Menú de la Sección
Recopilación de Normas Servicios Financieros LIBRO III - TÍTULO VII
7 de Enero, 2013
Vigente
Libro III (Regulación de Riesgos) - Título VII (Requisitos Mínimos de Seguridad)
Menú de la Sección
Artículo 1° - (Requisitos de los sistemas de transferencia y transacción electrónica)
Para habilitar un sistema de transferencia electrónica de información o transacción electrónica de fondos mediante banca electrónica o servicios de pago móvil, la entidad supervisada debe adquirir e implementar los elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica. Adicionalmente y en forma complementaria debe dar cumplimiento de los siguientes requisitos mínimos:
Artículo 2° - (Contrato formal)
Debe celebrarse un contrato entre la entidad supervisada y el cliente, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. Este contrato debe contener de manera enunciativa y no limitativa, los siguientes puntos:
Artículo 3° - (Cifrado de mensajes y archivos)
Para que una entidad supervisada, efectúe transferencias electrónicas de información y transacciones electrónicas de fondos, debe tener implementado un sistema de cifrado estándar que garantice como mínimo que las operaciones realizadas por los usuarios internos o externos de los sistemas de información sean efectuadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados.
Para habilitar un sistema de transferencia electrónica de información o transacción electrónica de fondos mediante banca electrónica o servicios de pago móvil, la entidad supervisada debe adquirir e implementar los elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica. Adicionalmente y en forma complementaria debe dar cumplimiento de los siguientes requisitos mínimos:
| a) | Seguridad del sistema: El sistema debe proveer un perfil de seguridad que garantice
que las operaciones sólo puedan ser realizadas por personas debidamente autorizadas
para ello, debiendo resguardar, además, la privacidad o confidencialidad de la
información transmitida o procesada por ese medio. Dicho sistema, debe contener los mecanismos físicos y lógicos de seguridad para controlar y detectar cualquier alteración o intervención a la información transmitida, entre el punto en que ésta se origina y aquel en que es recibida por el destinatario. Los procedimientos deben asegurar que tanto el originador como el destinatario, en su caso, conozcan la autoría de las transacciones o mensajes y la conformidad de su recepción, debiendo utilizar las políticas y procedimientos de seguridad de la información indicadas en el Artículo 2° de la Sección 3 del presente Reglamento, incluyendo métodos de cifrado estándar de datos, que permitan asegurar su confiabilidad, no repudio, autenticidad e integridad. La entidad supervisada, es responsable de implementar mecanismos de control de acceso y/o contraseñas adicionales a los clientes, así como del nivel de robustez del sistema de autenticación para aquellas transacciones que sean realizadas a través de Internet, caso contrario no se podrá atribuir ninguna responsabilidad a un usuario del sistema en el caso de que se materialice un fraude a través de estos sistemas de transacciones y transferencias electrónicas. El mecanismo de acceso y/o contraseña al Sistema Web debe ser diferente al mecanismo que permita realizar transferencias de fondos en línea. | ||||
| b) | Canal de comunicación: La entidad supervisada debe mantener permanentemente
abierto y disponible un canal de comunicación que permita al cliente realizar consultas
y solicitar el bloqueo de cualquier operación que intente efectuarse utilizando sus
medios de acceso a la información o claves de autenticación. Cada sistema que opere en
línea y en tiempo real, debe permitir dicho bloqueo también en tiempo real. Toda información relacionada a transferencia y transacciones electrónicas, debe contemplar en los canales de comunicación mecanismos de cifrado estándar durante todo el flujo operativo de los sistemas de información tanto al interior como al exterior de la entidad supervisada. | ||||
| c) | Difusión de políticas de seguridad: La entidad supervisada debe difundir sus políticas
de seguridad relativas al tema de transferencias y transacciones electrónicas tanto al
interior de la misma, como a los clientes externos que utilizan dicho sistema. | ||||
| d) | Certificación: La existencia de las páginas Web utilizadas por las entidades
supervisadas, debe estar avalada en cuanto a su propiedad y seguridad de la información
expuesta, por una certificadora nacional o internacional. En el caso de la certificadora
nacional, ésta debe estar respaldada por una certificadora internacional. | ||||
| e) | Continuidad operativa: La entidad supervisada, debe contar con procesos alternativos
que puedan asegurar la continuidad de todos los procesos definidos como críticos
relacionados con los servicios de transferencias y transacciones electrónicas. Es decir,
las instalaciones y configuraciones de los equipos, sistemas y de las redes deben
garantizar la continuidad de las operaciones frente a eventos fortuitos o deliberados,
para lo cual debe considerar lo previsto en la Sección 10, del presente Reglamento. | ||||
| f) | Disponibilidad de la información (informes): Los sistemas de transacción y
transferencia electrónica de fondos deben generar la información necesaria para que el
cliente pueda conciliar los movimientos de dinero efectuados, tanto por terminales
como por usuario habilitado, incluyendo, cuando corresponda, totales de las
operaciones realizadas en un determinado período. | ||||
| g) | Registro de pistas de auditoría: Los sistemas utilizados, además de permitir el registro
y seguimiento íntegro de las operaciones realizadas, deben generar archivos que
permitan respaldar los antecedentes de cada operación electrónica, necesarios para
efectuar cualquier seguimiento, examen o certificación posterior, tales como, fechas y
horas en que se realizaron, contenido de los mensajes, identificación de los operadores,
emisores y receptores, cuentas y montos involucrados, así como la identificación de
terminales desde las cuales se realizaron. La conservación de esta información se regirá por lo establecido en el Artículo 94° de la Ley N° 1488 de Bancos y Entidades Financieras referido a la custodia de los documentos relacionados con sus operaciones, microfilmados o registrados en medios magnéticos y electrónicos, por un periodo no menor a diez (10) años. | ||||
| h) | Verificación y control de transacciones y transferencias electrónicas: La entidad
supervisada debe implementar mínimamente las siguientes medidas de seguridad:
| ||||
| i) | Acuerdos privados: Para la realización de transacciones y/o transferencias de
información entre entidades supervisadas, BCB, ASFI, usuarios y todas las que estén
relacionadas con la actividad de intermediación financiera, deben celebrarse acuerdos
privados que estén debidamente firmados y protocolizados entre las partes interesadas y
que consideren las medidas de seguridad que se indican en el Artículo 2° de la Sección
3 del presente reglamento. |
Debe celebrarse un contrato entre la entidad supervisada y el cliente, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. Este contrato debe contener de manera enunciativa y no limitativa, los siguientes puntos:
| a) | El cliente, será responsable exclusivo del uso y confidencialidad de la clave de acceso,
que utilizará en sus operaciones. Además se debe indicar, que la contraseña será
bloqueada automáticamente después de tres intentos fallidos, así como el procedimiento
para su desbloqueo debe estar claramente especificado. |
| b) | El tipo de operaciones que puede efectuar el cliente. |
| c) | El horario y consideraciones de cierre diario de cada entidad supervisada, junto al
procedimiento alternativo en caso de que el servicio no esté disponible. |
| d) | Las medidas de seguridad que ha tomado la entidad supervisada para la transferencia
electrónica de información y transacción electrónica de fondos. |
| e) | Los sistemas que permitan ejecutar transacciones con fondos, además de reconocer la
validez de la operación que el cliente realice, deben controlar que los importes girados
no superen el saldo disponible o el límite que para el efecto haya sido fijado por éste,
salvo la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo
cumplir para tal efecto con las formalidades del Código de Comercio y reglamentación
vigente. |
| f) | Todas las condiciones, características y cualquier otra estipulación determinante que
conlleve el uso de este servicio. |
Para que una entidad supervisada, efectúe transferencias electrónicas de información y transacciones electrónicas de fondos, debe tener implementado un sistema de cifrado estándar que garantice como mínimo que las operaciones realizadas por los usuarios internos o externos de los sistemas de información sean efectuadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados.