Blog | Delete Technology

Cómo estar en cumplimiento con el Banco de México (SPEI y SPID) al borrar información

Escrito por Marcos Flores Miranda | Jun 18, 2025 7:00:26 PM

Los sistemas de pagos del Banco de México, SPEI (Sistema de Pagos Electrónicos Interbancarios) y SPID (Sistema de Pagos Interbancarios en Dólares), están sujetos a regulaciones que exigen un alto nivel de seguridad y trazabilidad. 

Entre los puntos críticos se encuentra el borrado seguro y certificado de información sensible, especialmente al finalizar ciclos operativos o dar de baja infraestructuras.

¿Qué normativas aplican al borrado seguro en SPEI y SPID?

El cumplimiento regulatorio para entidades financieras en México que operan con SPEI o SPID exige:

  • Eliminar de manera segura los registros, logs y respaldos al concluir su periodo de conservación.
  • Asegurar que la eliminación sea irreversible, trazable y documentada ante auditorías del Banco de México.
  • Cumplir con estándares internacionales como NIST 800-88 y ISO 27001.

¿Qué tipo de información debe eliminarse conforme a la normativa?

Los sistemas de pago generan distintos tipos de datos que deben eliminarse al concluir su ciclo:

  • Archivos de respaldo de transacciones SPEI o SPID.
  • Logs de autenticación, auditoría y enrutamiento.
  • Archivos temporales de encriptación o tokens.
  • Bases de datos desactualizadas de cuentas o participantes.

Eliminar estos datos de manera correcta reduce el riesgo de filtraciones y respalda el cumplimiento con la protección de datos en México.

¿Qué métodos de eliminación son válidos para el cumplimiento con Banxico?

Para cumplir con las exigencias de Banxico, los métodos aceptables incluyen:

1. Borrado lógico mediante sobrescritura certificada

Especialmente útil para discos HDD. Consiste en sobrescribir múltiples veces los sectores con datos aleatorios. Herramientas como Blancco permiten emitir certificados verificables.

2. Borrado criptográfico

Ideal para SSD y sistemas cifrados. Consiste en destruir la clave de cifrado, haciendo que los datos no puedan ser recuperados.

Lee más sobre este método en la explicación del borrado criptográfico.

3. Destrucción física de medios

En casos donde los dispositivos salen de operación. Esto incluye trituración, incineración o desmagnetización.

Si aplicas destrucción física, es recomendable seguir la guía de gobernanza de datos para gestionar las evidencias.

¿Cómo documentar y auditar el borrado conforme a Banxico?

Banxico exige trazabilidad en cada proceso de eliminación. Por ello debes:

  • Conservar un registro detallado: tipo de medio, método de borrado, responsable y fecha.
  • Generar certificados de borrado seguro, como los que ofrece Delete Technology.
  • Incluir estos registros en tu Sistema de Gestión de Seguridad de la Información (SGSI).
  • Incorporar auditorías periódicas, como parte del cumplimiento de auditoría del borrado seguro.

¿Cómo afecta el borrado seguro a la continuidad operativa?

La eliminación segura de datos no debe entorpecer el funcionamiento de los sistemas. Para lograrlo, es clave:

  • Planificar los borrados dentro del mantenimiento programado.
  • Evitar la duplicidad de datos sensibles.
  • Implementar soluciones de borrado que no afecten la disponibilidad de los servicios (Clear vs. Purge vs. Destruct, según IEEE 2883).

¿Qué pasa si no se cumple con la eliminación segura en SPEI o SPID?

Las consecuencias incluyen:

  • Sanciones por incumplimiento operativo.
  • Suspensión temporal o definitiva como participante del sistema.
  • Riesgos de ciberseguridad por datos expuestos.
  • Dificultad para superar auditorías externas o certificaciones.

Por eso, integrar una estrategia con borrado seguro certificado es una necesidad legal y operativa.

Buenas prácticas para instituciones financieras que operan con SPEI/SPID

  • Establece una política de retención y eliminación de datos por cada tipo de información.
  • Automatiza los ciclos de vida de logs, respaldos y temporales.
  • Usa soluciones de borrado con validación NIST/ISO, como las que recomienda Delete Technology.
  • Capacita a tus equipos de TI y cumplimiento regulatorio.
  • Supervisa los contratos con proveedores externos para asegurar el cumplimiento de la eliminación de datos.

Preguntas frecuentes

¿Cuánto tiempo se deben conservar los datos de SPEI?

Depende del tipo de información. Generalmente, los registros operativos se conservan por 6 meses a 5 años, según el tipo de operación.

¿Se debe borrar información de backups también?

Sí. Los respaldos caducos deben eliminarse con métodos seguros, y esto debe estar documentado.

¿Qué pasa con los registros de autenticación?

También deben eliminarse conforme a la política de retención. Se recomienda aplicar eliminación de metadatos para evitar exposición adicional.

¿Delete Technology puede ayudarme a cumplir con Banxico?

Sí. Delete ofrece soluciones de auditoría, borrado seguro certificado, trazabilidad y soporte técnico para entidades financieras en México.

 

Estar en cumplimiento con el Banco de México en SPEI y SPID requiere más que cifrado y monitoreo. El borrado seguro de datos es una parte esencial del ciclo de vida de la información. Aplicar procesos certificados, trazables y alineados con normativas locales e internacionales es clave para mantener tu autorización, minimizar riesgos y proteger la reputación de tu institución.


Síguenos en nuestras redes sociales

 
Ver post completo