capitulo x cnbv
TRANSCRIPT
CAPITULO X CNBVjulio de 2010
CONTROLES REGULATORIOS
Circular Única de Bancos (Capítulo X):1) 2º Factor de autenticación 2) Registro de cuentas 3) Notificaciones 4) Limites de operación
5) Prevención de fraudes 6) Registro de bitácoras 7) Seguridad: datos y comunicaciones 8) Contratos
Clientes
Back Office
Aceptación del Cliente
CUATRO CATEGORÍAS DE AUTENTICACIÓN
Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario
Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP)
Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso
Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras
Según el articulo 310
AUTENTICACIÓN DE LAS INSTITUCIONES
Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente:
Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión
Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información:
Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario
Según el articulo 311
PROTECCIÓN DE LAS SESIONES
Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero.Terminar las sesiones por inactividadImpedir el acceso en forma simultánea con la misma cuenta
Según el articulo 316 B2
MANEJO DE CONTRASEÑAS
Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación
Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios
No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación
Según el articulo 316 B4
EQUIPOS ELECTRÓNICOS (POS)
Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios
Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes
Según el articulo 316 B6
CENTROS DE ATENCIÓN TELEFÓNICA
Controles de seguridad física y lógica en la infraestructura tecnológica
Delimitar las funciones de los operadores telefónicos
Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios
Según el articulo 316 B7
CHIP EN LAS TARJETAS
1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo.
El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo.
El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo.
Según el articulo 316 B8
CIFRADO
Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario
Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos
Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta,
podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las
Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación
Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado
La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática
El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module),
Según el articulo 316 B10
CONTROLES DE ACCESO
Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios ElectrónicosDefinir las personas que pueden acceder a la informaciónDejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamientoVerificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados
Según el articulo 316 B11
EXTRAVIO DE INFORMACIÓN
En caso de extravio de información se debe notificar a la CNBV
Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados
Según el articulo 316 B12
REGISTRO DE INCIDENCIAS
En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados
Registrar operaciones no reconocidas por los Usuarios
Mantener en la Institución durante un periodo no menor a cinco años
Según el articulo 316 B14
GENERACIÓN DE BITACORAS
Las bitácoras deberán registrar Los operaciones y servicios bancarios
realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz,
Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica
Según el articulo 316 B15
REPORTE DE ROBO DE PARTE DEL CLIENTE Procedimientos y mecanismos para que sus Usuarios
les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación
Políticas que definan las responsabilidades tanto del Usuario como de la Institución
Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios
Según el articulo 316 B16
REVISIONES DE SEGURIDAD A LA INFRAESTRUCTURA DE CÓMPUTO
Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al
software original; Procedimientos que NO permitan conocer los valores de
Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con
los servicios de Banca Electrónica
Según el articulo 316 B17
RESPUESTA A INCIDENTES
Medidas preventivas, de detección, disuasivas y procedimientos de respuesta
Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna
Según el articulo 316 B20
HIGHLIGHTS CAPÍTULO X
Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas.
Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado.
Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con Wal Mart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros.
Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al
ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
HIGHLIGHTS CAPÍTULO X
Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro.
Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.
GRACIAS
[email protected] @juan_carrillo
Sm4rt Security ServicesPaseos de Tamarindos 400A 5º PisoCol. Bosques de las LomasMéxico D. F. C.P. 05120