Nuevas exigencias regulatorias en pagos digitales: Seis claves para construir una cultura de protección desde adentro

VP Legal de Khipu explica cómo crear una cultura de confianza. Esto, ante la presión regulatoria en medios de pago.

Las empresas del ecosistema de medios de pago enfrentan hoy una presión regulatoria sin precedentes.

Entre nuevas leyes como la Ley Marco de Ciberseguridad, la Ley de Protección de Datos Personales y la Ley de Delitos Económicos, el cumplimiento ya no es una opción. Es una exigencia estructural.

Para los expertos de Khipu, fintech chilena especializada en pagos digitales, el cumplimiento legal no se trata solo de seguir reglas. Es una oportunidad para fortalecer la confianza. También transformar la cultura interna y asumir una responsabilidad activa con los datos y las personas.

“En Khipu, entendemos que detrás de cada dato que se procesa. Cada clic que se realiza y cada autorización que se otorga. Hay personas reales que confían. Y esa confianza, sabemos, no se gana con certificados en la pared ni con frases de cumplimiento. Se construye desde dentro, con decisiones diarias. Con coherencia cultural y con un compromiso profundo por hacer las cosas bien”, explica Ximena Rojas, VP Legal de Khipu, quien ha liderado este enfoque transformador desde su rol.

La profesional agrega que cumplir con la normativa no es suficiente si no se entiende que la confianza es algo vivo y no se actúa con responsabilidad.

Por eso, más allá de la obligación de reportar un incidente en 30 minutos o de responder un ejercicio de derecho en 30 días, lo que se busca es tener una cultura donde toda la organización sepa qué hacer. Por qué lo hace y cómo prevenir.

“Las leyes son importantes. Pero no reemplazan el juicio crítico, la anticipación y la educación permanente”.

En ese camino, Khipu ha desarrollado una hoja de ruta concreta y adaptable:

1. Diagnóstico del contexto y la industria. Khipu parte por identificar en qué industria opera y cuáles son los datos que se tratan. Esto permite aplicar principios como la privacidad por diseño y por defecto con un enfoque realista y adaptado. En el sector financiero, por ejemplo, el consentimiento es base legal esencial. Mientras que en otros sectores pueden aplicarse otras fuentes de licitud.

2. Definición de políticas según los flujos de datos. Con el diagnóstico claro, se establecen políticas específicas para cada tratamiento de datos. Esto asegura que cada flujo tenga respaldo normativo y propósito justificado.

3. Gestión de derechos de las personas. La empresa diseña procesos simples. Accesibles y comprensibles para que las personas puedan ejercer sus derechos de forma efectiva. El foco está en la usabilidad, no solo en el cumplimiento.

4. Seguridad de la información basada en riesgos reales. Se implementa una política de seguridad coherente con los riesgos específicos del negocio. Esto integra controles técnicos y organizacionales que protegen tanto los sistemas como los datos.

5. Resiliencia tecnológica real y efectiva. No basta con tener respaldos. En Khipu se evalúa la independencia tecnológica de los sistemas alternativos. Esto evita redundancias que compartan vulnerabilidades. La resiliencia se diseña con diversidad tecnológica y planificación anticipada.

6. Enfoque de seguridad: “nunca confíes, siempre verifica”. Se aplica el principio de zero trust con herramientas como autenticación multifactor, microsegmentación de accesos y revisiones periódicas.

El objetivo es reducir riesgos, reforzar la trazabilidad y proteger a los usuarios.

“Muchas veces se deja la ciberseguridad y el cumplimiento en manos del CISO o del área legal. Pero la verdad es que esto tiene que ser un esfuerzo colectivo. Nosotros tenemos un comité multiárea dónde Legal tiene voz y voto, y donde cada integrante sabe que su rol importa. Reportar a tiempo no es solo una exigencia legal, es una forma de cuidar a nuestros usuarios. Y más allá de lo técnico, también estamos impulsando una transformación cultural: capacitaciones cortas, mensuales, con mensajes claros y prácticos. Porque de esto se trata: de que toda la organización entienda que proteger los datos no es un asunto de otros. Es de todos”, agrega Ximena Rojas.

Finalmente, Khipu también impulsa el respeto al principio de neutralidad tecnológica, clave para una innovación real y abierta. La tecnología, como Inteligencia Artificial, Internet o el web scraping, no son buenas ni malas en sí mismas: su valor -o su riesgo- depende del uso que se les dé. Por eso, en lugar de bloquear tecnologías por miedo, creen que es importante usarlas con ética, cumplimiento normativo, con regulación inteligente y con un fuerte enfoque en el bienestar de las personas.

Para más información ingresa a

 https://www.khipu.com/