Sei sulla pagina 1di 3

Canales Electrnicos Com.

"A" 5374 - Escenarios de criticidad=1 - Requisitos obligatorios


Proceso Suscripcin, presentacin, uso, renovacin y baja de credenciales ECM003 (c/Tarj) ECM004 (s/Tarj) ATM / TAS / POS BI / BM / BT 1 2 3 4 5 6 7 8 9 N/A 13 14 2 3 4 5 6 7 8 9 10 11 12 13 N/A 15 17 18 22 1 2 N/A N/A 5 6 7 8 9 11 13 14 2 3 4 5 N/A 7 8 9 10 11 12 N/A 14 N/A 17 18 22 Extracciones de Efectivo ETR002 ATM 1 2 3 4 5 6 7 8 9 N/A 13 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Transfcias inmediatas ETR005 ATM / BI 1 2 3 4 5 6 7 8 9 11 13 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Transfcias a terceros ETR006 ATM/TAS/BI/BM 1 2 3 4 5 6 7 8 9 11 13 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Descripcin del Requisito obligatorio tcnico Entrada en vigencia del requsito

CC

Concientizacin basada en anlisis de vulnerabilidades e incidentes Debe incluir tecnicas de deteccin y prevencin de phishing, vishing e ing. Social Debe incluir tecnicas de deteccin y prevencin de skimming Tambin deteccin y prevencin de sospechosos en recintos Mantener informado al personal, proveedores y clientes de las vas de denuncias Aplicar la concientizacin a rrhh, involucrados, clientes, proveedores Evaluacin anual de la efectividad del plan vs Gestin Incidentes Debe incluir medidas p/Proteccin de la privacidad de las credenciales Debe incluir recomendaciones para uso seguro de dispositivos del cliente Tambin como el usuario debe configurar sus dispositivos y operar Debe existir un mecanismo de comunicacin continua con destinatarios Debe recomendar al usuario el uso de claves complejas Renovacin de claves debe permitir autogestin o minima intervencin externa Las claves nunca deben ser conocidas por 3ros, ni antes ni durante su generacin Slo se pueden almacenar claves protegidas y con fines de verificacin automtica Identificacin positiva para rehabilitaciones de factores "algo que tiene" (ver CA040) Teclados fsicos/virtuales para ingreso de claves deben encriptar "on the fly" >= 3DES (transacciones crticas) o DES (transacciones no crticas) Retencin de contraseas: no reutilizacin del ltimo valor Caducidad contrasea <= 365 das, con opcin a adelantarla, o al vto del 2do factor El factor "que tiene" dinmico, debe ser 2 de 4: anti tampering, unvoco con cliente, ID nico de fabricacin, recambio bianual El factor "que tiene" slo puede ser presentado ante medios que impidan revelacin Minimizar exposicin de datos identificatorios de las credenciales slo a autorizados En inicio de sesin, doble factor autenticacin (Tiene + Sabe) o (Sabe + Sabe unvoco) Si no anda total/parcialmente la seguridad, debe inhabilitarse el dispositivo Clave>= 8 caracteres (internet), >=6 caracteres (banca mvil) y >=4 (banca telefnica) Cuando la clave es slo nmeros, tipo "PIN" de >= 4 dgitos Todo el ciclo de vida de la clave debe estar encriptada (3DES o hashing). Si no es posible en Bca.Telefnica, se debe aplicar otro factor de autenticacin exclusivo. Las claves deben estar enmascaradas o con teclados virtuales o paneles protectores El factor "algo que tiene" debe ser destruido <= 30 das hbiles luego de su retencin

1/3/2014 o 1 anlisis 9/1/2013 9/1/2013 9/1/2013 9/1/2013 9/1/2013 1/3/2014 o 1 anlisis 9/1/2013 9/1/2013 9/1/2013 9/1/2013 9/1/2013 9/1/2013 3/1/2013 9/1/2013 9/1/2013 Nuevos = 01/03/2013 Resto = 01/03/2014 9/1/2013 3/1/2014 3/1/2013 3/1/2014 3/1/2013 9/1/2013 9/1/2013 9/1/2013 3/1/2013 Nuevos = 01/03/2013 Resto = 01/09/2013 3/1/2013 9/1/2013

CA

12/19/2012

GTAR - IT Advisory

Canales Electrnicos Com. "A" 5374 - Escenarios de criticidad=1 - Requisitos obligatorios


Proceso Suscripcin, presentacin, uso, renovacin y baja de credenciales ECM003 (c/Tarj) ECM004 (s/Tarj) ATM / TAS / POS BI / BM / BT Extracciones de Efectivo ETR002 ATM Transfcias inmediatas ETR005 ATM / BI Transfcias a terceros ETR006 ATM/TAS/BI/BM Descripcin del Requisito obligatorio tcnico Entrada en vigencia del requsito

23 N/A 25 26 N/A N/A 30 31 N/A 36 N/A 40 41 N/A IR 1 2 3 4 5 6 7 8 9 N/A N/A 15 16

23 24 N/A 26 27 28 30 N/A N/A N/A 39 40 41 42 1 2 3 4 5 N/A 7 N/A 9 N/A N/A 15 16

N/A N/A N/A N/A N/A N/A N/A N/A 32 N/A N/A 40 N/A N/A N/A 2 3 4 5 6 7 8 9 N/A 14 15 16

N/A N/A N/A N/A N/A N/A N/A N/A 32 N/A N/A 40 N/A N/A N/A 2 3 4 5 6 7 8 9 13 14 15 16

N/A N/A N/A N/A N/A N/A N/A N/A 32 N/A N/A 40 N/A N/A N/A 2 3 4 5 6 7 8 9 13 14 15 16

5 intentos fallidos de clave= Bloqueo + alerta al usuario (ver CA041) y autenticacin positiva para desbloqueo (ver CA040). Reset de contador <=4 cada 30 minutos. Si no anda total/parcialmente la seguridad, debe inhabilitarse el dispositivo Los dispositivos no deberan retener TC/TD, si lo hacen, destruccin a 7 das hbiles Cambio obligatorio de clave al 1er uso, si es por otro canal: debe ser doble factor Siempre se debe poder personalizar la clave Contraseas complejas obligatorias (3 de 6 atributos). En BM/BT ni secuencia ni 111 Suscripciones a Canales slo con identificacin positiva (ver CA040) PIN distinto para ATM <> POS para la misma TC/TD Antes de confirmar transaccin, debe revalidar identidad c/tarj.coordenadas-tokenrellamada, secretos. Posteriormente debe aplicar CA040. Excluye Planes Sociales En dispositivos de la entidad, mecanismos para evitar que alteren el dispositivo Exigencias para las claves dinmicas para escenarios de criticidad 1 (Token, T.Coord) Identificacin positiva puede ser vertificacin automatizada o DNI o firma hologrfica o canal alternativo con doble factor. Remitir al cliente varios datos respecto a su ltima trasaccin y sesin en plazo<24hs Exigencias = para enlaces a pginas de terceros desde el sitio web de la entidad No se deben almacenar la clave de acceso ni en dispositivos ni en journals Datos mnimos para cada evento del log (id, descripcin, fecha/hora, origen, usuario) Los logs deben garantizar trazabilidad de quin, qu, dnde, cundo y cmo Datos mnimos de los tipos de eventos que el log debe registrar Garantizar la integridad de los logs desde el inicio del ciclo de vida del evento Almacenamiento de la tira de auditora: papel: post-balanceo y electrnica <=24hs Retencin de los logs por 6 aos, no recuperables post-descarte Los soportes de almacenamiento una vez resguardados no deben recuperarse <15ds Los registros de soportes deben estar protegidos de accesos no autorizados Controlar integridad de transmisin de cuentas origen y destino, receptor, mensaje Para redes TCP/IP debe existir siempre un Firewall entre redes privadas y pblicas Cuando se transmitan datos por redes no privadas, debe usar SSL, Certif, cifrado (*) Debe generar comprobante (papel opcional p/dispositivos propios y digital dispositivos clientes, retencin 3 meses)

9/1/2013 9/1/2013 3/1/2013 3/1/2013 9/1/2013 9/1/2013 9/1/2013 3/1/2013 9/1/2013 9/1/2013 3/1/2013 3/1/2013 9/1/2013 9/1/2013 3/1/2013 9/1/2013 3/1/2014 9/1/2013 9/1/2013 9/1/2013 3/1/2013 3/1/2013 3/1/2013 3/1/2013 3/1/2013 3/1/2013 3/1/2013

12/19/2012

GTAR - IT Advisory

Canales Electrnicos Com. "A" 5374 - Escenarios de criticidad=1 - Requisitos obligatorios


Proceso Suscripcin, presentacin, uso, renovacin y baja de credenciales ECM003 (c/Tarj) ECM004 (s/Tarj) ATM / TAS / POS BI / BM / BT N/A N/A N/A 5 6 7 8 9 10 N/A 1 2 3 5 1 N/A N/A 5 6 N/A 8 N/A 10 N/A 1 2 3 5 Extracciones de Efectivo ETR002 ATM 1 2 N/A N/A 6 N/A 8 9 N/A N/A 1 2 3 5 Transfcias inmediatas ETR005 ATM / BI 1 2 4 5 6 N/A 8 9 N/A 11 1 2 3 5 Transfcias a terceros ETR006 ATM/TAS/BI/BM 1 2 4 5 6 N/A 8 9 N/A 11 1 2 3 5 Descripcin del Requisito obligatorio tcnico Entrada en vigencia del requsito

MC

Expiracin de sesin, segn anlisis de vulnerabilidades, siempre <= 30minutos Alertas tempranas ante dispositivos con problemas de comunicacin o seguridad Monitoreo preventivo, reactivo, basado en perfil de cliente y patrn transaccional. Implementar mecanismos de comunicacin alternativa p/verificar alertas de monitoreo Se deben clasificar los eventos para definir umbrales y comportamientos esperados Los dispositivos que utilizan TC/TD deben tener alertas por olvido/retencin Debe existir un canal las 24hs para denuncias y consultas de clientes Monitoreo para detectar compromiso de datos sensibles (ej cdigos de seguridad) Apertura simultnea de sesiones en =canal: impedir o bloquear la operatoria alertando Clasificacin de ordenantes y receptores basado a caractersticas, perfil, patrones Anlisis de riesgo anual, anlisis de incidentes ocurridos p/capacitacin y alertas Incidentes basada en alertas temprana, estadsticas, patrones y recomend. Seg.inf. Se puede tercerizar la gestin de incidentes, pero el control debe ser de seg.inf. Debe existir un escalamiento definido y formalizado para tratar los incidentes

3/1/2013 9/1/2013 3/1/2014 3/1/2014 3/1/2014 9/1/2013 3/1/2013 3/1/2013 9/1/2013 3/1/2014 3/1/2014 9/1/2013 9/1/2013 9/1/2013

IG

12/19/2012

GTAR - IT Advisory

Potrebbero piacerti anche