CAPITULO X CNBVjulio de 2010

CONTROLES REGULATORIOS

Circular Única de Bancos (Capítulo X):1) 2º Factor de autenticación 2) Registro de cuentas 3) Notificaciones 4) Limites de operación

5) Prevención de fraudes 6) Registro de bitácoras 7) Seguridad: datos y comunicaciones 8) Contratos

Clientes

Back Office

Aceptación del Cliente

CUATRO CATEGORÍAS DE AUTENTICACIÓN

Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario

Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP)

Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso

Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras

Según el articulo 310

AUTENTICACIÓN DE LAS INSTITUCIONES

Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente:

Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión

Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información:

Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario

Según el articulo 311

PROTECCIÓN DE LAS SESIONES

Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero.Terminar las sesiones por inactividadImpedir el acceso en forma simultánea con la misma cuenta

Según el articulo 316 B2

MANEJO DE CONTRASEÑAS

Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación

Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios

No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación

Según el articulo 316 B4

EQUIPOS ELECTRÓNICOS (POS)

Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios

Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes

Según el articulo 316 B6

CENTROS DE ATENCIÓN TELEFÓNICA

Controles de seguridad física y lógica en la infraestructura tecnológica

Delimitar las funciones de los operadores telefónicos

Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios

Según el articulo 316 B7

CHIP EN LAS TARJETAS

1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo.

El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo.

El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo.

Según el articulo 316 B8

CIFRADO

Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario

Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos

Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta,

podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las

Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación

Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado

La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática

El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module),

Según el articulo 316 B10

CONTROLES DE ACCESO

Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios ElectrónicosDefinir las personas que pueden acceder a la informaciónDejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamientoVerificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados

Según el articulo 316 B11

EXTRAVIO DE INFORMACIÓN

En caso de extravio de información se debe notificar a la CNBV

Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados

Según el articulo 316 B12

REGISTRO DE INCIDENCIAS

En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados

Registrar operaciones no reconocidas por los Usuarios

Mantener en la Institución durante un periodo no menor a cinco años

Según el articulo 316 B14

GENERACIÓN DE BITACORAS

Las bitácoras deberán registrar Los operaciones y servicios bancarios

realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz,

Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica

Según el articulo 316 B15

REPORTE DE ROBO DE PARTE DEL CLIENTE Procedimientos y mecanismos para que sus Usuarios

les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación

Políticas que definan las responsabilidades tanto del Usuario como de la Institución

Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios

Según el articulo 316 B16

REVISIONES DE SEGURIDAD A LA INFRAESTRUCTURA DE CÓMPUTO

Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al

software original; Procedimientos que NO permitan conocer los valores de

Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con

los servicios de Banca Electrónica

Según el articulo 316 B17

RESPUESTA A INCIDENTES

Medidas preventivas, de detección, disuasivas y procedimientos de respuesta

Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna

Según el articulo 316 B20

HIGHLIGHTS CAPÍTULO X

Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas.

Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado.

Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con Wal Mart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros.

Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al

ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.

HIGHLIGHTS CAPÍTULO X

Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro.

Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.

GRACIAS

juan.carlos@sm4rt.com @juan_carrillo

Sm4rt Security ServicesPaseos de Tamarindos 400A 5º PisoCol. Bosques de las LomasMéxico D. F. C.P. 05120