Presentación de PowerPoint

Anuncio
ANTECEDENTES NORMATIVOS
DE LA CIRCULAR EXTERNA 042
DE 4 DE OCTUBRE DE 2012 Y
NOVEDADES
AGENDA
1.ANTECEDENTES
2.GENERALIDADES
3.PRINCIPALES MODIFICACIONES
CIRCULAR EXTERNA 042 DE 4 DE
OCTUBRE DE 2012
1. ANTECEDENTES
 25 de octubre de 2007- SFC expide la CE 052,
objetivo: instruir a las entidades sometidas a
inspección y vigilancia sobre los requerimientos
mínimos de seguridad y calidad para el manejo de la
información a través de los diferentes medios y
canales utilizados para la distribución de los
productos y servicios que se ofrecen a los clientes y
usuarios.
 30 de julio de 2010 la SFC expide la CE 022, necesidad: realizar
algunas precisiones respecto de los requerimientos de
seguridad y calidad para la realización de operaciones.
 30 de junio de 2011 la SFC expide la CE 026, necesidad:
impartir instrucciones relacionadas con la prestación de
servicios de los establecimientos de crédito, las sociedades
comisionistas de bolsa de valores y las sociedades de
intermediación cambiaria y servicios financieros especiales a
través de corresponsales.
 4 de octubre de 2012 la SFC expide la CE 042, necesidad:
impartir nuevas instrucciones relacionadas con los
requerimientos de seguridad y calidad para la realización de
operaciones.
2. GENERALIDADES
1. Ámbito de aplicación
2. Definiciones y criterios de seguridad y calidad
de la información
3. Obligaciones Generales
4. Obligaciones adicionales por tipo de canal
5. Reglas sobre actualización de software
6. Obligaciones específicas para tarjetas débito y
crédito
7. Análisis de vulnerabilidades
2.1. ÁMBITO DE APLICACIÓN (CE 026/2011)
Todas las entidades sometidas a la inspección y vigilancia de la SFC
Excepto:
1. FOGAFIN
2. FOGACOOP
3. FNG
4. FONADE
5. Almacenes General de depósito
6. Fondos de garantía que se constituyan en el mercado público de
valores, mutuos de inversión, ganaderos.
7. Sociedades calificadoras de valores y/o riesgo
8. Oficinas de representación de instituciones financieras y de
reaseguros del exterior
9. Corredores de seguros y de reaseguros
10. Comisionistas Independientes de valores
11. Sociedades Comisionistas de bolsa agropecuarias
12. Organismos de autorregulación
2.2 DEFINICIONES Y CRITERIOS DE SEGURIDAD Y
CALIDAD DE LA INFORMACIÓN
 Criterios de seguridad de la información
1. Confidencialidad
2. Integridad
3. Disponibilidad
 Criterios de Calidad de la información
1. Efectividad
2. Eficiencia
3. Confiabilidad
 Canales de distribución de servicios financieros
1.
2.
3.
4.
5.
6.
7.
Oficinas
Cajeros automáticos (ATM)
Receptores de cheques
Receptores de dinero en efectivo
POS (incluye PIN Pad)
Sistemas de Audio Respuesta (IVR)
Centro de atención telefónica (Call center, contact
center)
8. Sistemas de acceso remoto para clientes (RAS)
9. Internet
10. Banca Móvil
 Instrumentos para la realización de operaciones: Son los
elementos con los que se imparten las órdenes para la realización
de operaciones a través de los canales de distribución, los cuales
son, entre otros, los siguientes:
a. Tarjetas débito.
b. Tarjetas crédito.
c. Dispositivos móviles
d. Órdenes electrónicas para la transferencia de fondos.
* Vulnerabilidad informática
*Cifrado fuerte
* Sistema de Acceso Remoto (RAS)
* Operaciones No monetarias
* Operaciones Monetarias
* Información Confidencial
* Cliente
* Usuario
* Producto
* Servicio
* Dispositivo
3. PRINCIPALES MODIFICACIONES
 Nuevo numeral: Banca Móvil
 Definiciones
 Autenticación: conjunto de técnicas y procedimientos utilizados para
verificar la identidad de un cliente, entidad o usuario. Los factores de
autenticación son: algo que se sabe, algo que se tiene, algo que se es.
 Mecanismos fuertes de autenticación:
1. Biometría
2. Certificados de firma digital
3. OTP en combinación con un segundo factor de autenticación
4. Tarjetas que cumplan el estándar EMV en combinación con un
segundo factor de autenticación.
5. Registro y validación de algunas características de los computadores
o equipos móviles desde los cuales se realizarán las operaciones, en
combinación con un segundo factor de autenticación
 Banca Móvil: Canal de banca electrónica en el cual el dispositivo móvil es
utilizado para realizar operaciones y su número de línea es asociado al
servicio. Los servicios que se presten a través de dispositivos móviles y
utilicen navegadores Web, son considerados banca por Internet.
 Proveedores de redes y servicios de telecomunicaciones: Empresas
reguladas por la Comisión de Regulación de Comunicaciones y
debidamente habilitadas por el Ministerio de Tecnologías de la
Información y las Comunicaciones, responsables de la operación de redes
y/o de la provisión de servicios de telecomunicaciones a terceros (de
acuerdo a lo establecido en la resolución 202 de 2010 art.1).
OBLIGACIÓN POR TIPO DE CANAL
FECHA DE CUMPLIMIENTO
CAJEROS AUTOMÁTICOS
Estar en capacidad de operar con las tarjetas descritas
en la Circular (mecanismos fuertes de autenticación)
1º de octubre de 2013
SISTEMAS DE AUDIO RESPUESTA (IVR)
Las entidades que permitan realizar operaciones
monetarias por este canal, deben ofrecer a sus clientes
mecanismos fuertes de autenticación.
INTERNET
Contar con mecanismos para incrementar la seguridad
de los portales, protegiéndolos de ataques de
negación de servicio, inyección de código malicioso u
objetos maliciosos, que afecten la seguridad de la
operación o su conclusión exitosa.
Las entidades que permitan realizar operaciones
monetarias por este canal deben ofrecer a sus clientes
mecanismos fuertes de autenticación.
1º de octubre de 2013
1º de abril de 2013
1º de julio de 2013
OBLIGACIÓN POR TIPO DE CANAL
FECHA DE CUMPLIMIENTO
Banca Móvil: El canal de Banca Móvil deberá cumplir con
los siguientes requerimientos:
 Contar con mecanismos de autenticación de dos factores
para la realización de operaciones monetarias y no
monetarias.
Mas de 2smmlv
Menos de 2smmlv
1º de julio de 2013
Mecanismos de cifrado fuerte
Medidas para mitigar riesgo
• Contar con medidas que garanticen la atomicidad de las
operaciones y eviten su duplicidad debido a fallas en la
comunicación.
• Los servicios que se presten para la realización de
operaciones a través de Internet, en sesiones originadas
desde el dispositivo móvil: REQUERIMIENTOS INTERNET.
OBLIGACIONES ESPECÍFICAS PARA TARJETAS DÉBITO Y
CRÉDITO
FECHA DE CUMPLIMIENTO
 Entregar a sus clientes tarjetas débito que manejen 1º de abril de 2013 todas las
internamente mecanismos fuertes de autenticación. tarjetas débito y crédito que se
entreguen a los clientes deberán
cumplir con las características de
descritas.
Cajeros automáticos (ATM) y en puntos de pago (POS).
1º de octubre de 2014 todas las
 Entregar a sus clientes tarjetas de crédito que tarjetas débito y crédito activas
cumplir
con
los
manejen internamente mecanismos fuertes de deberán
autenticación siempre que los cupos aprobados requerimientos establecidos.
superen dos (2) SMMLV. Para la realización de
pagos no será necesario el uso de la clave.
Gracias
Claudia Elena Escobar R.
Directora de Canales y Alianzas
Certicámara S.A
[email protected]
Descargar