internacional y reconocido. ¿Por qué cambiar?"

Por responsabilidad contractual concreta. SendGrid, Mailchimp, HubSpot y similares operan bajo legislación de su jurisdicción de origen (USA, UE), no bajo Ley 81 panameña ni bajo el régimen SBP. Ninguno firma contrato de Encargado del Tratamiento bajo Decreto Ejecutivo 285-2021 con las cláusulas que la SBP espera ver durante una inspección bancaria. Ninguno se compromete a notificar incidentes en la ventana operacional que el Acuerdo 001-2022 exige al banco. Ninguno entrega logs WORM cinco años con la cadena de custodia que el Acuerdo 5-2003 demanda. Ninguno pasa por aprobación previa del Oficial de Protección de Datos del banco antes de cada flujo nuevo. El banco que usa ESP genérico para correos a clientes está delegando responsabilidad bajo un contrato comercial estándar que no cubre el régimen bancario panameño. En la primera inspección que toque ese detalle, la observación es inevitable.

"¿Qué pasa si tenemos incidente de phishing masivo con el dominio del banco?"

Sin DMARC reject, el phishing entra al inbox del cliente y el daño reputacional se ejecuta. Con DMARC reject + BIMI VMC ya operativo, el phishing es bloqueado por Gmail, Microsoft, Apple y Yahoo antes de la entrega y los mailbox providers reportan los intentos vía DMARC RUA reports al banco, lo cual constituye evidencia formal del ataque para la respuesta SBP. En todos los casos, EMP activa el procedimiento tier 1/2/3: alerta al SOC del banco en 15 minutos, escalation al Oficial de Protección de Datos en una hora, preparación de notificación SBP y a titulares afectados dentro de la ventana de cuarenta y ocho a setenta y dos horas según severidad bajo Acuerdo 001-2022 Art. 26. La diferencia entre tener o no DMARC enforcement es la diferencia entre incidente contenido y crisis pública. Los $125 millones en fraudes evitados que SBP reportó en febrero 2026 son evidencia de eso a nivel sistema.

"¿La SBP exige textualmente DMARC y BIMI?"

No textualmente con esos nombres. La SBP exige confidencialidad, integridad y autenticidad de las comunicaciones electrónicas (Acuerdo 3-2012), protección contra acceso no autorizado a datos personales (Acuerdo 001-2022) y gestión de riesgo operativo que incluya ciberseguridad (Acuerdo 11-2018). DMARC y BIMI son los controles técnicos estándar de la industria 2026 que materializan esas obligaciones. Cuando el regulador pregunta cómo el banco previene la suplantación de identidad por correo electrónico, la respuesta esperada en 2026 es DMARC en enforcement con policy reject. Cuando pregunta cómo el cliente distingue email legítimo del phishing, la respuesta esperada es BIMI con Verified Mark Certificate. Otros controles funcionan también, pero estos son los estándares que el ecosistema bancario regional adoptó. Bancos colombianos, mexicanos y de centroamérica ya los implementan. La pregunta no es si la SBP lo va a exigir explícitamente sino cuándo.

"¿Pueden coordinarse con nuestro proveedor de core banking?"

Sí, eso es parte del scope típico. Los core banking más comunes en el CBI panameño son Temenos T24, Finastra Fusion, Oracle FLEXCUBE, FIS Profile, Bantotal. EMP integra el envío email con el core via APIs REST estándar o vía SMTP relay autenticado con MTLS según preferencia del banco. Los flujos transaccionales (confirmaciones ACH, notificaciones de tarjeta, alertas de seguridad) se disparan desde el core hacia el MTA dedicated de EMP que firma con DKIM del banco, cifra TLS reforzado, entrega al cliente. El log de la entrega vuelve al core via webhook para que el banco tenga trazabilidad completa en su propia data warehouse. Para integraciones complejas con core legacy (mainframe, AS/400), el scope se extiende a 12-16 semanas con coordinación adicional. Coordinamos directamente con el proveedor del core sin requerir que el CTO del banco sea intermediario.

"Tenemos contrato vigente con ESP actual. ¿Cómo manejan la transición?"

Coexistencia paralela durante el warmup de las IPs nuevas. El banco no queda sin capacidad de envío en ningún momento del proyecto. Durante las primeras semanas el ESP existente sigue manejando volumen base mientras EMP arranca con flujos de bajo volumen sobre las IPs nuevas dedicated. Semana a semana migramos flujos según la curva de warmup y la criticidad de cada tipo de correo. Los flujos transaccionales críticos típicamente migran al final, cuando las IPs nuevas ya tienen reputación construida. El ESP existente se decommissiona al cierre del proyecto en una ventana coordinada con el banco. Si el contrato del ESP tiene penalización por terminación temprana, ayudamos al banco a negociar transición ordenada vs ruptura abrupta. Hemos hecho esta migración con seis de los nueve bancos que atendemos, todos sin pérdida de continuidad operacional documentada.

"¿Y si nuestro banco es licencia internacional sin clientes locales?"

El régimen aplica igual con matices. Banco de licencia internacional bajo SBP sigue sujeto al Acuerdo 11-2018 sobre Riesgo Operativo, al Acuerdo 3-2012 sobre Riesgo TI y al Acuerdo 001-2022 sobre Datos Personales. Lo que cambia es la base de clientes: si tus clientes son corporativos USA, europeos o asiáticos, los flujos email tienen consideraciones adicionales de GDPR, CCPA o LGPD según jurisdicción del cliente, además del régimen SBP que aplica al banco. EMP coordina con asesoría legal externa especializada en privacidad multi-jurisdicción cuando el scope lo requiere. Para banco internacional puro con cero clientes locales el setup es ligeramente más simple porque algunos requisitos del Acuerdo 001-2022 (notificación al titular en español, plazos ARCO en días hábiles panameños) aplican parcialmente. El discovery determina exactamente qué subset del régimen aplica al banco específico.

Preguntas técnico-regulatorias profundas

Lo que sale en discovery con el CRO y el Oficial de Protección de Datos.

¿Qué obligaciones específicas tiene la SBP sobre el email del banco?

El email del banco está regulado por cuatro acuerdos SBP que aplican simultáneamente y un decreto ley:

  • Acuerdo 3-2012 sobre Gestión del Riesgo de la Tecnología de la Información obliga a contar con Unidad de Seguridad de la Información que monitoree incidentes en sistemas que incluyen el correo electrónico institucional
  • Acuerdo 11-2018 sobre Riesgo Operativo incorpora el correo dentro del Plan de Continuidad de Negocio y exige documentar eventos en la base de datos de riesgos operativos
  • Acuerdo 5-2003 sobre Banca Electrónica obliga a confirmar al cliente las operaciones efectuadas y a conservar los registros por al menos cinco años
  • Acuerdo 001-2022 sobre Protección de Datos Bancarios obliga al banco a comunicar al titular y a la SBP cualquier incidente de violación de seguridad que afecte datos personales
  • Artículo 85 del Decreto Ley 9-1998 sobre Reserva Bancaria establece que el banco solo divulga información de clientes con su consentimiento, lo cual aplica al diseño del flujo email y al manejo de logs
¿Cómo se cumple el Art. 85 Reserva Bancaria en flujos email?

La reserva bancaria del Art. 85 prohíbe divulgar información del cliente sin su consentimiento expreso, salvo solicitud formal de autoridad competente. En email transaccional esto significa que el contenido del mensaje no puede revelar saldos, números de cuenta completos, ni detalles de transacciones sin que el flujo cuente con consentimiento documentado del cliente bajo Ley 81.

Prácticas estándar que EMP aplica con bancos panameños:

  • Usar últimos cuatro dígitos en lugar de número completo de cuenta
  • Omitir balance específico y referir al banco online
  • Cifrado TLS reforzado punto a punto vía MTA-STS y DANE
  • Evitar reenvío del mensaje a terceros mediante reply-to controlado
  • Logs de envío con acceso limitado al Oficial de Protección de Datos y a la Unidad de Auditoría Interna

El consentimiento bajo Ley 81 debe ser específico para canal email; consentimiento genérico para banca electrónica no cubre automáticamente comunicaciones por email.

¿Qué cifrado de transporte exige la SBP para email bancario?

La SBP no especifica un protocolo concreto pero el Acuerdo 3-2012 obliga a confidencialidad de la información transmitida, lo cual el estándar de la industria interpreta como TLS 1.2 mínimo en 2026 con MTA-STS y preferentemente DANE TLSA para forzar el cifrado sin caída a texto plano.

Sin MTA-STS, un atacante con posición de man-in-the-middle puede degradar la conexión STARTTLS opportunistic a texto plano y leer el contenido en tránsito. Esta es vulnerabilidad real explotada históricamente en email bancario y motivo por el cual el Acuerdo 001-2022 que se remite a las disposiciones del Acuerdo de Riesgo TI aplica indirectamente.

EMP configura por default MTA-STS modo enforce con TLSA RR DANE para los dominios bancarios, además de TLS-RPT para detectar intentos de downgrade en producción. La configuración se documenta en el manual de Riesgo Operativo que el banco remite anualmente a la SBP.

¿Cómo se maneja la notificación de incidentes de seguridad email?

El Acuerdo 001-2022 art. 26 obliga al banco a comunicar al titular afectado cualquier incidente de violación de seguridad sobre datos personales, incluyendo daño, pérdida, alteración, destrucción, acceso o uso no autorizado. La notificación a la SBP es paralela.

EMP opera detection y alerting que dispara en tres tiers cuando hay anomalía:

  • Tier 1: alerta interna al SOC del banco dentro de quince minutos
  • Tier 2: escalation al Oficial de Protección de Datos dentro de una hora
  • Tier 3: preparación de notificación a SBP y a titulares afectados dentro de la ventana del Decreto Ejecutivo 285 que el regulador interpreta como cuarenta y ocho a setenta y dos horas según severidad

La integración con CSIRT-Panamá vía el CSIRT propio del banco está disponible para bancos que tengan ese vínculo establecido bajo el acuerdo SBP-AIG de 2021.

¿Cuántos años de logs hay que retener exactamente?

Cinco años como mínimo según el Acuerdo 5-2003 art. 8 que establece que el banco debe conservar los registros de operaciones por banca electrónica por un período no inferior a cinco años desde la fecha de la transacción.

  • Email transaccional que confirma operaciones del cliente: 5 años mínimo
  • Email marketing y comunicaciones masivas: 3 a 5 años con criterio del Oficial de Protección de Datos
  • Email forense en caso de incidente: retención extendida 7 años en cumplimiento del Código Penal panameño sobre prescripción de delitos informáticos

La retención se ejecuta en almacenamiento WORM (write once read many) con hash de integridad por bloque y validación periódica de no alteración. Los logs son accesibles únicamente para Oficial de Protección de Datos del banco, Auditoría Interna y autoridad competente con solicitud formal.

¿Anti-phishing con DMARC + BIMI cómo aporta valor concreto al banco?

Los datos públicos 2026 son contundentes:

  • 3,300 ataques semanales al sector financiero panameño según Soluciones Seguras
  • $125 millones en fraudes evitados por bancos en 2025 según SBP
  • Seis de cada diez incidentes registrados por el CSIRT-AIG fueron phishing por suplantación

DMARC en enforcement con policy reject bloquea email que se hace pasar por el dominio del banco antes de que llegue al cliente. BIMI con Verified Mark Certificate muestra el logo verificado del banco junto al sender en Gmail y Apple Mail, lo cual entrega signal visual al cliente. La combinación DMARC reject + BIMI VMC es estándar de la industria 2026 para bancos que toman ciberseguridad en serio.

¿Qué pasa con la coordinación con el Oficial de Protección de Datos?

El Acuerdo 001-2022 art. 22 obliga al banco a designar un Oficial de Protección de Datos con independencia respecto a Auditoría Interna, Riesgos y Cumplimiento, y con interlocución directa con Alta Gerencia.

Sesiones formales que EMP mantiene con esa figura:

  • Discovery inicial con presentación del scope técnico
  • Validación de que los flujos email cumplen los principios de Ley 81 (minimización, finalidad, calidad)
  • Aprobación del Oficial sobre las cláusulas contractuales del Encargado del Tratamiento
  • Revisión trimestral o semestral según preferencia del banco con métricas operacionales

La aprobación del Oficial es pre-requisito para go-live de cualquier flujo email que procese datos personales de clientes del banco.

¿Cuál es el modelo contractual recomendado?

Contrato de tratamiento de datos por encargo entre el banco como Responsable y EMP como Encargado, con cláusulas alineadas al Decreto Ejecutivo 285-2021 art. 6 sobre obligaciones del Encargado del Tratamiento.

Cláusulas estándar que firmamos:

  • Limitación al tratamiento exclusivamente conforme a las instrucciones del banco
  • Prohibición de subcontratar sin consentimiento expreso del banco
  • Obligación de notificar al banco cualquier incidente de seguridad dentro de cuarenta y ocho horas
  • Devolución o destrucción documentada de los datos al cierre del contrato
  • Acceso del Oficial de Protección de Datos del banco para auditorías
  • Retención de logs por cinco años con acceso controlado

Adicionalmente firmamos contrato de outsourcing tecnológico que el banco remite a la SBP según el Acuerdo 9-2005 sobre tercerización, con definición clara del objeto y SLAs operacionales.

Discovery bancario. NDA bilateral · 2 semanas · descontable.

El discovery analiza el estado actual de la infraestructura email del banco contra las seis obligaciones SBP que documentamos aquí, entrega el mapping gap-vs-target con priorización por riesgo regulatorio, prepara la presentación que el banco lleva al Comité de Riesgos y al Oficial de Protección de Datos. Si después del discovery el banco decide ejecutar internamente con el plan entregado, no hay obligación de continuar. Si avanza el proyecto, los $4,500 del discovery se descuentan del primer servicio.

NDA bilateral pre-discovery · L-V 9-18 GMT-5 · Atrium Tower piso 15