Transcription of SUPERINTENDENCIA FINANCIERA DE COLOMBIA - …
1 SUPERINTENDENCIA FINANCIERA DE COLOMBIA . CAP TULO D CIMO SEGUNDO: REQUERIMIENTOS M NIMOS DE SEGURIDAD Y CALIDAD. PARA LA REALIZACI N DE OPERACIONES. CONTENIDO. 1. mbito de aplicaci n 2. Definiciones y criterios de seguridad y calidad de la informaci n 3. Obligaciones generales Seguridad y calidad Tercerizaci n Outsourcing Documentaci n Divulgaci n de informaci n 4. Obligaciones adicionales por tipo de canal Oficinas Cajeros Autom ticos (ATM). Receptores de cheques Receptores de dinero en efectivo POS (incluye PIN Pad). Sistemas de Audio Respuesta (IVR). Centro de atenci n telef nica (Call Center, Contact Center). Sistemas de acceso remoto para clientes Internet Prestaci n de servicios a trav s de nuevos canales Banca M vil 5. Reglas sobre actualizaci n de software 6. Obligaciones espec ficas para tarjetas d bito y cr dito 7.
2 An lisis de vulnerabilidades TITULO I CAP TULO D CIMO SEGUNDO P gina 95. Requerimientos m nimos de seguridad y calidad para la realizaci n de operaciones Circular Externa 042 de 2012 Octubre de 2012. SUPERINTENDENCIA FINANCIERA DE COLOMBIA . CAP TULO D CIMO SEGUNDO: REQUERIMIENTOS M NIMOS DE SEGURIDAD Y CALIDAD PARA LA. REALIZACI N DE OPERACIONES. 1. mbito de aplicaci n Las instrucciones de que trata el presente capitulo deber n ser adoptadas por todas las entidades sometidas a la inspecci n y vigilancia de la SUPERINTENDENCIA FINANCIERA de COLOMBIA (SFC), con excepci n de las siguientes: el Fondo de Garant as de Instituciones Financieras Fogaf n , el Fondo de Garant as de Entidades Cooperativas Fogacoop , el Fondo Nacional de Garant as , el Fondo Financiero de Proyectos de Desarrollo Fonade , los Almacenes Generales de Dep sito, los Fondos de Garant a que se constituyan en el mercado p blico de valores, los Fondos Mutuos de Inversi n, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representaci n de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulaci n.
3 Sin embargo, las entidades exceptuadas de la aplicaci n del presente cap tulo citadas en el p rrafo anterior, deber n dar cumplimiento a los criterios de seguridad y calidad de la informaci n, establecidos en los numerales y del presente cap tulo. El numeral Elaborar el perfil de las costumbres transacciones de cada uno de sus clientes deber . ser aplicado nicamente por los establecimientos de cr dito, sin perjuicio de que las dem s entidades, cuando lo consideren conveniente, pongan en pr ctica las instrucciones all contenidas. El numeral 7 An lisis de vulnerabilidades deber ser aplicado nicamente por los establecimientos de cr dito y los administradores de sistemas de pago de bajo valor, sin perjuicio de que las dem s entidades, cuando lo consideren conveniente, pongan en pr ctica las instrucciones all contenidas.
4 Las entidades vigiladas que presten sus servicios a trav s de corresponsales deber n sujetarse, para el uso de este canal de distribuci n, a las instrucciones contenidas en el cap tulo d cimo quinto de este t tulo. En todo caso las entidades vigiladas destinatarias de las instrucciones del presente numeral, deber n implementar los requerimientos exigidos atendiendo la naturaleza, objeto social y dem s caracter sticas particulares de su actividad. 2. Definiciones y criterios de seguridad y calidad de la informaci n Para el cumplimiento de los requerimientos m nimos de seguridad y calidad de la informaci n que se maneja a trav s de canales e instrumentos para la realizaci n de operaciones, las entidades deber n tener en cuenta las siguientes definiciones y criterios: Criterios de seguridad de la informaci n a) Confidencialidad: Hace referencia a la protecci n de informaci n cuya divulgaci n no est.
5 Autorizada. b) Integridad: La informaci n debe ser precisa, coherente y completa desde su creaci n hasta su destrucci n. c) Disponibilidad: La informaci n debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso. Criterios de calidad de la informaci n a) Efectividad: La informaci n relevante debe ser pertinente y su entrega oportuna, correcta y consistente. b) Eficiencia: El procesamiento y suministro de informaci n debe hacerse utilizando de la mejor manera posible los recursos. c) Confiabilidad: La informaci n debe ser la apropiada para la administraci n de la entidad y el cumplimiento de sus obligaciones. TITULO I CAP TULO D CIMO SEGUNDO P gina 96. Requerimientos m nimos de seguridad y calidad para la realizaci n de operaciones Circular Externa 042 de 2012 Octubre de 2012.
6 SUPERINTENDENCIA FINANCIERA DE COLOMBIA . Canales de distribuci n de servicios financieros Para los efectos del presente cap tulo son canales de distribuci n de servicios financieros, entre otros, los siguientes: a) Oficinas. b) Cajeros Autom ticos (ATM). c) Receptores de cheques. d) Receptores de dinero en efectivo. e) POS (incluye PIN Pad). f) Sistemas de Audio Respuesta (IVR). g) Centro de atenci n telef nica (Call Center, Contact Center). h) Sistemas de acceso remoto para clientes (RAS). i) Internet. j) Banca m vil. Instrumentos para la realizaci n de operaciones Son los elementos con los que se imparten las rdenes para la realizaci n de operaciones a trav s de los canales de distribuci n, los cuales son, entre otros, los siguientes: a) Tarjetas d bito. b) Tarjetas cr dito.
7 C) Dispositivos m viles. d) rdenes electr nicas para la transferencia de fondos. Vulnerabilidad inform tica Ausencia o deficiencia de los controles inform ticos que permiten el acceso no autorizado a los canales de distribuci n o a los sistemas inform ticos de la entidad. Cifrado fuerte T cnicas de codificaci n para protecci n de la informaci n que utilizan algoritmos reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3 DES o AES. Sistema de acceso remoto (RAS). Acceso brindado por las entidades vigiladas a sus clientes para la realizaci n de operaciones mediante el uso de aplicaciones personalizadas, utilizando generalmente enlaces dedicados. Operaciones Operaciones no monetarias Son las acciones a trav s de las cuales se desarrollan, ejecutan o materializan los productos o servicios que prestan las entidades a sus clientes o usuarios y que no conllevan movimiento, manejo o transferencia de dinero.
8 Operaciones monetarias Son las acciones que implican o conllevan movimiento, manejo o transferencia de dinero. Cliente Es toda persona natural o jur dica con la cual la entidad establece y mantiene una relaci n contractual o legal para el suministro de cualquier producto o servicio propio de su actividad. Usuario Aquella persona natural o jur dica a la que, sin ser cliente, la entidad le presta un servicio. Producto Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebraci n de un contrato o que tienen origen en la ley. Servicio Es toda aquella interacci n de las entidades sometidas a inspecci n y vigilancia de la SFC con sus clientes y usuarios para el desarrollo de su objeto social. Dispositivo Mecanismo, m quina o aparato dispuesto para producir una funci n determinada.
9 Informaci n confidencial Atendiendo lo dispuesto en el art culo 15 de la Constituci n Pol tica de COLOMBIA y sin perjuicio de lo establecido en el numeral 4 Cap tulo Noveno de la presente Circular y dem s normas aplicables sobre la materia, se considerar confidencial para efectos de la aplicaci n del presente Capitulo, toda aquella informaci n amparada por la reserva bancaria. Las entidades podr n clasificar como confidencial otro tipo de informaci n. Esta clasificaci n deber estar debidamente documentada y a disposici n de la SUPERINTENDENCIA FINANCIERA de COLOMBIA . TITULO I CAP TULO D CIMO SEGUNDO P gina 97. Requerimientos m nimos de seguridad y calidad para la realizaci n de operaciones Circular Externa 042 de 2012 Octubre de 2012. SUPERINTENDENCIA FINANCIERA DE COLOMBIA .
10 Autenticaci n Conjunto de t cnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticaci n son: algo que se sabe, algo que se tiene, algo que se es. Mecanismos fuertes de autenticaci n Se entender n como mecanismos fuertes de autenticaci n los siguientes: Biometr a. Certificados de firma digital. OTP (One Time Password), en combinaci n con un segundo factor de autenticaci n. Tarjetas que cumplan el est ndar EMV, en combinaci n con un segundo factor de autenticaci n. Registro y validaci n de algunas caracter sticas de los computadores o equipos m viles desde los cuales se realizar n las operaciones, en combinaci n con un segundo factor de autenticaci n. Banca M vil Canal de banca electr nica en el cual el dispositivo m vil es utilizado para realizar operaciones y su n mero de l nea es asociado al servicio.
