Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CONTENIDO
1.
mbito de aplicacin
2.
3.
3.1.
3.2.
3.3.
3.4.
Obligaciones generales
Seguridad y calidad
Tercerizacin Outsourcing
Documentacin
Divulgacin de informacin
4.
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
4.8.
4.9.
4.10.
4.11.
5.
6.
7.
Anlisis de vulnerabilidades
Pgina 95
Octubre
de 2012
b)
Integridad: La informacin debe ser precisa, coherente y completa desde su creacin hasta su
destruccin.
c)
b)
c)
Pgina 96
Octubre
de 2012
Cliente
Es toda persona natural o jurdica con la cual la entidad establece y mantiene una relacin contractual o legal
para el suministro de cualquier producto o servicio propio de su actividad.
2.10.
Usuario
Aquella persona natural o jurdica a la que, sin ser cliente, la entidad le presta un servicio.
2.11.
Producto
Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la
celebracin de un contrato o que tienen origen en la ley.
2.12.
Servicio
Es toda aquella interaccin de las entidades sometidas a inspeccin y vigilancia de la SFC con sus clientes y
usuarios para el desarrollo de su objeto social.
2.13.
Dispositivo
Informacin confidencial
Pgina 97
Octubre
de 2012
Autenticacin
Biometra.
Certificados de firma digital.
OTP (One Time Password), en combinacin con un segundo factor de autenticacin.
Tarjetas que cumplan el estndar EMV, en combinacin con un segundo factor de
autenticacin.
2.16.5. Registro y validacin de algunas caractersticas de los computadores o equipos mviles
desde los cuales se realizarn las operaciones, en combinacin con un segundo factor de
autenticacin.
2.17.
Banca Mvil
Canal de banca electrnica en el cual el dispositivo mvil es utilizado para realizar operaciones y su
nmero de lnea es asociado al servicio.
Los servicios que se presten a travs de dispositivos mviles y utilicen navegadores Web, son
considerados banca por Internet.
2.18.
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
Pgina 98
Octubre
de 2012
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
intentos de accesos fallidos por parte de un cliente, as como las medidas operativas y de seguridad
para la reactivacin de los mismos.
Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir
procedimientos para la confirmacin oportuna de las operaciones monetarias que no correspondan a
sus hbitos.
Realizar una adecuada segregacin de funciones del personal que administre, opere, mantenga y, en
general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales
e instrumentos para la realizacin de operaciones. En desarrollo de lo anterior, las entidades debern
establecer los procedimientos y controles para el alistamiento, transporte, instalacin y
mantenimiento de los dispositivos usados en los canales de distribucin de servicios.
Definir los procedimientos y medidas que se debern ejecutar cuando se encuentre evidencia de la
alteracin de los dispositivos usados en los canales de distribucin de servicios financieros.
Sincronizar todos los relojes de los sistemas de informacin de la entidad involucrados en los canales
de distribucin. Se deber tener como referencia la hora oficial suministrada por la Superintendencia
de Industria y Comercio.
Tener en operacin slo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros,
necesarios para el desarrollo de su actividad.
Contar con controles y alarmas que informen sobre el estado de los canales, y adems permitan
identificar y corregir las fallas oportunamente.
Incluir en el informe de gestin a que se refiere el artculo 47 de la ley 222 de 1995 y sus
modificaciones, un anlisis sobre el cumplimiento de las obligaciones enumeradas en la presente
Circular.
Considerar en sus polticas y procedimientos relativos a los canales de distribucin, la atencin a
personas con discapacidades fsicas, con el fin de que no se vea menoscabada la seguridad de su
informacin.
3.2.3
3.2.4
3.2.5
Definir los criterios y procedimientos a partir de los cuales se seleccionarn los terceros y los
servicios que sern atendidos por ellos.
Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la
entrada en vigencia del presente Capitulo, por lo menos, los siguientes aspectos:
Niveles de servicio y operacin.
Acuerdos de confidencialidad sobre la informacin manejada y sobre las actividades desarrolladas.
Propiedad de la informacin.
Restricciones sobre el software empleado.
Normas de seguridad informtica y fsica a ser aplicadas.
Procedimientos a seguir cuando se encuentre evidencia de alteracin o manipulacin de dispositivos
o informacin.
Procedimientos y controles para la entrega de la informacin manejada y la destruccin de la misma
por parte del tercero una vez finalizado el servicio.
Las entidades contarn con los procedimientos necesarios para verificar el cumplimiento de
las obligaciones sealadas en el presente numeral, los cuales debern ser informados
previamente a la auditora interna o quien ejerza sus funciones.
Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente
documentados. Las entidades debern verificar que los planes, en lo que corresponde a los servicios
convenidos, funcionen en las condiciones pactadas.
Establecer procedimientos que permitan identificar fsicamente, de manera inequvoca, a los
funcionarios de los terceros contratados.
Implementar mecanismos de cifrado fuerte para el envo y recepcin de informacin confidencial con
los terceros contratados.
3.3 Documentacin
En materia de documentacin las entidades deben cumplir, como mnimo, con los siguientes requerimientos:
3.3.1
3.3.2
3.3.3
Dejar constancia de todas las operaciones que se realicen a travs de los distintos canales, la cual
deber contener cuando menos lo siguiente: fecha, hora, cdigo del dispositivo (para operaciones
realizadas a travs de IVR: el nmero del telfono desde el cual se hizo la llamada; para operaciones
por Internet: la direccin IP desde la cual se hizo la misma; para operaciones con dispositivos
mviles, el nmero desde el cual se hizo la conexin), cuenta(s), nmero de la operacin y costo de
la misma para el cliente o usuario.
En los casos de operaciones que obedecen a convenios, se dejar constancia del costo al que se
refiere el presente numeral, cuando ello sea posible.
Velar porque los rganos de control, incluyan en sus informes la evaluacin acerca del cumplimiento
de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes,
para la prestacin de los servicios a los clientes y usuarios, a travs de los diferentes canales de
distribucin.
Generar informes trimestrales sobre la disponibilidad y nmero de operaciones realizadas en
cada uno de los canales de distribucin. Esta informacin deber ser conservada por un trmino de
dos (2) aos.
Pgina 99
Octubre
de 2012
3.3.6
3.3.7
3.3.8
3.3.9
3.3.10
Cuando a travs de los distintos canales se pidan y se realicen donaciones, se deber generar y
entregar un soporte incluyendo el valor de la donacin y el nombre del beneficiario.
Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de
las entidades como de sus clientes y las condiciones bajo las cuales stas prestarn sus servicios.
Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado. Esta
informacin deber ser conservada por lo menos por dos (2) aos, contados a partir de la fecha de
terminacin de la relacin contractual o en caso de que la informacin sea objeto o soporte de una
reclamacin o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la informacin
confidencial de los clientes, que contenga al menos lo siguiente: identificacin del funcionario que
realiz la consulta, canal utilizado, identificacin del equipo, fecha y hora. En desarrollo de lo anterior,
se debern establecer mecanismos que restrinjan el acceso a dicha informacin, para que solo
pueda ser usada por el personal que lo requiera en funcin de su trabajo.
Llevar el registro de las actividades adelantadas sobre los dispositivos finales a cargo de la entidad,
usados en los canales de distribucin de servicios, cuando se realice su alistamiento, transporte,
mantenimiento, instalacin y activacin.
Dejar constancia del cumplimiento de la obligacin establecida en el numeral 3.4.4.
Grabar las llamadas realizadas por los clientes a los centros de atencin telefnica cuando consulten
o actualicen su informacin.
La informacin a que se refieren los numerales 3.3.1, 3.3.6 y 3.3.9 deber ser conservada por lo
menos por dos (2) aos. En el caso en que la informacin respectiva sea objeto o soporte de una
reclamacin, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
En concordancia con lo dispuesto en el artculo 97 del E.O.S.F., suministrar a los clientes informacin
clara, completa y oportuna de los productos, servicios y operaciones.
Dar a conocer a sus clientes y usuarios, por el respectivo canal y en forma previa a la realizacin de
la operacin, el costo de la misma, si lo hay, brindndoles la posibilidad de efectuarla o no.
Tratndose de cajeros automticos la obligacin slo aplica para operaciones realizadas en el
territorio nacional y cuyo autorizador tenga domicilio en Colombia.
Establecer las condiciones bajo las cuales los clientes podrn ser informados en lnea acerca de las
operaciones realizadas con sus productos.
Informar adecuadamente a los clientes respecto de las medidas de seguridad que debern tener en
cuenta para la realizacin de operaciones por cada canal, as como los procedimientos para el
bloqueo, inactivacin, reactivacin y cancelacin de los productos y servicios ofrecidos.
Establecer y publicar por los canales de distribucin, en los que sea posible, las medidas de
seguridad que deber adoptar el cliente para el uso de los mismos.
Disear procedimientos para dar a conocer a los clientes, usuarios y funcionarios, los riesgos
derivados del uso de los diferentes canales e instrumentos para la realizacin de operaciones.
Generar un soporte al momento de la realizacin de cada operacin monetaria. Dicho soporte deber
contener al menos la siguiente informacin: fecha, hora (hora y minuto), cdigo del dispositivo (para
Internet: la direccin IP desde la cual se hizo la misma; para dispositivos mviles: el nmero desde el
cual se hizo la conexin), nmero de la operacin, costo para el cliente o usuario, tipo de operacin,
entidades involucradas (si a ello hay lugar) y nmero de las cuentas que afectan. Se debern ocultar
los nmeros de las cuentas con excepcin de los ltimos cuatro (4) caracteres, salvo cuando se trate
de la cuenta que recibe una transferencia. Cuando no se pueda generar el soporte, se deber
advertir previamente al cliente o usuario de esta situacin. Para el caso de IVR y dispositivos mviles
se entender cumplido el requisito establecido en este numeral cuando se informe el nmero de la
operacin. En relacin con el costo de la operacin y tratndose de cajeros automticos, la
obligacin slo aplica para operaciones realizadas en el territorio nacional y cuyo autorizador tenga
domicilio en Colombia. Tratndose de pagos inferiores a dos (2) salarios mnimos legales diarios
vigentes SMLDV, no ser obligatorio la generacin del soporte al que se refiere el presente numeral.
Dentro de los procedimiento de cancelacin o terminacin de un producto, siempre que el cliente lo
solicite, las entidades debern entregar constancia en la que se advierta encontrarse a paz y salvo
por todo concepto, asegurndose que los futuros reportes a los operadores de bancos de datos de
que trata la Ley 1266 de 2008 sean consistentes con su estado de cuenta. Tratndose de tarjetas de
crdito dicha constancia deber entregarse al cliente en un tiempo mximo de cuarenta y cinco (45)
das, contados a partir de la fecha de solicitud de la cancelacin.
4.1 Oficinas
Para las oficinas donde se realicen operaciones monetarias las entidades debern cumplir, como mnimo, con
los siguientes requerimientos:
4.1.1
4.1.2
4.1.3
Los sistemas informticos empleados para la prestacin de servicios en las oficinas deben contar con
soporte por parte del fabricante o proveedor.
Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de
seguridad adecuados que garanticen proteccin de acceso controlado.
Contar con cmaras de video, las cuales deben cubrir al menos el acceso principal y las reas de
atencin al pblico. Las imgenes debern ser conservadas por lo menos ocho (8) meses o en el
caso en que la imagen respectiva sea objeto o soporte de una reclamacin, queja, o cualquier
proceso de tipo judicial, hasta el momento en que sea resuelto.
Pgina 100
Octubre
de 2012
4.1.6
4.1.7
Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los
clientes o usuarios en nombre de la entidad.
La informacin que viaja entre las oficinas y los sitios centrales de las entidades deber estar cifrada
usando hardware de propsito especfico, o software, o una combinacin de los anteriores. Para los
Establecimientos de Crdito el hardware o software empleados debern ser totalmente separados e
independientes de cualquier otro dispositivo o elemento de procesamiento de informacin, de
seguridad informtica, de transmisin y/o recepcin de datos, de comunicaciones, de conmutacin,
de enrutamiento, de gateways, servidores de acceso remoto (RAS) y/o de concentradores. En
cualquiera de los casos anteriores se deber emplear cifrado fuerte. Las entidades debern evaluar
con regularidad la efectividad y vigencia de los mecanismos de cifrado adoptados.
Establecer procedimientos necesarios para atender de manera segura y eficiente a sus clientes en
todo momento, en particular cuando se presenten situaciones especiales tales como: fallas en los
sistemas, restricciones en los servicios, fechas y horas de mayor congestin, posible alteracin del
orden pblico, entre otras, as como para el retorno a la normalidad. Las medidas adoptadas debern
ser informadas oportunamente a los clientes y usuarios.
Contar con los elementos necesarios para la debida atencin del pblico, tales como: lectores de
cdigo de barras, contadores de billetes y monedas, PIN Pad, entre otros, que cumplan con las
condiciones de seguridad y calidad, de acuerdo con los productos y servicios ofrecidos en cada
oficina.
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
Contar con sistemas de video grabacin que asocien los datos y las imgenes de cada operacin
monetaria. Las imgenes debern ser conservadas por lo menos ocho (8) meses o en el caso en que
la imagen respectiva sea objeto o soporte de una reclamacin, queja, o cualquier proceso de tipo
judicial, hasta el momento en que sea resuelto.
Cuando el cajero automtico no se encuentre fsicamente conectado a una oficina, la informacin que
viaja entre este y su respectivo sitio central de procesamiento se deber proteger utilizando cifrado
fuerte, empleando para ello hardware de propsito especfico independiente. Las entidades debern
evaluar con regularidad la efectividad y vigencia del mecanismo de cifrado adoptado.
Los dispositivos utilizados para la autenticacin del cliente o usuario en el cajero deben emplear
cifrado.
Implementar el intercambio dinmico de llaves entre los sistemas de cifrado, con la frecuencia
necesaria para dotar de seguridad a las operaciones realizadas.
Los sitios donde se instalen los cajeros automticos debern contar con las medidas de seguridad
fsicas para su operacin y estar acordes con las especificaciones del fabricante. Adicionalmente,
deben tener mecanismos que garanticen la privacidad en la realizacin de operaciones para que la
informacin usada en ellas no quede a la vista de terceros.
Implementar mecanismos de autenticacin que permitan confirmar que el cajero es un dispositivo
autorizado dentro de la red de la entidad.
Estar en capacidad de operar con las tarjetas a que aluden los numerales 6.11 y 6.12 del
presente captulo.
4.3.3
4.3.4
Contar con mecanismos que identifiquen y acepten los cheques, leyendo automticamente, al
menos, los siguientes datos: la entidad emisora, el nmero de cuenta y el nmero de cheque.
Los cheques o documentos no aceptados por el mdulo para recepcin de cheques no podrn ser
retenidos y debern ser retornados inmediatamente al cliente o usuario, informando la causa del
reintegro.
Una vez el cliente o usuario deposite el cheque, el sistema deber mostrar una imagen del mismo y
la informacin asociada a la operacin monetaria, para confirmar los datos de la misma y proceder o
no a su realizacin. En caso negativo deber devolver el cheque o documento, dejando un registro
de la operacin.
Como parte del procedimiento de consignacin del cheque se le debe poner una marca que indique
que este fue depositado en el mdulo.
4.4.3
4.4.4
Pgina 101
Octubre
de 2012
4.5.4
4.5.5
4.5.6
La lectura de tarjetas solo se deber hacer a travs de la lectora de los datfonos y los PIN Pad.
Cumplir el estndar EMV (Europay MasterCard VISA).
Los administradores de las redes de este canal debern validar automticamente la autenticidad del
datfono que se intenta conectar a ellos, as como el medio de comunicacin a travs del cual
operar.
Establecer procedimientos que le permitan a los responsables de los datfonos en los
establecimientos comerciales, confirmar la identidad de los funcionarios autorizados para retirar o
hacerle mantenimiento a los dispositivos.
Velar porque la informacin confidencial de los clientes y usuarios no sea almacenada o retenida en
el lugar en donde los POS estn siendo utilizados.
Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por
el cliente o usuario.
4.7.2
4.7.3
4.7.4
4.7.5
4.9.3
4.9.4
4.9.5
4.9.6
4.9.7
4.9.8
Implementar los algoritmos y protocolos necesarios para brindar una comunicacin segura.
Realizar como mnimo dos veces al ao una prueba de vulnerabilidad y penetracin a los equipos,
dispositivos y medios de comunicacin usados en la realizacin de operaciones monetarias por este
canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal,
deber realizarse una prueba adicional.
Promover y poner a disposicin de sus clientes mecanismos que reduzcan la posibilidad de que la
informacin de sus operaciones monetarias pueda ser capturada por terceros no autorizados durante
cada sesin.
Establecer el tiempo mximo de inactividad, despus del cual se deber dar por cancelada la sesin,
exigiendo un nuevo proceso de autenticacin para realizar otras operaciones.
Informar al cliente, al inicio de cada sesin, la fecha y hora del ltimo ingreso a este canal.
Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean
modificados los enlaces (links) de su sitio Web, ni suplantados sus certificados digitales, ni
modificada indebidamente la resolucin de sus DNS.
Contar con mecanismos para incrementar la seguridad de los portales, protegindolos de
ataques de negacin de servicio, inyeccin de cdigo malicioso u objetos maliciosos, que
afecten la seguridad de la operacin o su conclusin exitosa.
Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a
sus clientes mecanismos fuertes de autenticacin.
Pgina 102
Octubre
de 2012
Cuando la entidad decida iniciar la prestacin de servicios a travs de nuevos canales, diferentes a los que
tiene en uso, adems del cumplimiento de las instrucciones generales de seguridad y calidad, deber
adelantar el respectivo anlisis de riesgos del nuevo canal. Dicho anlisis deber ser puesto en conocimiento
de la junta directiva y los rganos de control.
La entidad deber remitir a la SFC, con al menos quince (15) das calendario de antelacin a la fecha prevista
para el inicio de la distribucin de servicios a travs del nuevo canal, la siguiente informacin:
a)
b)
c)
d)
e)
4.11.3
4.11.4
4.11.5
Con el propsito de mantener un adecuado control sobre el software, las entidades debern cumplir, como
mnimo, con las siguientes medidas:
5.1
5.2
5.3
5.4
5.5
5.6
6
6.1
6.2
Mantener tres ambientes independientes: uno para el desarrollo de software, otro para la realizacin de
pruebas, y un tercer ambiente para los sistemas en produccin. En todo caso, el desempeo y la
seguridad de un ambiente no podr influir en los dems.
Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de
produccin corresponden a las versiones de programas fuentes catalogadas.
Cuando las entidades necesiten tomar copias de la informacin de sus clientes para la realizacin de
pruebas, se debern establecer los controles necesarios para garantizar su destruccin, una vez
concluidas las mismas.
Contar con procedimientos y controles para el paso de programas a produccin. El software en
operacin deber estar catalogado.
Contar con interfases para los clientes o usuarios que cumplan con los criterios de seguridad y calidad,
de tal manera que puedan hacer uso de ellas de una forma simple e intuitiva.
Mantener documentada y actualizada, al menos, la siguiente informacin: parmetros de los sistemas
donde operan las aplicaciones en produccin, incluido el ambiente de comunicaciones; versin de los
programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas de informacin; y
procedimientos de instalacin del software.
Obligaciones especficas para tarjetas dbito y crdito
Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la
emisin, transporte, recepcin, custodia, entrega, devolucin y destruccin de las tarjetas. Se debe
estipular el tiempo mximo de permanencia de las tarjetas en cada una de estas etapas.
Cifrar la informacin de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para
mantener la confidencialidad de la misma.
Pgina 103
Octubre
de 2012
6.4
6.5
6.6
6.7
6.8
6.9
6.10
6.11
6.12
Velar porque los centros de operacin en donde se realizan procesos tales como: realce, estampado,
grabado y magnetizacin de las tarjetas, entre otros, as como de la impresin del sobreflex,
mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la informacin
relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricacin de la
misma.
Velar porque en los centros donde se realicen los procesos citados en el numeral anterior, apliquen
procedimientos y controles que garanticen la destruccin de aquellas tarjetas que no superen las
pruebas de calidad establecidas para su elaboracin, as como la informacin de los clientes utilizada
durante el proceso. Iguales medidas se debern aplicar a los sobreflex.
Establecer los procedimientos, controles y medidas de seguridad necesarias para la creacin,
asignacin y entrega de las claves a los clientes.
Cuando la clave (PIN) asociada a una tarjeta dbito haya sido asignada por la entidad vigilada, esta
deber ser cambiada por el cliente antes de realizar su primera operacin.
Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la
tarjeta dbito en el momento que stos lo consideren necesario.
Establecer en los convenios que se suscriben con los establecimientos de comercio la obligacin de
verificar la firma y exigir la presentacin del documento de identidad del cliente para las operaciones
monetarias que se realicen con tarjeta de crdito.
Emitir tarjetas personalizadas que contengan al menos la siguiente informacin: nombre del cliente,
indicacin de si es crdito o dbito, nombre de la entidad emisora, fecha de expiracin, espacio para la
firma del cliente y nmero telefnico de atencin al cliente.
Al momento de la entrega de la tarjeta a los clientes, sta deber estar inactiva. Las entidades debern
definir un procedimiento para su respectiva activacin, el cual contemple al menos dos de tres factores
de autenticacin. En cualquier caso, se debern entregar las tarjetas exclusivamente al cliente o a
quien este autorice.
Entregar a sus clientes tarjetas dbito que manejen internamente mecanismos fuertes de
autenticacin. Dichas tarjetas debern servir indistintamente para realizar operaciones en cajeros
automticos (ATM) y en puntos de pago (POS).
Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de autenticacin no sern
obligatorios en tarjetas dbito asociadas a productos utilizados para canalizar recursos
provenientes de programas de ayuda y/o subsidios otorgados por el Estado Colombiano
siempre que estos no superen dos (2) SMMLV.
Entregar a sus clientes tarjetas de crdito que manejen internamente mecanismos fuertes de
autenticacin siempre que los cupos aprobados superen dos (2) SMMLV. Para la realizacin de
pagos no ser necesario el uso de la clave.
Anlisis de vulnerabilidades
Las entidades debern implementar un sistema de anlisis de vulnerabilidades informticas que cumpla al
menos con los siguientes requisitos:
7.1
7.2
7.3
7.4
7.5
7.6
Pgina 104
Octubre
de 2012