acuerdo interbancario requisitos minimos de seguridad para ... · 3.4.1 cajilla de seguridad para...
TRANSCRIPT
1
ACUERDO INTERBANCARIOREQUISITOS MINIMOS DE SEGURIDAD
PARA CAJEROS AUTOMATICOS, PUNTOSDE VENTA , TARJETAS CREDITO Y DEBITO
ASOCIACION BANCARIA Y DE ENTIDADESFINANCIERAS DE COLOMBIA
Santafé de Bogotá1998
1. INTRODUCCION .........................................................................................................................................4
2
2. LA JUNTA DIRECTIVA DE LA ASOCIACION BANCARIA Y DE ENTIDADES FINANCIERASDE COLOMBIA ASOBANCARIA .................................................................................................................6
3. SEGURIDAD EN CAJEROS AUTOMATICOS........................................................................................7
3.1 SEGURIDAD FISICA...............................................................................................................................83.1.1 EL SECTOR .......................................................................................................................................83.1.2 UBICACIÓN ......................................................................................................................................83.1.3 EL LOCAL . ........................................................................................................................................93.1.4 LAS PAREDES ..................................................................................................................................93.1.5 LAS PUERTAS ...................................................................................................................................93.1.6 LA ILUMINACION ..........................................................................................................................103.1.7 LA CAJA FUERTE DEL CAJERO AUTOMATICO .........................................................................103.1.8 ANCLAJE CAJA FUERTE ..............................................................................................................103.1.9 LA VENTILACION . .........................................................................................................................103.1.10 LA CERRADURA DE LA PUERTA A LA ZONA USUARIO DEL CAJERO .................................113.1.11 EL CABLEADO .............................................................................................................................11
3.1.12 ACCESORIOS …………………………………………………………………………………………… 113.2 SEGURIDAD FISICA A TRAVES DE DISPOSITIVOS ELECTRONICOS :......................................11
3.2.1 SISTEMA DE ALARMA ...................................................................................................................113.2.2 CIRCUITO CERRADO DE TELEVISION........................................................................................113.2.3 SOLUCION ENERGETICA. ............................................................................................................123.2.4 CONTROLES DISUASIVOS.............................................................................................................12
3.3 OTRAS MEDIDAS DE SEGURIDAD ..................................................................................................123.3.1 APROVISIONAMIENTO .................................................................................................................123.3.2 INFORMACION AL CLIENTE ........................................................................................................123.3.3 VISIBILIDAD . .................................................................................................................................123.3.4 DISTANCIA ENTRE CAJEROS .......................................................................................................13
3.4 RECOMENDACIONES..........................................................................................................................133.4.1 CAJILLA DE SEGURIDAD PARA LLAVES ....................................................................................133.4.2 HALL DE SERVICIO .......................................................................................................................133.4.3 TELEFONO :....................................................................................................................................133.4.4 ALARMAS : ......................................................................................................................................133.4.5:BLOQUE DE TARJETAS.................................................................................................................133.4.6 CALCOMANIAS :.............................................................................................................................13
4. SEGURIDAD EN PUNTOS DE VENTA ..................................................................................................14
4.1 SEGURIDAD FISICA :...........................................................................................................................144.1.1 MODULOS ESPECIALES :. ............................................................................................................144.1.2 TRUNCAMIENTO ...........................................................................................................................14
4.2 RECOMENDACIONES..........................................................................................................................154.2.1 PROTECTOR DE PIN PAD .............................................................................................................154.2.2 MANTENIMIENTO . ........................................................................................................................15
5. SEGURIDAD EN DISPOSITIVOS ELECTRONICOS DE ACCESO (TARJETAS DEBITO,CREDITO E INTELIGENTES).....................................................................................................................15
3
5.1 DE LAS OPERACIONES ......................................................................................................................165.1.1 CODIGO DE VERIFICACION . ......................................................................................................165.1.2 TRANSPORTE, CUSTODIA Y ENTREGA DE TARJETAS DEBITO Y CREDITO .........................165.1.3 COMPROBANTE DE TRANSACCION ...........................................................................................175.1.4 ATENCION DE RECLAMOS ..........................................................................................................175.1.5 ENCRIPCION ..................................................................................................................................175.1.6 ORIGEN DE LAS TRANSACCIONES . ............................................................................................17
6. SEGURIDAD DE LA INFORMACION EN LAS COMUNICACIONES..............................................17
6.1 CERTIFICACION...................................................................................................................................186.2 AUTENTICACION.................................................................................................................................196.3 VALIDACION ........................................................................................................................................196.4 ENCRIPCION .........................................................................................................................................196.5 NO-RECHAZO .......................................................................................................................................206.6 CONTROL DE ADMINISTRACION (PUERTOS Y DIRECCIONES EN LA COMUNICACIÓN DEDATOS) ........................................................................................................................................................216.7 IDENTIFICACION DE TERMINALES.................................................................................................216.8 INTERCAMBIO DINAMICO DE LLAVES..........................................................................................226.9 MONITOREO DE ESTADO DE TERMINALES EN COMUNICACIONES.......................................226.10 MANTENIMIENTO DE EQUIPOS .....................................................................................................226.11 MODIFICACIONES A LA CONFIGURACION DE LA RED DE COMUNICACIONES .................236.12 RECOMENDACIONES :......................................................................................................................23 ANEXO : NORMAS ICONTEC RELACIONADAS CON LOS TEMAS CONTENIDOS EN ELPRESENTE ACUERDO INTERBANCARIO..............................................................................................24
4
1. INTRODUCCION
Las entidades financieras, siguiendo con su compromiso ante la sociedad en lorelacionado con la prestación de sus servicios, evalúa constantemente y revisa,entre otras cosas, los efectos causados por los avances tecnológicos y el impactoque produce en la operación bancaria.
Es por esto, que al encontrar una gran relación entre las medidas de seguridadexistentes en el marco tecnológico y los niveles de siniestralidad, se hacenecesario definir algunas normas mínimas de seguridad a tener en cuenta en lainstalación y adecuación de cajeros automáticos, puntos de venta, Pin Pad,tarjetas débito y crédito.
El presente acuerdo es el resultado de los trabajos desarrollados por el ComitéTécnico de Riesgo Informático de la Asobancaria. En él, además de determinarlos requisitos mínimos de seguridad física y lógica, se dan algunasrecomendaciones adicionales que pueden adoptarse según el criterio de cadainstitución.
Los demás temas abordados por este comité y que se considere importante incluiren el presente documento, se incluirán en su debido momento.
En este marco, y bajo una concepción muy clara de lo que significa una eficienteadministración integral del riesgo, la Asociación Bancaria seguirá presentandoresultados concretos que fortalezcan la seguridad general de las entidadesfinancieras.
Este propósito atenderá los requerimientos presentes en la Circular Externa047/91 de la Superintendencia Bancaria y el Acuerdo Interbancario de agosto de1996, Requerimientos Mínimos de Seguridad Física en las Oficinas de lasEntidades Financieras de Santa Fe de Bogotá.
Los tipos de riesgo que caracterizan un ambiente de procesamiento electrónico dedatos y los procedimientos que se requieren para el control y seguridad merecenuna especial atención de los directivos de las instituciones financieras.Este acuerdo se enmarca dentro de los estándares internacionales que permitiránuna homologación con sistemas comúnmente aceptados en términos de
5
seguridad y tecnología, al igual que contempla las recomendaciones hechas por elComité de Basilea en cuanto a supervisión bancaria.1
Las áreas de seguridad deben efectuar revisiones periódicas y con intervalos detiempo adecuados en cuanto al cumplimiento de las consideraciones mínimas deseguridad adoptadas mediante el presente acuerdo interbancario.
Las entidades que presten (directa o indirectamente) el servicio de cajerosautomáticos, puntos de venta y dispositivos de acceso deben velar porque existaun plan de seguridad de funcionamiento como parte del plan general de seguridaden la institución, así como establecer y mantener procedimientos para la revisiónde contratos de adquisición de tecnología (Máquinas y Programas) y sucumplimiento frente al acuerdo. También deben tenerse y mantenerseprocedimientos para la identificación sistemática y la implementación de cualquiermejoramiento necesario de la seguridad en el funcionamiento de los dispositivosanteriormente mencionados.
Estos esquemas de seguridad deben contemplar además procedimientos para elmanejo, el almacenamiento y el análisis de las fallas y de los datos de fallasprocedentes de los diferentes puntos involucrados en una operación que involucreprocesamiento electrónico de datos.
Son analizados de esta manera los aspectos físicos y lógicos que en materia deseguridad informática deben tenerse en cuenta por parte de las entidadesfinancieras, las redes, los establecimientos comerciales y toda institución o áreaque preste este tipo de servicios.
Para la implementación y adecuación de las disposiciones de este acuerdointerbancario, las entidades deben evaluar el tiempo apropiado de ajuste de loselementos ya instalados, teniendo en cuenta la ponderación de los riesgos a queesta expuesto cada cajero o punto de venta.
1 Los Riesgos del Sistema de Cómputo y Telecomunicaciones. Comité de Basilea - Suiza.
6
2. LA JUNTA DIRECTIVA DE LA ASOCIACION BANCARIA Y DEENTIDADES FINANCIERAS DE COLOMBIA ASOBANCARIA
CONSIDERANDO
1. Que entre las entidades financieras existen diferencias estructurales encuanto a la tecnología instalada para la prestación de servicios financierosmediante dispositivos electrónicos (máquinas y programas);
2. Que se hace necesario establecer medidas de seguridad que beneficien alsector financiero y a los clientes;
3. Que las entidades financieras a través de los comités técnicos de laAsobancaria han venido adoptando una serie de acciones para prevenir eldelito informático ;
4. Que se hace necesario crear mecanismos para evitar que los clientes de lasentidades financieras sean afectados por las modalidades de fraudeinformático ;
ACUERDAN
PRIMERO : Adoptar, mediante el presente acuerdo interbancario, los siguientesrequerimientos mínimos de seguridad para cajeros automáticos, puntos de venta,tarjetas crédito y débito.
7
3. SEGURIDAD EN CAJEROS AUTOMATICOS
Teniendo en cuenta que los cajeros automáticos prestan servicio permanente alpúblico y debido a que las entidades desean aumentar la seguridad en lasprincipales ciudades del país, es necesario implementar medidas de seguridadpreventivas tendientes a minimizar los riesgos a que se encuentran expuestos ;motivo por el cual, es necesario tener en cuenta las disposiciones del acuerdointerbancario y las recomendaciones dirigidas a las entidades financieras.
Las entidades deberán elaborar una clasificación de sus cajeros automáticos conbase en estudios realizados por las áreas que cada entidad designe o exigir dichaclasificación a las entidades que presten el servicio, la cual estará determinadapor el nivel de riesgo a que estén expuestos así :
Tipo A : Cajeros con nivel alto de riesgo.Tipo B : Cajeros con nivel medio de riesgo.Tipo C : Cajeros con nivel bajo de riesgo.
En el presente documento, en todo caso y mientras no se disponga lo contrario nise especifique el tipo de cajero, entiéndase que la disposición aplica para todoslas clasificaciones.
La clasificación de riesgos deberá basarse en los siguientes criterios :
Se considera un cajero Tipo A al que se encuentra instalado en una zona de altoriesgo de vandalismo, poca iluminación, sitios no monitoreados por la policía nipor empresas de vigilancia que hacen recorridos, como por ejemplo a los centroscomerciales, etc.
Los cajeros Tipo B son aquellos que están instalados en zonas no muy desoladas,con cercanía a algún tipo de edificación que cuente con vigilancia y un gradomedio de circulación de personas.
Los cajeros Tipo C son aquellos cajeros ubicados en zonas bien iluminadas, en laparte interior de los centros comerciales, muy cercanos a estaciones de policía odentro de la oficina de la sucursal bancaria y cuya zona esta caracterizada por unalto índice de circulación de personas en el día y la noche.
8
Sin embargo, las entidades podrán adaptar otros aspectos que considerenimportantes como parámetros para dicha clasificación.
3.1 SEGURIDAD FISICA
LOCALIZACION : Para definir la localización del cajero automático deben tenerseen cuenta los siguientes parámetros :
3.1.1 EL SECTOR : El cajero debe ser ubicado en zonas residenciales,comerciales o industriales teniendo en cuenta que lo importante es que quedesituado sobre vías principales en las cuales haya afluencia de público tanto en eldía como en la noche y evitando instalarlos en sitios solitarios, oscuros ymarginados (Focos de proliferación de marginados y de vandalismo).
Para la instalación de cajeros automáticos en un determinado sector, éste debecontar con vigilancia y/o monitoreo frecuente por parte de la policía o de la entidaddueña del cajero.
3.1.2 UBICACIÓN :En lo posible, los cajeros automáticos deben ser ubicados eninstalaciones de entidades financieras, centros comerciales, almacenes decadena o supermercados, evitando la selección de locales en bares, sitios dejuegos de azar, casinos, etc.
DE LAS INSTALACIONES : Se tendrán en cuenta los siguientes aspectos :
9
3.1.3 EL LOCAL : En los cajeros clasificados con categoría A, ninguna de lasparedes laterales, ni piso y techo, deben colindar con otra instalación no vigilada,a fin de evitar penetración mediante rompimiento de muros, techos y placas ;exceptuando aquellos ubicados en centros comerciales y locales de las oficinasde la entidad. En caso de no poder aplicar esta medida, el local deberáfortalecerse aplicando las normas definidas para cuartos de bóvedas (paneleríasde alta resistencia) e implementar las medidas de seguridad descritas en elnumeral 3.2.1 de éste documento.
3.1.4 LAS PAREDES : En todos los cajeros, la construcción de las paredes decerramiento del área del cajero deben ser piso-techo (teniendo en cuenta la alturadel cubículo), en panel metálico ajustado a medidas óptimas de seguridad yademás estar provistas de una división que separe con una puerta la zona usuariay la zona supervisor del cajero, cuya función es la de permitir el mantenimiento oreaprovisionamiento del cajero. En caso de encontrarse ubicado en una entidadfinanciera y ser administrado por la misma entidad, se deja una puerta quecomunique el área interna o supervisor del cajero con el hall bancario parapermitirle el acceso a los encargados de la administración de los cajerosautomáticos, solo si es requerida.
3.1.5 LAS PUERTAS : La puerta de acceso del usuario al cajero automático debeestar elaborada en algún tipo de material resistente (vidrio templado o laminado)de seguridad, debe ser totalmente transparente para que permita la visibilidad delos clientes desde el exterior y contar con una señal que indique la presencia delvidrio ubicada de manera tal que no permita la visibilidad del teclado del cajero;provista además de una cerradura que le brinde seguridad al usuario mientrasrealiza la transacción. En lo posible la entidad debe buscar que el bloqueo de lapuerta de acceso al cajero sea administrada por un medio electrónico de altaconfiabilidad y funcionamiento.
Los cajeros que tengan puerta de acceso a la oficina de la entidad en vidrio, éstadebe ser protegida con una reja de seguridad o de un cerradura en panelmetálico.
10
La puerta usuario-supervisor debe estar elaborada en material resistente al fuego,provista de una cerradura de alta seguridad de combinación o dos cerraduras, yen el centro de la puerta contar con un visor (ojo mágico).
El mecanismo de cierre de la puerta usuario-supervisor debe ser de anclajeautomático tipo caja fuerte y con bisagras internas o pasadores de activaciónautomáticos. El sistema debe contar con un desbloqueo interno del sistema encaso de incendio o catástrofe.
3.1.6 LA ILUMINACION : Los cajeros automáticos deben contar con una buenailuminación interna y externa que permita una perfecta visibilidad en horas de lanoche ; dichos elementos de iluminación deben estar debidamente protegidospara evitar su sustracción o daño.
3.1.7 LA CAJA FUERTE DEL CAJERO AUTOMATICO : La caja fuerte debe estarprovista de dos cerraduras de seguridad que permitan un manejo dual y cuyasclaves para la elaboración de duplicados de sus llaves queden bajo laresponsabilidad de un área o una persona específica para tal propósito. Elmaterial de las paredes de la caja fuerte del cajero debe ser en acero acorazado oaltamente resistente contra taladro, soplete, plasma, discos de corte y protegidoscon dispositivos de bloqueo y en lo posible mecanismos de apertura automáticaretardada. Estos elementos pueden estar acompañados de componentesdisuasivos de violación.
3.1.8 ANCLAJE CAJA FUERTE : La caja fuerte debe ser anclada al piso desdesu interior, de acuerdo con las especificaciones de anclaje del proveedor.
Si el cajero se instala en espacio abierto (empotrado a la pared) y no forma partedel perímetro de un edificio, deberá disponer de una cabina anclada al suelo yconstruido con paneles metálicos reforzados.
3.1.9 LA VENTILACION : Todos los cajeros automáticos instalados en áreasgeográficas de clima cálido, deben tener aire acondicionado. La instalación de
11
este requerimiento debe hacerse de manera que no permita que a través delmismo, se facilite un hurto.
3.1.10 LA CERRADURA DE LA PUERTA A LA ZONA USUARIO DEL CAJERO :Preferiblemente, debe tener un punto regulado por un mecanismo de emergenciaque libere el picaporte y permita la salida del cliente.
3.1.11 EL CABLEADO : En todos los casos, el cableado que sea necesarioextender dentro del cajero debe quedar protegido en canaletas, de tal manera queno sea visto, ni de fácil acceso.
3.1.12 ACCESORIOS : Todos aquellos accesorios de iluminación, decoración yaseo deben prevenir desde su mismo diseño e instalación actos de vandalismoy/o terrorismo contra el cubículo a través de elementos de cierre y fijación queimposibiliten o dificulten su retiro o el ocultamiento de artefactos explosivos.
3.2 SEGURIDAD FISICA A TRAVES DE DISPOSITIVOS ELECTRONICOS :
3.2.1 SISTEMA DE ALARMA : Los cajeros automáticos deben estar protegidospor un sistema de alarma adecuado al tipo de cajero y en lo posible contar condos vías de comunicación totalmente distintas, de forma que la inutilización deuna de ellas produzca la señal de alarma de la otra.
El sistema de alarma y de comunicaciones debe ser monitoreadopermanentemente por una central de monitoreo propia o contratada y en todos loscasos, dicha señal de alarma debe ser enviada a la Policía Nacional.
3.2.2 CIRCUITO CERRADO DE TELEVISION : Los cajeros cuya clasificacióncorresponda a Tipo A deben estar provistos de un circuito cerrado de televisión,distribuyéndolos y dando prioridad a los que presenten mayor frecuencia dereclamos. Es preciso mantener un período apropiado de retención de lagrabación de las imágenes.
12
Los sistemas de video destinados a la grabación de imágenes deben estarprotegidos contra robo y provistos de generadores o acumuladores de energía.
3.2.3 SOLUCION ENERGETICA : El cajero automático, sin importar suubicación, debe tener solución energética que le permita operar normalmente encaso de tener fallas de fluido eléctrico.
3.2.4 CONTROLES DISUASIVOS : Se deben tener anuncios que disuadan yadviertan la existencia de componentes de seguridad e incluir medidaspreventivas y recomendaciones en la pantalla del cajero.
3.3 OTRAS MEDIDAS DE SEGURIDAD
3.3.1 APROVISIONAMIENTO : La entidad que esté encargada delaprovisionamiento de los cajeros debe suministrar a sus funcionarios su custodiamediante escoltas para el transporte en efectivo y los cuales permanecerán conellos hasta que se haya efectuado toda la operación de aprovisionamiento, siendoesto aplicable a los cajeros que no están ubicados en una oficina o sucursalbancaria.
El aprovisionamiento debe realizarse en un momento en el cual no se exponga amayor riesgo a los clientes de una oficina (si el cajero se aprovisiona desdeadentro) o en horas normales de trabajo, con el fin de reducir la exposición ariesgos a los funcionarios encargados de esta labor durante horas irregulares. Porningún motivo debe llevarse a cabo este procedimiento en horas nocturnas.
3.3.2 INFORMACION AL CLIENTE : Se debe informar y prevenir al cliente encuanto a la manera como se debe operar el cajero, servicios ofrecidos, puntosmás cercanos a ese cajero en donde pueden ser atendidas sus sugerencias yreclamos, prevención del fraude y procedimiento para el bloqueo de la tarjeta.
3.3.3 VISIBILIDAD : El sitio debe garantizar al cliente la privacidad de su clavesecreta. Por ello, la disposición del cajero con respecto a la visualización que
13
tienen las personas desde la parte externa de la cabina, no debe facilitar que laclave sea descubierta cuando se está digitando. (ver numeral 3.1.6)
3.3.4 DISTANCIA ENTRE CAJEROS : En los casos en que existan grupos decajeros sin cabina (empotrados consecutivamente en la pared o en módulosespeciales en centros comerciales) es preciso dejar una distancia prudencial entreellos que permita un grado de confidencialidad en la transacción que un usuarioesta efectuando.
3.4 RECOMENDACIONES
3.4.1 CAJILLA DE SEGURIDAD PARA LLAVES :La cajilla de seguridad seimplementa en caso de que la puerta de acceso al área supervisor sea mediantellaves, para prevenir el riesgo de extravío en la manipulación y constantedesplazamiento. La cajilla debe estar provista de una cerradura de combinación yempotraje en el área del supervisor, con acceso al área del usuario a través deuna contrapuerta de cierre con llave.
3.4.2 HALL DE SERVICIO : El hall de servicio podrá tener un dispositivoelectrónico que controle el tiempo de permanencia del usuario en el cajero.
3.4.3 TELEFONO : Procurar que cerca del cajero automático esté instalado unteléfono público para que el cliente pueda efectuar operaciones como el bloqueode la tarjeta y/o demás servicios.
3.4.4. ALARMAS : Es importante dar una inmediata y adecuada atención a lasalarmas generadas por un Cajero Automático, ya que éstas pueden ser activadascon el fin de orientar la atención hacia un lugar específico.
3.4.5. BLOQUEO DE TARJETAS : Las entidades y las redes podrán instaurarmecanismos de bloqueo de tarjetas que sea operado desde el cajero automáticocomo una opción más en la pantalla que se caracterice por no requerir la lecturade la banda magnética. Por ejemplo, el cliente podría digitar su clave y algún otro
14
parámetro que permita que a través de las vías de comunicación existente viaje laorden de bloqueo.
De igual manera podrán hacer uso de este medio (la pantalla del cajero) para darrecomendaciones al cliente sobre la prevención de ilícitos, pasos a seguir en casode fallas y uso adecuado de su tarjeta.
Podrán así mismo fijar horarios para la apertura y cierre de aquellos cajeros conun nivel específico de riesgo y clasificación.
3.4.6 CALCOMANIAS : Se recomienda no pegar ningún tipo de calcomanía oaviso en la puerta de acceso del usuario al cajero que imposibiliten la visibilidad.
4. SEGURIDAD EN PUNTOS DE VENTA
Los puntos de venta, técnicamente conocidos como “POS” (Point of Sale) son unmedio para efectuar transacciones comerciales mediante el uso de dispositivos deacceso electrónico como lo son las tarjetas débito, crédito e inteligentes. Por ello,también requieren del establecimiento de unas normas mínimas de seguridad quefortalezcan la seguridad en los establecimientos comerciales y demás sitios dondese encuentran instalados.
4.1 SEGURIDAD FISICA :
4.1.1 MODULOS ESPECIALES : En los casos en que aplique, se pueden instalarmódulos especiales que permitan una adecuada instalación física del equipo quecompone el P.O.S (Pin Pad, Datáfono, Cableado, Etc.), con el fin de impedir quesean movilizados y mantener un control de inventario de los mismos.
4.1.2 TRUNCAMIENTO : Todos los comprobantes expedidos por un punto deventa en el que se haga uso de información confidencial y que requiera de nivelesde seguridad tales como el número de cuenta, el numero de identificaciónpersonal, etc., debe tener enmascarado parte de dicha información. Generalmente
15
se reemplazan los últimos cuatro dígitos por asteriscos o se imprimen únicamentelos últimos cuatro dígitos.
4.2 RECOMENDACIONES :
4.2.1 PROTECTOR DE PIN PAD : En todos los puntos de venta podráinstaurarse el sistema de protector de Pin Pad el cual cumple la función de cubrirel teclado mientras el usuario digita su clave.
4.2.2 MANTENIMIENTO : Dado que el servicio de mantenimiento de los puntosde venta se hacen fuera de línea, es preciso que las entidades financieras quetienen puntos instalados en las oficinas y las redes que prestan este servicio,implementen éstos procedimientos de tal forma que sean claros y definidos paramayor control y detección de intentos de fraude.
Las entidades y las redes que prestan este servicio deben tener implementado unregistro de control para Ruteros (personal enrutado para el mantenimiento de los“POS”), independientemente de si el servicio es directo o subcontratado.
En lo posible, las entidades financieras que presten este servicio en sus oficinas ylas redes en los establecimientos comerciales y demás, deberán crear unprocedimiento que permita identificar de manera remota, los puntos de venta queestán fuera de servicio por mantenimiento o por otra causa y detectar señales dealerta en los casos en que aplique.
5. SEGURIDAD EN DISPOSITIVOS ELECTRONICOS DE ACCESO(TARJETAS DEBITO Y CREDITO.
Los dispositivos de acceso requeridos para el uso de cajeros automáticos, puntosde venta instalados en las sucursales de las oficinas bancarias y establecimientoscomerciales, requieren también de la definición de unos requerimientos mínimosde seguridad, así como de una serie de recomendaciones que generen unimpacto positivo en los temas de seguridad física y lógica de estosprocedimientos.
16
5.1 DE LAS OPERACIONES
5.1.1 CODIGO DE VERIFICACION : Las entidades que expiden las tarjetasdébito y crédito deben asegurar que estos dispositivos tengan implementado elmecanismo de código de verificación conocido técnicamente como CVV, CVC,CVT u otros equivalentes.
Este es un valor de chequeo criptografiado derivado de campos específicos de losdatos, los cuales pueden ser el número de cuenta, fecha de servicio, llaves CVKs,etc.
El CVV escrito sobre la tarjeta durante la transacción es enviado al HSM (HostSecurity Module) el cual recalcula el CVV y es comparado con el recibido paraconfirmar la validez de la tarjeta.
5.1.2 TRANSPORTE, CUSTODIA Y ENTREGA DE TARJETAS DEBITO YCREDITO : Las entidades deben incorporar internamente procedimientos,controles y seguridades en el transporte, custodia y entrega de las tarjetas débitoy crédito, más aun si este servicio es subcontratado. Adicionalmente, las áreas deauditoría deberán expedir una certificación en cuanto al cumplimiento de estosprocedimientos. La entrega de las tarjetas debe ser de manera personalizada,exclusivamente al beneficiario de la misma.
La entidad financiera debe efectuar una capacitación clara y sencilla al usuario(Verbal o escrita) en la cual se les explique los cuidados, la responsabilidaddirecta, las prevenciones, los beneficios, la seguridad que se debe tener en loscajeros automáticos, puntos de venta en establecimientos de crédito y oficinas delas entidades ; incluyendo además los procedimientos claros y definidos de comooperar en caso de pérdida, robo y retenciones no autorizadas.
En lo posible, las entidades deben estar continuamente informando a susempleados en todas las áreas (incluyendo este aspecto en el proceso devinculación), usuarios y clientes de las diferentes modalidades de fraude a queestán expuestos y de los controles internamente establecidos.
17
5.1.3 COMPROBANTE DE TRANSACCION : Todos los cajeros automáticos y lospuntos de venta deben imprimir en el recibo (volante en papel) de la transacción,únicamente los últimos cuatro dígitos del número de la cuenta del cliente o hacertruncamiento mediante el uso de asteriscos.
5.1.4 ATENCION DE RECLAMOS : Las entidades deben contar con un área deatención al cliente, mediante la cual se deben solucionar problemas de lasoperaciones no exitosas, este programa de atención puede ser creadodirectamente por la entidad o solicitar los servicios a un tercero, siempre y cuandola responsabilidad de su eficiencia sea responsabilidad directa de la entidad quelo contrata.
Las entidades deben revisar constantemente el servicio prestado por las redes, encuanto al direccionamiento y enrutamiento de la información, así como las normasmínimas de seguridad que deben cumplir para el logro de los objetivos deseguridad.
5.1.5 ENCRIPCION : La circular externa 002 de 1998 expedida por laSuperintendencia Bancaria establece que debe ser encriptado como mínimo elNIP (Número de Identificación Personal) ; sin embargo, las entidades debenencriptar la información que consideren deba estar protegida y cubierta, tal comoel número de cuenta, nombre del usuario, etc. 5.1.6 ORIGEN DE LAS TRANSACCIONES : Las entidades deben utilizar laconfirmación de autenticación del origen de las transacciones por cualquiermecanismo que asegure que la información transmitida por una terminalfinanciera sea reconocida y validada por el sistema central y viceversa.
Algunas de las anteriores consideraciones en materia de seguridad de lastransacciones efectuadas mediante el uso de tarjetas débito y crédito, estánconsignadas en la Circular Externa 002 de 1998 expedida por la SuperintendenciaBancaria.
6. SEGURIDAD DE LA INFORMACION EN LAS COMUNICACIONES
18
Teniendo en cuenta que la información y el transporte electrónico de datos serealiza a través de diversos dispositivos electrónicos, se define la siguienteestructura mínima caracterizada por diferentes niveles para la seguridad de lainformación.
El propósito que se busca con el establecimiento de controles mínimos deseguridad de la información en las comunicaciones es el de evitar al máximo quela información sea interceptada o interrumpida.
Así mismo, las entidades podrán establecer niveles de confidencialidad de lainformación teniendo en cuenta la clasificación que para todos los casos se hatenido en cuenta en el presente acuerdo interbancario, significando que lainformación de mayor confidencialidad debe ser clasificada como tipo A, la demedio grado de confidencialidad tipo B y la información que puede no requerir detodos los controles en la estructura de seguridad en las comunicaciones de tipo C.
El proceso que se le debe dar a la información en las diferentes entidadesfinancieras, así como en cada una de sus áreas relacionadas con las operacionesen cajeros automáticos y puntos de venta a través de tarjetas de banda magnética(esquema que puede aplicar en parte también a la nueva tecnología de tarjetasinteligentes que trabajan con microcircuitos), deben tener en cuenta los siguientesaspectos :
6.1 CERTIFICACION
Es preciso que al interior de las entidades se establezca un área que conozca endetalle quienes actúan en la red en el nivel de operación de máquinas yprogramas o de una combinación de ambos esquemas.La definición de esta área permitirá certificar qué usuarios están o no autorizadosy facilita detectar los ingresos no aprobados a los diferentes sistemas detelecomunicación y procesamiento de datos de la entidad.
En esta área se debe buscar un mecanismo que permita almacenar la informaciónde cada usuario, las llaves públicas y privadas que se manejan, los niveles y/oatributos que se le han asignado, un histórico que permita saber los diferentesestados del usuario en cuanto a si ha sido suspendido, cancelado, activado,modificado, ambientes en los cuales ha estado involucrado (revisión, producción,
19
etc.), lo cual se puede lograr mediante la utilización de tarjetas de identificaciónelectrónica que envíen y transmitan los datos de acceso en cuanto a fecha, lugar,plataforma, área, etc. a una central de control o mediante la implantación de unesquema administrativo de control que permita hacer el seguimiento adecuado aeste tipo de actividades.
Esta información permitirá que el usuario tenga niveles de acceso a los sistemasde información de acuerdo con parámetros pre-establecidos para tal propósito,permitiendo además que se identifiquen claramente los usuarios que compartenplataformas tecnológicas.
6.2 AUTENTICACION
Debe existir un método de autenticación que verifique el origen, contenido, calidady estructura en que viaja la información relacionada con las transacciones de losusuarios en cada uno de los tramos donde se realiza la comunicación y, en loscasos en que aplique, confrontarla con la información previamente almacenada.
Este tipo de autenticación debe efectuarse mediante una vía segura y con lautilización de llaves de comunicación individuales en cada uno de los tramos.
6.3 VALIDACION
Este proceso de seguridad en las comunicaciones deberá verificar las firmasdigitales y las claves de acceso a cada uno de los sistemas con prueba deidentidad clara e irrefutable que garantice cómo, quién y cuándo hizo la conexión.Superados los anteriores pasos en la estructura de seguridad en la comunicaciónse considera la conexión válida para ejecución e inicio de procesos con lainformación.
6.4 ENCRIPCION
Las entidades financieras y las redes que soportan esquemas tecnológicos para elmanejo de la información en los procesos que se relacionan con las transaccionesefectuadas desde un punto de venta o un cajero automático a través de la
20
utilización de tarjetas crédito y débito deben garantizar que dicha información viajecifrada, esto es, información encriptada.
Las entidades deben encriptar como mínimo los campos en donde el número deidentificación personal o clave (NIP) sea transmitido. Dicho proceso debe serimplementado a través de hardware en los puntos diferentes al interior de laoficina. (Circular Externa 002 de 1998 - Superintendencia Bancaria).
Para los puntos en establecimientos comerciales y las transacciones que serealicen con tarjetas desde las oficinas, la encripción se implementará,preferiblemente desde el teclado o desde algún punto de la oficina. Debegarantizarse que el número de identificación personal (NIP) este protegido entodos los puntos de la transmisión.
Para tal efecto deben incluirse en los procedimientos de comunicación dentro delas oficinas unos procesos de cifrado de la información que contemplen, por lomenos, algoritmos certificados a nivel mundial tales como RSA, Data EncryptionStandard (DES), Triple DES (Encripta la información tres veces con clavesdiferentes) y el International Data Encryption Algorithm (IDEA), entre otros.
Es preciso tener en cuenta que dicha información, en función de los serviciosofrecidos por la entidad, puede viajar a manera de voz, datos, fax, video ycombinación de las anteriores.
Las entidades deben tener presente los tramos entre los cuales se da lacomunicación y los requisitos de encripción de cada uno de ellos. Para efectos deencriptar información que sale de la oficina o sucursal bancaria es necesario quese haga a través del método de encripción por hardware, siendo opcional que enel interior de la oficina se maneje la encripción por software a través de algoritmoscertificados internacionalmente para cifrar la información.
Los 2 elementos importantes a tener en cuenta en la encripción son : Algoritmo deencripción y manejo de claves.
6.5 NO-RECHAZO
21
Las entidades deben velar porque en el mecanismo instaurado para el control dela información permanentemente esté presente el paso conocido como “No-Rechazo”, el cual significa la prueba irrefutable de la identidad del emisor de lainformación, la integridad de los datos recibidos y enviados, lo cual servirá a suvez como complemento para las pistas de auditoría a nivel aplicativo.
La anterior estructura de seguridad debe ser aplicada para las áreas que manejenla información de las claves, NIP (Número de Identificación Personal), cintas detransmisión de video ó archivos de video almacenados en disco duro, números decuenta, cupos asignados, información sobre créditos, características propias de latransacción, en si, todo la información involucrada en una operación con tarjeta através de un punto de venta o un cajero automático.
Es preciso contemplar en la estructura de seguridad de la información lascaracterísticas específicas que requieren los diferentes ambientes tales comocorreo electrónico e internet.
Dicha estructura debe ser acondicionada a los lineamientos y directrices de lasáreas de auditoría y de quienes controlan y evalúan el desempeño de losdispositivos a través de hardware y software.
6.6 CONTROL DE ADMINISTRACION (PUERTOS Y DIRECCIONES EN LACOMUNICACIÓN DE DATOS)
Es necesario contar con las guías adecuadas para el control de puertos ydirecciones asignadas (LU´s, circuitos virtuales, direcciones IP, etc.) en laconexión de una terminal financiera , una conexión Internet o cualquier conexiónque la entidad utilice para el flujo de transacciones financieras, con el propósito dedar seguridad en la plena identificación de cada conexión. Este control debepermitir diferenciar entre puertos (direcciones) de pruebas y de producción.
6.7 IDENTIFICACION DE TERMINALES
Se debe mantener una metodología de asignación de terminales locales yremotas (incluyendo cajeros automáticos) que permitan identificar, registrar,
22
establecer y verificar la pertenencia y acceso a la entidad en el momento delingreso a los sistemas principales.
6.8 INTERCAMBIO DINAMICO DE LLAVES
Las entidades deben utilizar el intercambio dinámico de claves de comunicación(llaves) entre los sistemas de encripción implantados con una frecuencia quegarantice la máxima seguridad y evite conocer las llaves iniciales de codificación,dificultando así la obtención de los datos, acatando las disposiciones que para talefecto determinó la Superintendencia Bancaria a través de la Circular Externa 002de 1998.
6.9 MONITOREO DE ESTADO DE TERMINALES EN COMUNICACIONES
Es preciso contar con un sistema y un procedimiento de monitoreo que garanticeel aviso de una anomalía y la atención inmediata de recuperación por eventos defalla en las comunicaciones en las terminales financieras (en cajeros automáticosy puntos de venta es muy importante puesto que puede tratarse de la comisión deun delito).
6.10 MANTENIMIENTO DE EQUIPOS
Las entidades deben crear un plan de mantenimiento de equipos de comunicaciónque garantice el funcionamiento de las conexiones y su flujo transaccional,incluyendo los registros respectivos de dicho mantenimiento, siempre bajo laresponsabilidad del área donde se realiza la operación, acompañado de unprocedimiento de control sobre las personas que lo realizan y un archivo históricode los cambios efectuados teniendo en cuenta los diferentes niveles de acceso alos sistemas e información.
23
En el área de producción no se deben tener equipos sin identificación, apagadosindefinidamente o inutilizados por reposición, que aumenten los riesgos deintromisión no deseada.
6.11 MODIFICACIONES A LA CONFIGURACION DE LA RED DECOMUNICACIONES
En los casos en que aplique, las entidades deben tener un control específicosobre los equipos de análisis de comunicaciones (como por ejemplo losanalizadores de protocolo), en cuanto a su ubicación, motivo de utilización,archivos grabados, con el fin de delimitar las responsabilidades y minimizar losriesgos de interceptación internos en la entidad.
Se debe velar porque exista un procedimiento de modificaciones o inclusiones a laconfiguración de la red de comunicaciones, que registre los cambios de maneraestándar, con una verificación previa de pruebas de campo o situaciones similaresa las de producción.
6.12 RECOMENDACIONES :
• Se debe tener en cuenta que los problemas generados por fallas físicas ytécnicas de los equipos involucrados en un ambiente de procesamiento dedatos y comunicaciones, podrán generar inconvenientes de tipo administrativo yde control de las operaciones, al igual que problemas en las comunicacionesposiblemente ocasionen dificultades de seguridad física.
• Dado que las entidades cuentan con diferentes áreas y posiblemente diferentesplataformas tecnológicas entre ellas, entre sus oficinas, etc., se recomiendatener en cuenta en la estructura de seguridad física y lógica que se detectentodos los posibles puntos de exposición a riesgo y se establezcan de la maneramás clara los controles administrativos y procedimientos a tener en cuenta.
• Toda información confidencial relacionada con las operaciones con tarjetadébito, crédito e inteligente que por motivo alguno haya requerido de la
24
impresión de un reporte escrito (papel), debe ser contemplada dentro de unesquema de seguridad para información preliminar o borrador, teniendo encuenta su clasificación en los niveles de confidencialidad, las copias que sehan generado del documento, el destino de cada una de ellas y verificar que eldestino corresponda a usuarios autorizados en el proceso de certificación. Losusuarios autorizados deben velar porque esa información no quede libre deacceso y permanezca bajo llave.
• Procurar y verificar que las entidades con quien se tiene relación en cuanto aldiseño, tecnología, elaboración de tarjetas, centros de realce y entrega deplásticos tengan creados procedimientos de control y seguridad en cuanto a lainformación que manejan sobre las tarjetas y/o usuarios.
ANEXO : INDICE DE NORMAS ICONTEC RELACIONADAS CON LOS TEMASCONTENIDOS EN EL PRESENTE ACUERDO INTERBANCARIO
El Instituto Colombiano de Normas Técnicas ha generado una serie de normasrelacionadas con el tema del procesamiento electrónico de datos y las tarjetasplásticas a través de las máquinas y programas.
La siguiente es una relación breve de algunas de las normas más relacionadascon estos aspectos, las cuales se encuentran a disposición en el ICONTEC.
25
NTC 2363 (Establece funciones, incluye procesos principales, equipos utilizados,presentación y organización de datos, programación y operación decomputadores, equipos periféricos y aplicaciones particulares).
NTC 2364 (Procesamiento de la información, codificación y clasificación decaracteres para intercambio de información, tablas de códigos, caracteres decontrol de transmisión, extensiones de códigos, dispositivos y otros).
NTC 2365 (Procesamiento de la información, estructura de caracteresintermitentes y sincrónicos destinados a la transmisión, sentidos de paridad,encadenamientos).NTC 2439 (Procesamiento de la información).
NTC 2552 (Sistemas para el procesamiento de la información, comunicación dedatos, interfaces, conexión y asignación de pines).
NTC 2553 (Procesamiento de la información. Comunicación de datos, controlesde enlace, datos de alto nivel, convenciones de direccionamiento, dígitosbinarios).
NTC 2554 (Organización de datos, términos y definiciones).
NTC 2634 (Vocabulario, control, integridad y seguridad de la información).
NTC 2676 (Elementos para informática. Características dimensionales, físicas ymagnéticas).
NTC 2732 (Interconexión de sistemas abiertos).
NTC 2777 (Uso de paridad para la detección de errores en la transmisión).
NTC 2869 (Banca y servicios financieros. Tarjetas bancarias. Banda Magnética.Contenido de datos de la pista TRACK 3. Definiciones sobre características físicasde la tarjeta, posición y dimensión de los datos en relieve, funcionamiento delmaterial magnético, especificaciones de codificación de la pista 3).
NTC 2869 (Estructura de archivo y rotulado de cintas magnéticas para intercambiode información).
26
NTC 2909 (Banca y servicios financieros. Tarjetas para transacciones financieras.Definiciones y especificaciones de localización de los datos realzados, tarjetas norealzadas tamaño alternativo, sistemas de numeración de cuenta detransacciones financieras).
NTC 2921 (Símbolos de documentación y convenciones aplicables a diagramasde flujo de datos, de programación y de sistemas).
NTC 2922 (Interfaces entre sistemas computarizados y los procesos técnicos).
NTC 2968 (Tecnología de la información, comunicación e datos, términos ydefiniciones, medios y técnicas de transmisión).
NTC 2969 (Banca y requisitos financieros. Tarjetas de identificación. Técnicas deregistro. Localización de pistas de solo lectura . Pistas 1 y 2).NTC 2970 (Banca y servicios financieros. Técnicas de registro. Localización decaracteres realzados en tarjetas de tipo ID-1).
NTC 2971 (Banca y servicios financieros. Seguridad física y electrónica.Administración y requerimientos del PIN (Número de Identificación Personal -NIP). Ciclo de vida del Pin. Administración de claves).
NTC 3213 (Comunicaciones - características de las redes de área local LAN).
NTC 3214 (Banca y servicios financieros. Técnicas de registro en bandamagnética, material magnético, características de desempeño, técnicas decodificación, especificaciones de codificación para pistas de solo lectura y delectura-escritura).
NTC 3270 (banca y servicios financieros. Seguridad física y electrónica.Requisitos para la autenticación de mensajes, procedimientos de aprobación paraalgoritmos de autenticación).
NTC 3349 (Define los principales conceptos básicos que involucran laconfiabilidad, el mantenimiento y la disponibilidad en el campo del procesamientode datos).
27
NTC 3431 (Definiciones, localización del material magnético, localización de laspistas de datos codificados, comienzos de la codificación).
NTC 3451 (tarjetas de circuitos integrados con contactos - características físicas).
NTC 3500 (Contiene definiciones y consideraciones en comunicaciones con lautilización del protocolo de nivel de paquete X.25 en redes de área local LAN.
NTC 3560 (Procedimientos y desarrollo. Guía para la adquisición de sistemas decomputación. Establece recomendaciones para tener en cuenta en la adquisiciónde sistemas de computación).
NTC 3585 (Sistemas de procesamiento de la información. Auditoría. Programa deaseguramiento de calidad para el software previamente desarrollado utilizandoaplicaciones no críticas).
NTC 4077 ( Establece definiciones y términos de conceptos utilizados en elprocesamiento de la información).
NTC 4079 (Términos y definiciones relacionados con el procesamiento de datos).
NTC 4094 (Unidades de procesamiento aritméticas, registro y convertidores,facilita la comunicación internacional en el procesamiento de la información).