Recopilación de Normas Servicios Financieros LIBRO III - TÍTULO VII

Artículo 1° - (Aspectos generales).

El crecimiento vertiginoso en los últimos años en Tecnologías de la Información y Telecomunicaciones, está cambiando la forma de hacer negocios en un mundo cada vez más globalizado y virtual.

Por tanto, las leyes, normativas, las políticas de estado, la regulación prudencial y las estrategias de las Entidades Financieras y de las compañias, deben adecuarse a estos tiempos modernos, donde la llamada Economía Digital (e-Business, e-Commerce, e-Government) crece en cifras exponenciales y nos trae a un tema de educación, cultura, resistencia al cambio que hay que administrar, para estar insertos en forma eficiente, confiable y segura en este mercado virtual.

En consecuencia con lo anterior, las Entidades Financieras y las empresas que prestan servicios auxiliares financieros, están viviendo este cambio y deben tomar acciones rápidas y eficientes para enfrentar, analizar, administrar y controlar los riesgos tecnológicos relacionados con las transferencias de información y transacciones de fondos realizadas por medios electrónicos, para lo cual las políticas, normas y procedimientos de seguridad informática y planes de contingencias tecnológicos deben brindar un ambiente seguro y adecuado que garantice la continuidad operativa del negocio y su permanencia en el tiempo.

Artículo 2° - (Objeto).

El presente capítulo tiene por objeto establecer los requisitos mínimos que las Entidades Financieras y las empresas de servicios auxiliares financieros supervisadas por la Autoridad de Supervisión del Sistema Financiero (ASFI) deben cumplir para administrar los sistemas de información y la tecnología que los soporta, y que son utilizados en las operaciones de intermediación financiera, transferencia electrónica de datos, transacciones electrónicas de fondos, banca electrónica y cajeros automáticos con el propósito de minimizar el riesgo tecnológico, siendo estos requisitos mínimos de carácter enunciativo y no limitativo.

Artículo 3° - (Ámbito de aplicación).

Se encuentran sujetos al ámbito de aplicación de la presente regulación prudencial, todas las Entidades que realizan intermediación financiera y de servicios auxiliares financieros al amparo de lo dispuesto por la Ley N° 1488 de 14 de abril de 1993, y modificada por la Ley N° 2297 de 20 de diciembre de 2001, cuyo funcionamiento está autorizado por ASFI, y que realicen cualquier transferencia de información o transacción de fondos por medios electrónicos.

Artículo 4° - (Definiciones).

Para efectos de la presente regulación prudencial, se deben usar las siguientes definiciones, siendo las mismas de carácter enunciativo y no limitativo:

a)	Usuario: Una persona, que utiliza uno o más sistemas informáticos, para lo cual debe estar identificado, autenticado y autorizado, previo a ser validado como usuario ya sea funcionario de la Entidad (Interno) o cliente (Externo).
b)	Medios de acceso a la información: Son servidores de aplicación, computadores personales o de datos, terminales tipo cajero automático, las redes de comunicación, Internet, acceso telefónico o equipos inalámbricos.
c)	Password: Se denomina "password", clave de acceso o PIN, al conjunto de caracteres que una persona debe registrar para ser "reconocida" como usuario autorizado, y acceder a los recursos de un equipo computacional o red.
d)	Electrónico: Característica de la tecnología que tiene capacidades eléctricas, digitales, magnéticas, inalámbricas, ópticas, electromagnéticas u otras similares.
e)	Documento electrónico: Toda representación de un hecho, imagen o idea, que sea creada, enviada, comunicada o recibida por medios electrónicos y almacenada de un modo idóneo para permitir su uso posterior.
f)	Firma electrónica o Firma digital: Cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un medio electrónico identificar formalmente a su autor.
g)	Transferencia electrónica de información: Es la forma de enviar, recibir o transferir en forma electrónica, datos, información, archivos, mensajes, entre otros.
h)	Transacción electrónica de fondos: Se entiende por todas aquellas operaciones realizadas por medios electrónicos que originen cargos o abonos de dinero en cuentas, tales como: traspasos automatizados de fondos efectuados por un cliente de una cuenta corriente a otra; órdenes de pago para abonar cuentas de terceros (proveedores, accionistas, etc.); utilización de tarjetas de débito en puntos de venta; recaudaciones mediante cargos a cuentas corrientes (servicios, impuestos, etc.); giros de dinero mediante Internet, cajeros automáticos, entre otros. En general, comprenden las descritas y cualquier otra operación que se efectúe por aquellos medios, en que un usuario habilitado para ello instruye o ejecuta movimientos de dinero en una o más cuentas.
i)	Banca electrónica o e-Banking: Se refiere a las actividades de Intermediación Financiera realizadas por las Entidades Financieras autorizadas, que usan como medio de comunicación con sus clientes, las telecomunicaciones e Internet.
j)	Plan de contingencias tecnológicas: Conjunto de procedimientos alternativos, que deberán entrar en funcionamiento al ocurrir una contingencia tal, que no permita a los servidores, procesos críticos y enlaces de comunicaciones, dar los servicios en forma normal y continua.
k)	Plan informático o de tecnologías de información y comunicaciones: Se refiere a la formalización de un plan anual, que incluye todos los proyectos tecnológicos, con sus respectivos recursos de hardware, software, telecomunicaciones y humanos, junto al presupuesto de inversiones y de gastos para la gestión integral.
l)	Sitio de respaldo o Site de respaldo: Es un lugar alternativo donde se instalan los equipos computacionales, tales como servidores, equipos de comunicaciones, impresoras, estaciones de trabajo, teléfonos, y espacio físico para usuarios críticos, etc., que se utilizarán en caso de una contingencia grave. Este sitio secundario o alternativo, contará con sus propios enlaces de comunicaciones, fuentes de energía, accesos seguros y ubicación geográfica distinta al sitio primario.
m)	Servidor o computador de respaldo: Un equipo con las mismas características técnicas que la máquina de producción normal que se usará en caso de falla de la máquina titular. Deberá permanecer actualizada en cuanto a sistema operativo y software de aplicación.
n)	Respaldo para contingencias: Es un archivo magnético (Cinta, Disco o CD) que contiene los archivos necesarios y suficientes, para recuperar un servidor, el mismo normalmente contiene el sistema operativo, motor y administrador de base de datos, compiladores, programas fuentes y objetos, cuentas de usuarios y archivos con datos críticos.
o)	Respaldo ó Back-up: Copia de datos e información almacenada en un medio magnético (Disco, CD, o cinta), se genera en forma rutinaria; con el propósito de utilizar dicha información o datos, en casos de emergencia o contingencia.
p)	Registro de pistas de auditoría: Registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría.
q)	Encriptación: Proceso mediante el cual la información o archivos es alterada, en forma lógica, con el objetivo de evitar que alguien no autorizado pueda interpretarla al verla o copiarla, para ello se utiliza una clave en el origen y en el destino.
r)	Procesos críticos: Referidos a procesos o sistemas que al dejar de funcionar, afectan la continuidad operativa del negocio.
s)	Internet: Red de redes de alcance mundial que opera bajo ciertos estándares y protocolos internacionales.
t)	Intranet: Similar al Internet, con la diferencia que los participantes se circunscriben a los límites de una red interna.
u)	Página Web o Sitio Web: Forma de presentar la información, cuando se está utilizando los sistemas de Internet o Intranet.
v)	Sitio Wap: Es un sitio en Internet accesado por equipos inalámbricos.
w)	Hospedaje o Hosting: Empresa que da el servicio de tener en un servidor el sitio WEB del cliente, con elementos de seguridad física y lógica.

Artículo 1° - (Responsable de la seguridad informática).

El Directorio u Órgano equivalente, debe aprobar para uso obligatorio de la Entidad Financiera y de prestación de servicios auxiliares financieros, la Estrategia, Políticas y Normas de Seguridad Informática, considerando como mínimo las disposiciones establecidas en el presente capítulo. Es responsabilidad del Directorio u Órgano equivalente, Gerencia General, y demás administradores responsables, tener formalizados por escrito, actualizados e implementados las políticas, normas y procedimientos, a ser aplicados en la administración y control de los sistemas de información y su tecnología que la soporta. La estrategia, las políticas, normas y procedimientos podrán ser solicitadas para su revisión, cuando ASFI así lo requiera.

Artículo 2° - (Características y criterios de la información).

Los datos que administren las Entidades Financieras y las empresas de servicios auxiliares financieros deben contener un alto grado de seguridad para cumplir con los objetivos de control y criterios básicos de información definidas por ASFI. Los criterios básicos se describen a continuación:

a)	Confiabilidad: Proveer información apropiada y confiable para el uso de las Entidades Financieras y empresas de servicios auxiliares financieros tanto interna como externamente.
b)	Confidencialidad: Protección de información sensible para que no se divulgue sin autorización.
c)	Integridad: Se refiere a la exactitud y suficiencia de la información, así como su validez de acuerdo con los valores y expectativas de la actividad de la Entidad Financiera.
d)	Disponibilidad: Oportunidad de la información, cuando sea requerida.
e)	Efectividad: Adecuada información para desarrollar las actividades de las Entidades Financieras y empresas de servicios auxiliares financieros.
f)	Eficiencia: Proveer información suficiente a través del uso de los recursos de la mejor manera posible.
g)	Cumplimiento: Debida atención a las leyes, regulaciones y acuerdos contractuales que la Entidad Financiera y empresas de servicios auxiliares financieros deben realizar.

Artículo 3° - (Políticas, normas y procedimientos).

El área de Tecnologías de la Información de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, para asegurar la continuidad operativa de esta, debe tener formalizado por escrito, implementadas y actualizadas, las políticas, normas y procedimientos de seguridad informática para las áreas fundamentales de la función informática, a saber:

a)	Gestión: Dirección, planificación, control y supervisión
b)	Operación: Procesos y tareas propias del área informática
c)	Administración de usuarios

a)	Gestión: La gestión o administración directiva, debe contener a lo menos, las políticas, normas y procedimientos respecto a: 1. Plan informático 2. Comité de informática 3. Comité operativo del área 4. Desarrollo y mantenimiento de sistemas 5. Administración de contratos externos
b)	Operaciones: El área de operaciones deberá contener a lo menos, las políticas, normas y procedimientos de: 1. Seguridad física de sala de servidores y el entorno que la rodea 2. Respaldos y recuperación de información 3. Registro de caídas de los sistemas o no disponibilidad de servicios que afecten la atención normal al público 4. Administración de cintoteca interna y externa 5. Control y políticas de administración de antivirus 6. Administración de licencias de software y programas 7. Traspaso de aplicaciones al ambiente de explotación 8. Inventario de hardware y software 9. Seguridad de redes i. Características, topología y diagrama de la red ii. Seguridad física de sites de comunicaciones iii. Seguridad y respaldo de enlaces iv. Equipos de seguridad y telecomunicaciones v. Seguridad de acceso Internet/Intranet
c)	Administración de Usuarios: El área de administración de usuarios deberá contener a lo menos, las políticas, normas y procedimientos para: 1. Administración de privilegios de acceso a sistemas 2. Administración y rotación de password 3. Asignación y responsabilidad de hardware y software 4. Administración de estación de trabajo ó PC 5. Uso de comunicaciones electrónicas 6. Administración y control de usuarios Intranet/Internet

Artículo 4° - (Plan de contingencias tecnológicas).

Las Entidades Financieras y las Empresas de Servicios Auxiliares Financieros deben tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u Órgano Equivalente, un Plan de Contingencias Tecnológicas. El plan debe incluir al menos:

a)	Objetivo del plan de contingencias tecnológicas
b)	Metodología del plan de contingencias tecnológicas
c)	Procedimientos de recuperación de operaciones críticas
d)	Descripción de responsabilidades e identificación de personal clave
e)	Medidas de prevención
f)	Recursos mínimos necesarios para la recuperación
g)	Convenios realizados para la recuperación

Artículo 5° - (Pruebas del plan de contingencias tecnológicas). Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros, deben efectuar al menos 1 prueba al año del Plan de Contingencias Tecnológicas, debiendo ser el resultado de esta exitoso en toda su dimensión, caso contrario la Entidad de Intermediación Financiera o Empresa de Servicios Auxiliares Financieros debe realizar las pruebas que sean necesarias hasta cumplir con los objetivos del plan de contingencia. Esta prueba se realizará de acuerdo al cronograma que la Entidad Financiera presente a ASFI una vez que el Plan esté implementado formalmente. En estas pruebas debe participar el auditor interno. El resultado de éstas deben estar disponible para las inspecciones efectuadas por ASFI.

De acuerdo al grado de complejidad en las operaciones y uso de las Tecnologías de Información en cada Entidad Financiera o empresa de servicios auxiliares financieros, ASFI requerirá un cumplimiento, desarrollo y especificación mayor en cada uno de los puntos descritos en esta Sección.

Todos los contratos con proveedores externos son importantes, deben encontrarse formalizados de manera que permitan a las Entidades Financieras y Empresas de Servicios Auxiliares Financieros operar en todas sus áreas de negocio, así como en procesos del tipo Banca Electrónica ó Internet (hospedaje del sitio WEB o WAP) y otros como mantenimiento de equipos, soporte de sistemas operativos, externalización de especialistas informáticos, aseo y limpieza.

Artículo 1° - (Contratación de proveedores externos de tecnologías).

Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros al contratar los servicios de proveedores externos de tecnologías de:

a)

Procesamiento de datos o ejecución de sistemas en lugar externo. Para la contratación de empresas encargadas del procesamiento de datos o ejecución de sistemas en lugar externo, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1. Que es deber del Directorio u Órgano Equivalente, Gerencia General, y demás administradores responsables de la Entidad de Intermediación Financiera o Empresa de Servicios Auxiliares Financieros solicitante, asegurarse que la empresa proveedora cuente con la necesaria experiencia y capacidad en el procesamiento de datos y servicios bancarios que respondan a las características del servicio que se desea contratar. 2. Que la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la información y los datos. Asimismo, verificar que las condiciones garantizan la obtención oportuna de cualquier dato o información que necesite, sea para sus propios fines o para cumplir con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitarle la ASFI. 3. Que es responsabilidad del Directorio u Órgano Equivalente y el Gerente General de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, la suscripción del contrato con la empresa proveedora, el que entre otras cosas deberá especificar: i. La naturaleza y especificaciones del servicio de procesamiento contratado. ii. La responsabilidad que asume la empresa proveedora, para mantener políticas, normas y procedimientos que garanticen la seguridad informática, el secreto bancario y la confidencialidad de la información, en conformidad con la legislación boliviana, asimismo, para prever pérdidas atrasos o deterioros de la misma. iii. La responsabilidad que asume la empresa proveedora de tecnologías en caso de ser vulnerados sus sistemas, por atentados computacionales internos o externos. iv. La facultad de la Entidad Financiera o de la empresa de servicios auxiliares financieros, para practicar evaluaciones periódicas en la empresa proveedora del servicio, directamente o mediante auditorias independientes.

b)

Desarrollo y mantenimiento de programas, sistemas o aplicaciones. Para la contratación de empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1. Que es deber de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, asegurarse que la empresa contratada cuente con la necesaria solidez financiera, organización y personal adecuado, con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios de intermediación financiera, asimismo de que sus sistemas de control interno y procedimientos de seguridad informática, responden a las características del servicio que se desea contratar. 2. Que la infraestructura tecnológica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarán estén debidamente licenciados por el fabricante o representante de software.

Artículo 2° - (Relación contractual con el proveedor externo de tecnologías).

El contrato con el proveedor externo de tecnologías deberá contener como mínimo las siguientes cláusulas:

a)	Programas fuente.- Al término del proyecto, el cliente debe asegurarse el acceso oportuno a los programas fuentes.
b)	Propiedad intelectual.- Se debe aclarar a quien pertenecerá la propiedad intelectual en el caso de desarrollo de programas, sistemas o aplicaciones.
c)	Plataforma de desarrollo.- Se debe indicar en detalle la plataforma de desarrollo que utilizará el proveedor, servidor, sistemas operativos y las herramientas de desarrollo, tal como lenguaje de programación y motor de base de datos.
d)	Formalización de recursos humanos.- El proveedor deberá tener el contrato del personal que participa en el proyecto, actualizado y con cláusulas de confidencialidad para el manejo de la información. Adicionalmente, debe enviar al cliente (Entidad Financiera o empresa de servicios auxiliares financieros) el currículo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales.
e)	Cronograma y plan de trabajo.- Se debe indicar los tiempos de desarrollo por cada etapa en forma detallada, incluyendo las pruebas de programas.
f)	Atrasos y riesgos.- Con la finalidad de proteger a la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, junto a las cláusulas normales de condiciones de pago se deben establecer multas por atrasos en la entrega. Al mismo tiempo, indemnización por daños y perjuicios, en caso de fraudes o atentados cibernéticos.
g)	Acceso remoto.- En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores del cliente, debe regirse y cumplir las normas, políticas y procedimientos de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros en lo referido a la seguridad de información.

Artículo 3° - (Seguridad informática del proveedor).

Adicionalmente, el proveedor debe tener formalizados las políticas, normas y procedimientos de seguridad informática, tales como:

a)	Desarrollo de sistemas de información y programas
b)	Mantenimiento de sistemas y programas
c)	Seguridad física sala de servidores
d)	Respaldos y recuperación de información
e)	Respaldo y recuperación de bases de datos
f)	Administración de cintoteca interna y externa
g)	Control y políticas de administración de antivirus
h)	Administración de licencias de software y programas
i)	Traspaso de aplicaciones al ambiente de explotación (producción)
j)	Administración y control de equipos de seguridad
k)	Plan de contingencias tecnológicas

Es de responsabilidad de la Entidad Financiera o de la Empresa de Servicios Auxiliares Financieros, verificar la seguridad informática del proveedor a través de una metodología que cumpla con este objetivo.

Asimismo, la Entidad Financiera o la empresa de servicios auxiliares debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnología de información a disposición de ASFI.

Artículo 1° - (Requisitos de los sistemas de transferencia y transacción electrónica).

Para habilitar un sistema de transferencia electrónica de información o transacción electrónica de fondos del tipo Banca Electrónica, las Entidades Financieras o Empresa de Servicios Auxiliares Financieros, deben adquirir e implementar elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica, adicionalmente y en forma complementaria, deberán considerar el cumplimiento de los siguientes requisitos mínimos:

a)	Seguridad del sistema, el sistema debe proveer un perfil de seguridad que garantice que las operaciones, sólo puedan ser realizadas por personas debidamente autorizadas para ello, debiendo resguardar, además, la privacidad o confidencialidad de la información transmitida o procesada por ese medio. Los procedimientos deben asegurarse que tanto el originador como el destinatario, en su caso, conozcan la autoría de las transacciones o mensajes y la conformidad de su recepción, debiendo utilizarse las políticas, normas y procedimientos indicados en la Sección 2 y en el Artículo 3° de la presente Sección, que permitan asegurar su autenticidad e integridad.
b)	Canal de comunicación, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, debe mantener permanentemente abierto y disponible un canal de comunicación que permita al usuario realizar consultas y solicitar el bloqueo de cualquier operación que intente efectuarse utilizando sus medios de acceso o claves de autenticación. Cada sistema que opere en línea y en tiempo real, debe permitir dicho bloqueo también en tiempo real.
c)	Difusión de políticas de seguridad, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, deben difundir sus políticas de seguridad, relativas al tema de transferencias electrónicas al interior de la Entidad.
d)	Certificación, La existencia de las páginas Web utilizadas por las Entidades Financieras o empresas de servicios auxiliares financieros, deben estar avalada por una certificadora nacional o internacional. En el caso de la certificadora nacional debe estar respaldada por una certificadora internacional.
e)	Continuidad operativa, se refiere a procesos alternativos que puedan asegurar la continuidad de todos los procesos definidos como críticos relacionados con los servicios de transferencia electrónica de fondos. Es decir, las instalaciones y configuraciones de los equipos, sistemas y de las redes deben garantizar la continuidad de las operaciones frente a eventos fortuitos o deliberados, debiendo considerarse lo previsto en la Sección 2, Artículos 4° y 5°.
f)	Disponibilidad de la información (informes), los sistemas de transacción electrónica de fondos deben generar la información necesaria para que el cliente pueda conciliar los movimientos de dinero efectuados, tanto por terminales como por usuario habilitado, incluyendo, cuando corresponda, totales de las operaciones realizadas en un determinado período.
g)	Registro de pistas de control, los sistemas utilizados, además de permitir el registro y seguimiento íntegro de las operaciones realizadas, deben generar archivos que permitan respaldar los antecedentes de cada operación electrónica, necesarios para efectuar cualquier seguimiento, examen o certificación posterior, tales como, fechas y horas en que se realizaron, contenido de los mensajes, identificación de los operadores, emisores y receptores, cuentas y montos involucrados, terminales desde los cuales realizó sus operaciones.
h)	Acuerdos privados, en las transferencias electrónicas de información y transacciones electrónicas de fondos entre Entidades de Intermediación Financiera, empresas de servicios auxiliares financieros, BCB, ASFI, usuarios y todas las relacionadas con la actividad de Intermediación Financiera, pueden celebrarse acuerdos privados que estén debidamente firmados y protocolizados entre las partes interesadas y que consideren las medidas de seguridad que se indican en la Sección 2.

Artículo 2° - (Contrato formal).

Deberá celebrarse un contrato entre la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, y el cliente o usuario, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. Este contrato deberá contener de manera enunciativa y no limitativa, los siguientes puntos:

a)	El usuario o cliente, será responsable exclusivo del uso y confidencialidad del Password, Clave de acceso o PIN, que utilizará en sus operaciones. Se indicará, el bloqueo automático de su clave después de tres intentos fallidos y el procedimiento para desbloqueo.
b)	Debe detallarse el tipo de operaciones que puede efectuar el cliente.
c)	Debe quedar establecido el horario y consideraciones de cierre diario de cada Entidad Financiera o Empresa de Servicios Auxiliares Financieros, junto al procedimiento alternativo en caso de no-disponibilidad del servicio.
d)	Hacer conocer al usuario o cliente las medidas de seguridad que ha tomado la Entidad Financiera o Empresa de Servicios Auxiliares Financieros para la transferencia electrónica de información y transacción electrónica de fondos.
e)	Los sistemas que permitan ejecutar transacciones de fondos, además de reconocer la validez de la operación que el usuario realice, deben controlar que los importes girados no superen el saldo disponible o el límite que se haya fijado para el efecto, salvo la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo cumplir para tal efecto con las formalidades del Código de Comercio y reglamentación vigente.

Artículo 3° - (Encriptación de mensajes y archivos).

Para que una Entidad Financiera o Empresa de Servicios Auxiliares Financieros, efectúe transferencias electrónicas de información y transacciones electrónicas de fondos, debe tener implementado un sistema de encriptación que garantice como mínimo que las operaciones realizadas por sus usuarios internos o externos sean realizadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados.

Artículo 4° - (Transferencia como documento).

La generación de documentos electrónicos que constituyen documentación de carácter oficial, para el cumplimiento de disposiciones legales de ASFI debe cumplir con los requisitos mínimos descritos en el presente Capítulo.

Artículo 5° - (Operaciones interbancarias).

Las transacciones electrónicas de fondos interbancarias estarán regidas por el reglamento del sistema de pagos de alto valor, del Banco Central de Bolivia, mientras que, las transferencias electrónicas de información de estas operaciones estarán regidas por el Reglamento de Operaciones Interbancarias contenido en el Libro 3°, Título III, Capítulo II de la Recopilación de Normas para Bancos y Entidades Financieras. En caso de utilizarse otros medios para realizar las operaciones interbancarias, las entidades de intermediación financiera y empresas de servicios auxiliares financieros deben regirse con el acuerdo privado descrito en inciso h), Artículo 1º de la presente Sección.

Artículo 6° - (Sanciones).

Las entidades financieras y empresas de servicios auxiliares financieras, que están bajo el ámbito de aplicación de la presente norma y que incumplan con lo descrito en el Artículo 2º de la Sección 2 y Artículo 4º de la presente Sección, estarán sujetas al Régimen de Sanciones del Libro 7°, Título II, Capítulo II, Sección 1 de la Recopilación de Normas para Bancos y Entidades Financieras.

Artículo Único – (Adecuación y Cronograma).

Las entidades financieras y empresas de servicios auxiliares financieros, deberán cumplir con todos los requisitos mínimos que se requieren en este capítulo hasta el 30 de junio de 2004. Adicionalmente deberán enviar su cronograma para el cumplimiento y adecuación a la presente hasta el 30 de septiembre de 2003.

Artículo 1° - (Gestión de operaciones)

La gestión de operaciones de tecnología de la información, debe estar basada en políticas y procedimientos establecidos por la entidad supervisada, en las cuales se consideren al menos:

a)	La planificación y documentación de los procesos y actividades que se desarrollen dentro del Centro de Procesamiento de Datos.
b)	La revisión periódica de los procedimientos relacionados a la gestión de operaciones en función a los cambios operativos y/o tecnológicos.

Artículo 2° - (Administración de las bases de datos)

La entidad supervisada debe realizar la administración de bases de datos, en función a procedimientos formalmente establecidos para este propósito, los cuales consideren mínimamente lo siguiente:

a)	Instalación, administración, migración y mantenimiento de las bases de datos.
b)	Definición de la arquitectura de información para organizar y aprovechar de la mejor forma los sistemas de información.
c)	Establecimiento de mecanismos de control de acceso a las bases de datos.
d)	Documentación que respalde las actividades de administración de las bases de datos.
e)	Realización de estudios de capacidad y desempeño de las bases de datos que permitan determinar las necesidades de expansión de capacidades y/o la afinación en forma oportuna.

Artículo 3° - (Respaldo o copia de seguridad – Backup)

La entidad supervisada debe efectuar copias de seguridad de todos los datos e información que considere necesaria para el continuo funcionamiento de la misma, cumpliendo al menos con las siguientes disposiciones:

a)	Contar con políticas y procedimientos que aseguren la realización de copias de seguridad.
b)	La información respaldada debe poseer un nivel adecuado de protección lógica, física y ambiental, en función a la criticidad de la misma.
c)	Los medios de respaldo deben probarse periódicamente, a fin de garantizar la confiabilidad de los mismos con relación a su eventual uso en casos de emergencia.
d)	El ambiente físico destinado al resguardo de la información crítica, debe contar con condiciones físicas y ambientales suficientes para garantizar mínimamente la protección contra daños, deterioro y hurto.
e)	El sitio externo de respaldo donde se almacenan las copias de seguridad debe mantener al menos diez (10) años de información crítica de la entidad supervisada.
f)	Cualquier traslado físico de los medios digitales de respaldo, debe realizarse con controles de seguridad adecuados, que eviten una exposición no autorizada de la información contenida en los mismos.
g)	Se debe realizar el etiquetado de todos los medios de respaldo y mantener un inventario actualizado de los mismos.

Artículo 4° - (Mantenimiento preventivo de los recursos tecnológicos)

La entidad supervisada debe realizar periódicamente el mantenimiento preventivo de los recursos tecnológicos que soportan los sistemas de información y de los recursos relacionados, mediante el establecimiento formal y documentado de un procedimiento que incluya el cronograma correspondiente.

Artículo 1° - (Políticas y procedimientos)

La entidad supervisada debe contar con políticas y procedimientos para la instalación y mantenimiento del hardware y su configuración base, a fin de asegurar que proporcionen la plataforma tecnológica que permita soportar las aplicaciones relacionadas con las redes y comunicaciones, y minimice la frecuencia e impacto de las fallas de desempeño de las mismas.

Asimismo, debe desarrollar políticas y procedimientos para la correcta administración de la infraestructura de redes y telecomunicaciones. Para este efecto, la entidad supervisada debe considerar lo siguiente:

a)	Garantizar que los planes de adquisición de hardware y software reflejen las necesidades identificadas en el plan estratégico de TI.
b)	Garantizar la protección de los datos que se trasmiten a través de la red de telecomunicaciones, mediante técnicas de cifrado estándar a través de equipos o aplicaciones definidas para tal fin.
c)	Asegurar que las redes de voz y/o datos cumplan con estándares de cableado estructurado.
d)	Definir los niveles de acceso de los usuarios del sistema de información a las redes y servicios de red, en función de las autorizaciones predefinidas.
e)	Controlar el acceso a los puertos de diagnóstico.
f)	Establecer controles de acceso para redes compartidas, particularmente respecto a aquellas que se extienden a usuarios fuera de la entidad supervisada.

Artículo 2° - (Estudio de capacidad y desempeño)

La entidad supervisada debe realizar estudios periódicos de capacidad y desempeño del hardware y las líneas de comunicación que permitan determinar las necesidades de expansión de capacidades y/o actualización de equipos en forma oportuna.

Artículo 3° - (Exclusividad del área de telecomunicaciones)

El ambiente físico en el que se encuentran instalados los equipos de telecomunicaciones debe ser de uso exclusivo para el fin señalado, con excepción del destinado a los equipos de seguridad o procesamiento de información.

Artículo 4° - (Activos de información componentes de la red)

Los equipos como concentradores, multiplexores, puentes, cortafuegos (firewall), enrutadores, conmutadores y componentes del cableado estructurado de la red, deben instalarse sobre estructuras dedicadas para equipos de telecomunicación.

Artículo 5° - (Configuración de hardware y software)

La entidad supervisada, debe establecer un registro formal que contenga toda la información referente a los elementos de configuración del hardware, software, parámetros, documentación, procedimientos y herramientas para operar, acceder y utilizar los sistemas de información. Asimismo, debe considerar los siguientes aspectos:

a)	Contar con procedimientos formalmente establecidos para: Identificar, registrar y actualizar los elementos de configuración existentes en el repositorio de configuraciones.
b)	Revisar y verificar de manera regular el estado de los elementos de configuración para confirmar la integridad de la configuración de datos actual e histórica.
c)	Revisar periódicamente, la existencia de cualquier software de uso personal o no autorizado que no se encuentre incluido en los acuerdos de licenciamiento actuales.

Artículo 6° - (Documentación técnica)

La documentación técnica asociada a la infraestructura de redes y telecomunicaciones debe conservarse actualizada, resguardada y contemplar como mínimo las siguientes disposiciones:

a)	Características, topología y diagrama de red.
b)	Descripción de los elementos de cableado.
c)	Planos de trayectoria del cableado y ubicación de puntos de salida.
d)	Diagrama del sistema de interconexión de cables de red, distribución de regletas y salidas.
e)	Certificación del cableado estructurado de la red.

Artículo 1° - (Requisitos de los sistemas de transferencia y transacción electrónica)

Para habilitar un sistema de transferencia electrónica de información o transacción electrónica de fondos mediante banca electrónica o servicios de pago móvil, la entidad supervisada debe adquirir e implementar los elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica. Adicionalmente y en forma complementaria debe dar cumplimiento de los siguientes requisitos mínimos:

a)	Seguridad del sistema: El sistema debe proveer un perfil de seguridad que garantice que las operaciones sólo puedan ser realizadas por personas debidamente autorizadas para ello, debiendo resguardar, además, la privacidad o confidencialidad de la información transmitida o procesada por ese medio. Dicho sistema, debe contener los mecanismos físicos y lógicos de seguridad para controlar y detectar cualquier alteración o intervención a la información transmitida, entre el punto en que ésta se origina y aquel en que es recibida por el destinatario. Los procedimientos deben asegurar que tanto el originador como el destinatario, en su caso, conozcan la autoría de las transacciones o mensajes y la conformidad de su recepción, debiendo utilizar las políticas y procedimientos de seguridad de la información indicadas en el Artículo 2° de la Sección 3 del presente Reglamento, incluyendo métodos de cifrado estándar de datos, que permitan asegurar su confiabilidad, no repudio, autenticidad e integridad. La entidad supervisada, es responsable de implementar mecanismos de control de acceso y/o contraseñas adicionales a los clientes, así como del nivel de robustez del sistema de autenticación para aquellas transacciones que sean realizadas a través de Internet, caso contrario no se podrá atribuir ninguna responsabilidad a un usuario del sistema en el caso de que se materialice un fraude a través de estos sistemas de transacciones y transferencias electrónicas. El mecanismo de acceso y/o contraseña al Sistema Web debe ser diferente al mecanismo que permita realizar transferencias de fondos en línea.
b)	Canal de comunicación: La entidad supervisada debe mantener permanentemente abierto y disponible un canal de comunicación que permita al cliente realizar consultas y solicitar el bloqueo de cualquier operación que intente efectuarse utilizando sus medios de acceso a la información o claves de autenticación. Cada sistema que opere en línea y en tiempo real, debe permitir dicho bloqueo también en tiempo real. Toda información relacionada a transferencia y transacciones electrónicas, debe contemplar en los canales de comunicación mecanismos de cifrado estándar durante todo el flujo operativo de los sistemas de información tanto al interior como al exterior de la entidad supervisada.
c)	Difusión de políticas de seguridad: La entidad supervisada debe difundir sus políticas de seguridad relativas al tema de transferencias y transacciones electrónicas tanto al interior de la misma, como a los clientes externos que utilizan dicho sistema.
d)	Certificación: La existencia de las páginas Web utilizadas por las entidades supervisadas, debe estar avalada en cuanto a su propiedad y seguridad de la información expuesta, por una certificadora nacional o internacional. En el caso de la certificadora nacional, ésta debe estar respaldada por una certificadora internacional.
e)	Continuidad operativa: La entidad supervisada, debe contar con procesos alternativos que puedan asegurar la continuidad de todos los procesos definidos como críticos relacionados con los servicios de transferencias y transacciones electrónicas. Es decir, las instalaciones y configuraciones de los equipos, sistemas y de las redes deben garantizar la continuidad de las operaciones frente a eventos fortuitos o deliberados, para lo cual debe considerar lo previsto en la Sección 10, del presente Reglamento.
f)	Disponibilidad de la información (informes): Los sistemas de transacción y transferencia electrónica de fondos deben generar la información necesaria para que el cliente pueda conciliar los movimientos de dinero efectuados, tanto por terminales como por usuario habilitado, incluyendo, cuando corresponda, totales de las operaciones realizadas en un determinado período.
g)	Registro de pistas de auditoría: Los sistemas utilizados, además de permitir el registro y seguimiento íntegro de las operaciones realizadas, deben generar archivos que permitan respaldar los antecedentes de cada operación electrónica, necesarios para efectuar cualquier seguimiento, examen o certificación posterior, tales como, fechas y horas en que se realizaron, contenido de los mensajes, identificación de los operadores, emisores y receptores, cuentas y montos involucrados, así como la identificación de terminales desde las cuales se realizaron. La conservación de esta información se regirá por lo establecido en el Artículo 94° de la Ley N° 1488 de Bancos y Entidades Financieras referido a la custodia de los documentos relacionados con sus operaciones, microfilmados o registrados en medios magnéticos y electrónicos, por un periodo no menor a diez (10) años.
h)	Verificación y control de transacciones y transferencias electrónicas: La entidad supervisada debe implementar mínimamente las siguientes medidas de seguridad: i. Regionalización de operaciones electrónicas nacionales e internacionales de los clientes. ii. Fijar límites monetarios en transferencias y transacciones electrónicas.
i)	Acuerdos privados: Para la realización de transacciones y/o transferencias de información entre entidades supervisadas, BCB, ASFI, usuarios y todas las que estén relacionadas con la actividad de intermediación financiera, deben celebrarse acuerdos privados que estén debidamente firmados y protocolizados entre las partes interesadas y que consideren las medidas de seguridad que se indican en el Artículo 2° de la Sección 3 del presente reglamento.

Artículo 2° - (Contrato formal)

Debe celebrarse un contrato entre la entidad supervisada y el cliente, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. Este contrato debe contener de manera enunciativa y no limitativa, los siguientes puntos:

a)	El cliente, será responsable exclusivo del uso y confidencialidad de la clave de acceso, que utilizará en sus operaciones. Además se debe indicar, que la contraseña será bloqueada automáticamente después de tres intentos fallidos, así como el procedimiento para su desbloqueo debe estar claramente especificado.
b)	El tipo de operaciones que puede efectuar el cliente.
c)	El horario y consideraciones de cierre diario de cada entidad supervisada, junto al procedimiento alternativo en caso de que el servicio no esté disponible.
d)	Las medidas de seguridad que ha tomado la entidad supervisada para la transferencia electrónica de información y transacción electrónica de fondos.
e)	Los sistemas que permitan ejecutar transacciones con fondos, además de reconocer la validez de la operación que el cliente realice, deben controlar que los importes girados no superen el saldo disponible o el límite que para el efecto haya sido fijado por éste, salvo la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo cumplir para tal efecto con las formalidades del Código de Comercio y reglamentación vigente.
f)	Todas las condiciones, características y cualquier otra estipulación determinante que conlleve el uso de este servicio.

Artículo 3° - (Cifrado de mensajes y archivos)

Para que una entidad supervisada, efectúe transferencias electrónicas de información y transacciones electrónicas de fondos, debe tener implementado un sistema de cifrado estándar que garantice como mínimo que las operaciones realizadas por los usuarios internos o externos de los sistemas de información sean efectuadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados.

Artículo Único - (Gestión de incidentes de seguridad de la información)

La entidad supervisada debe tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u Órgano equivalente, un procedimiento para la gestión de incidentes de seguridad de la información, en concordancia con el Plan de Contingencias definido en el Artículo 1°, Sección 10 del presente Capítulo. Este procedimiento debe contar mínimamente con lo siguiente:

a)	Responsabilidades y procedimientos: La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para asegurar una rápida, efectiva y ordenada respuesta a los incidentes de seguridad de la información.
b)	Registro, cuantificación y monitoreo de incidentes de seguridad de la información: La entidad supervisada debe establecer los mecanismos necesarios que permitan que los tipos, volúmenes y costos de los incidentes de seguridad de la información sean registrados, cuantificados y monitoreados. De igual manera, debe ejecutar las acciones correctivas oportunas.
c)	Clasificación de incidentes de seguridad de la información: La entidad supervisada debe considerar al menos las siguientes categorías: A. Pérdida de servicio, equipo o instalaciones. B. Sobrecargo o mal funcionamiento del sistema. C. Errores humanos. D. Incumplimiento de políticas o procedimientos. E. Deficiencias de controles de seguridad física. F. Cambios incontrolables en el sistema. G. Mal funcionamiento del software o hardware. H. Violación de accesos. I. Código malicioso. J. Negación de servicio. K. Errores resultantes de datos incompletos o no actualizados. L. Violaciones en la confidencialidad e integridad de la información. M Mal uso de los sistemas de información. N. Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos. O. Intentos recurrentes y no recurrentes de acceso no autorizado.
d)	Registro de incidentes de seguridad de la información: La entidad supervisada para efectos de control, seguimiento y solución, debe mantener una base de datos para el registro de los incidentes de seguridad de la información que considere la clasificación establecida en el inciso c) del presente artículo.

Artículo 1° - (Plan de contingencias tecnológicas)

La entidad supervisada debe tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u Órgano equivalente, un documento denominado plan de contingencias tecnológicas, que considere mínimamente:

a)	Objetivo del plan de contingencias tecnológicas.
b)	Metodología del plan de contingencias tecnológicas que incluya lo siguiente: i. Análisis de riesgo tecnológico. ii. Definición de eventos que afecten la operación de los sistemas de información. iii. Definición de procesos críticos relacionados a los sistemas de información.
c)	Procedimientos de recuperación de operaciones críticas para cada evento identificado en el inciso b), numeral ii) del presente artículo.
d)	Descripción de responsabilidades, funciones e identificación del personal que ejecutará el plan.
e)	Medidas de prevención.
f)	Recursos mínimos asignados para la recuperación.
g)	Convenios realizados para la recuperación.
h)	Revisión anual y evaluaciones más frecuentes del plan de contingencias tecnológicas de acuerdo con el análisis de riesgo tecnológico efectuado y/o los incidentes de seguridad de información acontecidos.
i)	Pruebas al plan de contingencias tecnológicas.
j)	Situaciones no cubiertas y supuestos.

Artículo 2° - (Plan de continuidad del negocio - BCP)

La entidad supervisada debe tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u Órgano equivalente, un plan de continuidad del negocio, que incluya al menos:

a)	Inicio del proyecto.
b)	Análisis de riesgo tecnológico.
c)	Análisis de impacto al negocio (BIA: Business Impact Analysis).
d)	Desarrollo de estrategias para el BCP.
e)	Respuesta ante emergencias
f)	Desarrollo e implementación del BCP.
g)	Programa de Concientización y Capacitación.
h)	Mantenimiento y Ejercicio del BCP.
i)	Comunicación de crisis.

Artículo 3° - (Capacitación en la aplicación de los planes de contingencias tecnológicas y de continuidad del negocio)

La entidad supervisada debe asegurarse que todas las partes involucradas en los planes de contingencias tecnológicas y de continuidad del negocio reciban sesiones de capacitación de forma regular respecto a los procesos, sus roles y responsabilidades en caso de presentarse algún incidente de seguridad de la información.

Artículo 4° - (Pruebas de los planes de contingencias tecnológicas y continuidad del negocio)

La entidad supervisada debe efectuar al menos una prueba al año de los planes de contingencias tecnológicas y continuidad del negocio, debiendo los resultados de ambas pruebas ser exitosas en toda su dimensión, caso contrario se deben ejecutar las acciones correctivas que correspondan y ejecutar las pruebas necesarias hasta cumplir con el objetivo planteado.

La entidad supervisada debe documentar la realización de las pruebas y de la implementación de los planes de acción correctivos o preventivos que correspondan. El cronograma de realización de pruebas, conforme a los planes de contingencias tecnológicas y de continuidad del negocio para la gestión que se planifica, debe ser remitido a ASFI para su conocimiento, hasta el 20 de diciembre del año anterior a su ejecución.

El alcance de las pruebas de recuperación debe considerar aplicaciones individuales, escenarios de pruebas integrados, pruebas de punta a punta y pruebas integradas con el proveedor. El resultado de éstas debe estar disponible para ASFI.

Artículo 5° - (Control de los planes de contingencias tecnológicas y de continuidad del negocio)

La entidad supervisada a través de los funcionarios involucrados en las pruebas y ejecución de los planes de contingencias tecnológicas y de continuidad del negocio, es responsable de mantener los niveles de seguridad definidos para cada etapa del mismo.

Artículo 6° - (Establecimiento del centro de procesamiento de datos alterno)

La entidad supervisada debe contar con un mecanismo alterno de procesamiento de información que sea consistente con su naturaleza y tamaño y esté de acuerdo al análisis de riesgo tecnológico realizado y a la criticidad de sus operaciones, el cual le permita dar continuidad a los servicios que ofrece. En caso de ocurrir una contingencia que interrumpa las operaciones del Centro de Procesamiento de Datos principal, el centro alterno deberá funcionar hasta que se resuelva la contingencia.

Artículo 1° - (Administración de servicios y contratos con terceros)

La entidad supervisada debe contar con políticas y procedimientos para la administración de servicios y contratos con terceros, a fin de asegurar que los servicios y contratos requeridos sean provistos en el marco de un adecuado nivel de servicios que minimicen el riesgo relacionado y se enmarquen en las disposiciones contenidas en el presente Reglamento según corresponda.

La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para la administración de servicios y contratos con terceros.

Artículo 2° - (Evaluación y selección de proveedores)

Para la contratación de proveedores externos de tecnología de información, la entidad supervisada debe poseer un procedimiento documentado y formalizado para realizar la evaluación y selección de los mismos, previo a proceder con su contratación.

Artículo 3° - (Procesamiento de datos o ejecución de sistemas en lugar externo)

Para la contratación de empresas encargadas del procesamiento de datos o ejecución de sistemas en lugar externo, la entidad supervisada debe considerar al menos los siguientes aspectos:

a)	Es deber del Directorio u Órgano equivalente, Gerencia General y demás administradores responsables, asegurarse que la empresa proveedora cuente con la experiencia y capacidad necesarias para el procesamiento de datos relacionados al giro de la entidad supervisada y que respondan a las características del servicio que se desea contratar.
b)	La infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, deben ofrecer la seguridad suficiente para resguardar permanentemente la continuidad operacional, la confidencialidad, integridad, exactitud y calidad de la información y los datos. Asimismo, se debe verificar que las condiciones garantizan la obtención oportuna de cualquier dato o información que necesite, para fines de la entidad supervisada o para cumplir con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitar ASFI.
c)	Es responsabilidad de la entidad supervisada, verificar y exigir al proveedor de tecnologías de información el cumplimiento de las políticas y procedimientos de seguridad de la información pertinentes del presente Reglamento.
d)	Es responsabilidad de la entidad supervisada asegurar las medidas necesarias que garanticen la continuidad operacional del procesamiento de datos, en caso de cambio de proveedor externo u otro factor no previsto.
e)	En caso de que el procesamiento de datos se realice fuera del territorio nacional, la entidad supervisada debe comunicar esta situación a ASFI, adjuntando la siguiente documentación: i. Detalle de las actividades descentralizadas. ii. Descripción del entorno de procesamiento. iii. Lista de encargados del procesamiento. iv. Responsables del control de procesamiento. v. Informe del Gerente General, dirigido al Directorio u Órgano equivalente, que señale el cumplimiento de lo dispuesto en los incisos precedentes Dicha documentación debe permanecer actualizada en la entidad supervisada, a disposición de ASFI.
f)	El Gerente General de la entidad supervisada debe remitir anualmente a ASFI hasta el 31 de marzo de cada año, un informe con carácter de declaración jurada refrendado por el auditor interno, en el que se especifique que el sistema de procesamiento de datos, cumple con los criterios establecidos en el presente Reglamento.

Artículo 4° - (Contrato con proveedor de procesamiento externo)

Es responsabilidad del Directorio u Órgano equivalente y el Gerente General de la entidad supervisada, la suscripción del contrato con la empresa proveedora de los servicios de procesamiento, el que entre otros aspectos debe especificar lo siguiente:

a)	La naturaleza y especificaciones del servicio de procesamiento contratado.
b)	La responsabilidad que asume la empresa proveedora, para mantener políticas y procedimientos que garanticen la seguridad de la información, el secreto bancario y la confidencialidad de la información, en conformidad con la legislación boliviana, así como para prever pérdidas, atrasos o deterioros de la misma.
c)	La responsabilidad que asume la empresa proveedora de tecnologías en caso de ser vulnerados sus sistemas, ya sea por ataques informáticos internos y/o externos, deficiencias en la parametrización, configuración y/o rutinas de validación inmersas en el código fuente.
d)	La facultad de la entidad supervisada, para practicar evaluaciones periódicas en la empresa proveedora del servicio, directamente o mediante auditorías independientes

La entidad supervisada debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnología de información a disposición de ASFI.

Artículo 5° - (Adquisición de sistemas de información)

La entidad supervisada debe evaluar la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisición, en base a un análisis que considere como mínimo lo siguiente:

a)	Fuentes alternativas para la compra.
b)	Revisión de la factibilidad tecnológica y económica.
c)	Análisis de riesgo tecnológico y de costo-beneficio.
d)	Elección del proveedor, que permita un nivel de dependencia aceptable.
e)	Disponibilidad de código fuente.

Asimismo, los contratos con el proveedor deben indicar los requisitos de seguridad establecidos por la entidad supervisada. Si la funcionalidad del producto ofrecido, no satisface los requisitos de seguridad de la información establecidos por la entidad supervisada, se debe reconsiderar los riesgos y controles asociados antes de adquirir el producto.

Artículo 6° - (Desarrollo y mantenimiento de programas, sistemas o aplicaciones a través de proveedores externos)

Para la contratación de empresas encargadas del desarrollo y mantenimiento de sistemas de información, la entidad supervisada debe considerar al menos los siguientes aspectos:

a)	Es deber del Gerente General y de los administradores responsables, asegurarse que la empresa contratada cuente con solidez financiera, organización y personal con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios financieros relacionados al giro de la entidad supervisada; asimismo, asegurarse que sus sistemas de control interno y procedimientos de seguridad de la información, responden a las características del servicio que se requiere contratar.
b)	La infraestructura tecnológica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarán estén debidamente licenciados por el fabricante o representante de software.
c)	Es responsable de asegurar la adopción de medidas que garanticen la continuidad del desarrollo de sistemas, en caso de cambio de proveedor externo u otro factor no previsto.
d)	Es responsable de exigir al proveedor de tecnologías de información que cumpla con las políticas y procedimientos de seguridad de la información señalados en el Artículo 1° de la presente Sección.

Artículo 7° - (Contrato con empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones)

El contrato con empresas de desarrollo externo debe contener como mínimo las siguientes cláusulas:

a)	Se debe aclarar a quien pertenece la propiedad intelectual en el caso de desarrollo de programas, sistemas o aplicaciones.
b)	Se debe indicar en detalle la plataforma de desarrollo, servidores, sistemas operativos y las herramientas de desarrollo, tales como lenguaje de programación y sistema de gestión de base de datos.
c)	El proveedor debe tener el contrato del personal que participa en el proyecto, actualizado y con cláusulas de confidencialidad para el manejo de la información. Adicionalmente, debe enviar al cliente - entidad supervisada - el currículo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales.
d)	Se debe indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo, incluyendo las pruebas de programas.
e)	Con la finalidad de proteger a la entidad supervisada, junto a las cláusulas normales de condiciones de pago se debe establecer multas por atrasos en la entrega. Al mismo tiempo, indemnización por daños y perjuicios en caso de fraudes o ataques informáticos.
f)	En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores de la entidad supervisada, debe regirse y cumplir las políticas y procedimientos de la misma en lo referido a la seguridad de la información.
g)	Al término del proyecto, al adquirir un producto previamente desarrollado y/o cuando el proveedor no esté en disponibilidad de continuar operando en el mercado, la entidad supervisada debe asegurarse el acceso oportuno a los programas fuentes.
h)	Acorde a los cambios realizados al sistema de información, la entidad supervisada debe asegurarse de que el proveedor actualice y entregue mínimamente la siguiente documentación: 1. Diccionario de datos. 2. Diagrama Entidad Relación (ER). 3. Manual técnico. 4. Manual de usuario. 5. Documentación que especifique el flujo de la información entre los módulos y los sistemas.

Artículo 8° - (Otros servicios)

La entidad supervisada podrá tercerizar otros servicios como el mantenimiento de equipos, soporte de sistemas operativos, hospedaje de sitios Web, para los cuales debe considerar al menos los siguientes aspectos:

a)	Tipo de servicio.
b)	Soporte y asistencia.
c)	Seguridad de datos.
d)	Garantía y tiempos de respuesta del servicio.
e)	Disponibilidad del servicio.
f)	Multas por incumplimiento.

Artículo 9° - (Acuerdo de nivel de servicio - SLA)

La entidad supervisada de forma previa a la contratación de un proveedor externo de tecnología de información, debe establecer un SLA en el contrato respectivo, de acuerdo a su análisis de riesgo tecnológico y de acuerdo a la criticidad de sus operaciones.

Los parámetros del SLA, pueden referirse al tipo de servicio, soporte y asistencia a clientes, provisiones para seguridad y datos, garantías del sistema y tiempos de respuesta, disponibilidad del sistema, conectividad, multas por caída del sistema y/o líneas alternas para el servicio.

Artículo Único – (Auditoría Interna)

La Unidad de auditoría interna es un elemento clave en la gestión de seguridad de la información, debiendo entre otras, cumplir con las siguientes funciones:

a)	Verificar el cumplimiento del presente Reglamento, en los doce meses precedentes, debiendo la entidad supervisada remitir a ASFI hasta el 15 de enero de cada año, o el siguiente día hábil en caso de feriado o fin de semana, el informe elaborado. Dicha labor podrá realizarse a través, de evaluaciones internas y/o externas.
b)	Verificar la ejecución de las pruebas solicitadas en el Artículo 8° de la Sección 3, del presente Capítulo y comunicar el resultado del análisis de vulnerabilidades a ASFI, hasta el 15 de noviembre de cada año, o el siguiente día hábil en caso de feriado o fin de semana a través del informe elaborado por la Unidad de auditoría interna.
c)	Emitir un informe sobre el resultado de las pruebas realizadas a los planes de contingencias tecnológicas y de continuidad del negocio.

Artículo 1° - (Responsabilidad)

El Gerente General de la entidad supervisada, es responsable del cumplimiento, implementación y difusión interna del presente Reglamento.

Artículo 2° - (Normas y estándares internacionales aplicables)

En caso de existir situaciones no previstas en el presente Reglamento, la entidad supervisada, debe aplicar normas y/o estándares internacionales de Tecnologías de Información y Seguridad de la Información, debiendo identificar la referencia de la(s) norma(s) y/o estándares utilizados en sus políticas.

Artículo 3° - (Herramientas informáticas)

Para realizar evaluaciones de seguridad de la información y auditoría de sistemas a entidades supervisadas, ASFI podrá utilizar herramientas informáticas cuando lo considere pertinente.

Asimismo, ASFI podrá evaluar a la entidad supervisada de acuerdo a su naturaleza, tamaño y complejidad de sus operaciones, aplicando normas y/o estándares internacionales de Tecnologías de Información y Seguridad de la información.

Artículo 4° - (Sanciones)

El incumplimiento o inobservancia al presente Reglamento dará lugar a la aplicación del Artículo 99° de la Ley N° 1488 de Bancos y Entidades Financieras y a lo dispuesto por el Reglamento de Sanciones Administrativas contenido en la RNBEF a través de proceso administrativo sancionatorio establecido en la Ley de Procedimiento Administrativo N° 2341 de 23 de abril de 2002 y en el Reglamento a la Ley de Procedimiento Administrativo para el Sistema de Regulación Financiera “SIREFI” aprobado mediante Decreto Supremo N° 27175 de 15 de septiembre de 2003.

Artículo Único – (Adecuación y cronograma)

La entidad supervisada debe cumplir con las disposiciones establecidas en el presente Reglamento hasta el 31 de diciembre de 2014.

La entidad supervisada debe elaborar un cronograma para el cumplimiento y adecuación a la presente normativa, el cual debe ser aprobado por su Directorio u Órgano equivalente y permanecer a disposición de ASFI.

Artículo 1° - (Objeto)

El presente Reglamento tiene por objeto establecer lineamientos y condiciones para la Gestión de Seguridad Física, que deben implementar las Entidades de Intermediación Financiera (EIF) y las Empresas de Servicios Auxiliares Financieros para la prestación de servicios a sus clientes y usuarios.

Artículo 2° - (Ámbito de aplicación)

Se encuentran sujetas al ámbito de aplicación del presente Reglamento los Bancos, Fondos Financieros Privados, Mutuales de Ahorro y Préstamo, Cooperativas de Ahorro y Crédito Abiertas, Cooperativas de Ahorro y Crédito Societarias, Instituciones Financieras de Desarrollo, Empresas de Arrendamiento Financiero, Empresas de Servicios de Pago Móvil, Casas de Cambio, Empresas Remesadoras y Empresas Transportadoras de Material Monetario y/o Valores, que cuenten con licencia de funcionamiento otorgada por la Autoridad de Supervisión del Sistema Financiero (ASFI), en adelante entidad supervisada.

Artículo 3° - (Definiciones)

Para efectos de las disposiciones, contenidas en el presente Reglamento, se considerarán las siguientes definiciones:

a)	Área de exclusión: Área de acceso restringido identificada en las instalaciones de la entidad supervisada.
b)	Botón de pánico: Dispositivo electrónico que genera una señal de auxilio no audible que comunica la ocurrencia de un incidente de seguridad física a la central de monitoreo.
c)	Bóveda principal: Área destinada a la custodia y atesoramiento del material monetario y/o valores.
d)	Bóveda auxiliar: Área destinada a la custodia y atesoramiento transitorio del material monetario y/o valores, durante la atención de las operaciones y/o al cierre del día.
e)	Caja fuerte bóveda: Equipo físico destinado a la custodia y atesoramiento del material monetario y/o valores.
f)	Caja fuerte auxiliar: Equipo físico destinado a la custodia y atesoramiento transitorio de una parte del material monetario y/o valores.
g)	Caja tipo buzón: Permite el atesoramiento transitorio de material monetario y/o valores con ubicación en el área de ventanillas de atención al público.
h)	Camino de ronda: Recorrido que el guardia privado o policía de seguridad, realiza a lo largo de los pasillos, salidas de emergencia, gradas, áreas de carga o descarga, garajes, áreas comunes y otras áreas, con el objeto de velar por la integridad física de las personas y la seguridad de los activos de la entidad.
i)	Circuito cerrado de televisión: Sistema de transmisión de imágenes compuesto por un número determinado de cámaras que transmiten las señales capturadas a uno o más monitores, que forman un conjunto cerrado y limitado, en adelante CCTV.
j)	Central de monitoreo: Área de exclusión donde están instaladas las centrales para la recepción de señales provenientes de los sistemas de alarma y almacenamiento de las grabaciones de las cámaras de Circuito Cerrado de TV (CCTV).
k)	Corresponsal financiero: Es el Banco, Fondo Financiero Privado, Mutual de Ahorro y Préstamo, Cooperativa de Ahorro y Crédito Abierta, Cooperativa de Ahorro y Crédito Societaria, Institución Financiera de Desarrollo, Empresa de Transporte de Material Monetario y/o Valores y la Casa de Cambio con Personalidad Jurídica que cuente con licencia de funcionamiento otorgada por ASFI, así como la Cooperativa de Ahorro y Crédito Societaria y la Institución Financiera de Desarrollo que cuente con Certificado de Adecuación otorgado por ASFI, que se encuentra habilitado para realizar corresponsalías conforme legislación y reglamentación específica; y mantiene una corresponsalía con un contratante.
l)	Corresponsal no financiero: Es la persona natural o jurídica legalmente constituida que no realiza actividades de intermediación financiera o de servicios auxiliares financieros, que ha establecido una corresponsalía con un contratante.
m)	Contacto magnético: Dispositivo electrónico que se activa al separar un contacto eléctrico de un imán, rompiendo el campo magnético y activando el sistema de alarma, utilizado para el control de apertura de puertas y ventanas.
n)	Detector inercial: Dispositivo electrónico que activa el sistema de alarma ante la detección de vibraciones en el suelo o paredes.
o)	Diagnóstico de seguridad física: Resultado del análisis que se realiza a la infraestructura, entorno y medidas de seguridad física de una entidad supervisada, que tiene como fin permitir conocer las características específicas, vulnerabilidades y amenazas a las que están expuestas las instalaciones.
p)	Empresa de seguridad privada: Empresa privada autorizada por la instancia competente para prestar servicios remunerados de seguridad física a entidades financieras y empresas de servicios auxiliares financieros, que incluyen la provisión de guardias, sistemas de alarma, monitoreo y/o vigilancia motorizada entre otros.
q)	Equipo Anti-skimming: Equipo instalado en el cajero automático que previene el robo de identidad y reduce el fraude.
r)	Gestión de seguridad física: Conjunto de objetivos, políticas, procedimientos, planes y acciones que implementa la entidad supervisada con el objeto de proteger la integridad física de las personas, así como de los activos que se encuentren en el interior de sus instalaciones.
s)	Guardia privado: Personal dependiente de una empresa de seguridad privada, autorizada por la instancia competente, que vigila, protege y custodia la integridad física de las personas y/o activos asignados.
t)	Grupo electrógeno: Equipo generador de electricidad por medio de un motor de combustión interna, que garantiza el suministro ininterrumpido de energía para los sistemas eléctricos de seguridad física.
u)	Incidente de seguridad física: Cualquier evento o acontecimiento que causa daños o pérdidas de vidas humanas, activos e imagen institucional de la entidad supervisada.
v)	Medidas de seguridad física: Son los procesos físicos, humanos y tecnológicos adoptados por la entidad supervisada que en forma aislada o combinada, minimizan, retardan, impiden y/o neutralizan riesgos de incidentes de seguridad física y sus consecuencias.
w)	Nivel de riesgo ante incidentes de seguridad física: Es el grado de exposición a daños o pérdidas ocasionadas por incidentes de seguridad física.
x)	Particionado: Es el procedimiento por el cual se divide un sistema de alarma en dos o más áreas de forma que puedan activarse o desactivarse en forma independiente.
y)	Personal de Vigilancia: Personal perteneciente a la Policía Boliviana o Empresa de Seguridad Privada que brinda seguridad a las personas en las instalaciones y los activos de la entidad.
z)	Plan de seguridad física: Documento aprobado por la instancia competente, que establece los cursos de acción, medios y recursos que serán implementados para proporcionar seguridad física en las instalaciones de la entidad supervisada.
aa)	Policía de seguridad: Personal de la Policía Boliviana provisto de armas de fuego, que presta servicios de protección y/o custodia de la integridad física de las personas y/o activos asignados.
bb)	Punto de Atención Financiero (PAF): Instalación o establecimiento equipado para realizar operaciones de intermediación financiera o servicios auxiliares financieros, según corresponda, en el marco de la Ley de Bancos y Entidades Financieras (LBEF) en el territorio nacional y de acuerdo a lo establecido en la Recopilación de Normas para Bancos y Entidades Financieras (RNBEF).
cc)	Sensor infrarrojo: Dispositivo electrónico que emite un rayo infrarrojo continuo, cuya interferencia de elementos extraños, activa el sistema de alarma.
dd)	Sensor de ruptura de cristal: Dispositivo electrónico que detecta las frecuencias del sonido que producen los vidrios al astillarse, a través de un micrófono instalado en su interior.
ee)	Sensor sísmico: Dispositivo electrónico que detecta golpes o vibraciones, instalados en el suelo o paredes alrededor de bóveda(s) o caja(s) fuerte(s) bóveda.
ff)	Sirenas de Alarma: Luces de alarma u otros elementos disuasivos que alerten a los transeúntes o personal de vigilancia de un incidente de seguridad física.
gg)	Skimming: Robo de información de tarjetas de débito o crédito al momento de efectuar una transacción, con la finalidad de reproducir o clonar la tarjeta de crédito o débito para su posterior uso fraudulento.
hh)	Vigilancia motorizada: Patrullaje disuasivo realizado por unidades motorizadas a las instalaciones de la entidad supervisada.
ii)	Transporte de material monetario y/o títulos valores: Traslado físico de material monetario y/o valores, de un PAF a otro.
jj)	Unidad de Seguridad Física: Unidad organizacional dependiente de la instancia ejecutiva que corresponda, responsable de operativizar e informar sobre la gestión de seguridad física en la entidad supervisada. Su tamaño y estructura interna debe estar en relación y nivel de riesgo a incidentes de seguridad física y volumen de operaciones de los PAF.

Artículo 1° - (Gestión de Seguridad física)

La entidad supervisada, debe constituir un sistema para la Gestión de Seguridad Física en sus instalaciones, que permita identificar, monitorear, controlar y mitigar en forma preventiva o correctiva, impidiendo y/o neutralizando los riesgos a incidentes de seguridad física y sus consecuencias.

Artículo 2° - (Nivel de riesgo)

La entidad supervisada, debe realizar un diagnóstico de seguridad física que identifique el nivel de riesgo ante incidentes de seguridad física al que se encuentran expuestas sus instalaciones, considerando mínimamente: las zonas geográficas de riesgo identificadas por la autoridad competente en temas de seguridad ciudadana y el valor monetario de los activos que se encuentran bajo su resguardo.

Para la aplicación de las medidas especificas de seguridad física establecidas en la Sección 4 del presente Reglamento, la entidad supervisada, debe clasificar el nivel de riesgo de sus PAF en las categorías de riesgo alto, medio o bajo, considerando mínimamente los aspectos mencionados en el párrafo anterior.

ASFI podrá instruir, a la entidad supervisada, modificar el nivel de riesgo determinado para sus PAF en función a la ocurrencia de incidentes de seguridad física reportados en cumplimiento al Artículo 107° de la Ley de Bancos y Entidades Financieras o como producto de la supervisión realizada por las Direcciones correspondientes.

Artículo 3° - (Políticas)

La entidad supervisada debe contar con políticas de seguridad física aprobadas por el Directorio u Órgano equivalente, orientadas a priorizar el fortalecimiento de la seguridad física en sus instalaciones, las mismas que deben incluir referencias de la(s) Norma(s) Internacional(es) de seguridad física que son adoptadas por la entidad. Dichas políticas deben considerar los siguientes principios, según se enuncian en orden de prioridad:

a)	Protección a la vida de las personas que se encuentren dentro de las instalaciones de las Entidades Supervisadas.
b)	Protección de los activos, incluida la documentación e información en medios impresos o electrónicos.
c)	Protección de la imagen institucional.

La entidad supervisada debe implementar políticas de capacitación en seguridad física para todo su personal, sin exclusiones.

Artículo 4° - (Manuales de funciones y procedimientos)

La entidad supervisada debe contar con manuales de funciones y de procedimientos de seguridad física, que establezcan mínimamente el personal responsable y la periodicidad para su realización. Los manuales de funciones y procedimientos mínimos que debe considerar la entidad supervisada son:

a)

Manuales de funciones para: 1. Personal de vigilancia y vigilancia motorizada, que incluya la prohibición de que el mencionado personal realice actividades no relativas a la seguridad física. 2. Personal de la unidad de seguridad física, comité de seguridad física que establezca la interacción con áreas relacionadas. 3. Personal de la entidad supervisada que interactúa en la recepción y envió del material monetario y/o valores.

b)

Manuales de procedimientos para: 1. Asistencia a personas afectadas por incidentes de seguridad física ocurridos en instalaciones de la entidad supervisada que debe ser inmediata, adecuada y en base a capacitación previa. 2. Resguardo de la privacidad en las transacciones financieras realizadas por clientes y usuarios en ventanillas de atención al público. 3. Administración de llaves de ingreso a las instalaciones de la entidad supervisada, acceso a las áreas de exclusión, claves de sistemas de alarma y claves de equipos de atesoramiento según corresponda. Las claves señaladas deben ser modificadas al menos cada seis (6) meses o cuando se realice el cambio del personal encargado. 4. Pruebas de funcionamiento de los sistemas de seguridad, que incluya el inventario de equipos e instalaciones sujetos a revisión. 5. Mantenimiento preventivo y correctivo de los sistemas de atesoramiento, dispositivos de protección, sistemas de monitoreo y alarmas, al menos una vez al año. 6. Transporte de material monetario y/o valores por parte del personal de la entidad supervisada, cuando corresponda. 7. Abastecimiento de material monetario en los cajeros automáticos, cuando corresponda. 8. Ubicación, construcción, instalación y manejo de bóveda(s) y caja(s) fuerte(s) bóveda. 9. Instalación de medidas de seguridad física en los ambientes destinados a cajeros automáticos. 10. Funcionamiento de centrales de monitoreo que incluya tiempo de almacenamiento, modalidad y resguardo de las grabaciones de monitoreo, para atención de denuncias y reclamos de los usuarios o clientes.

Artículo 5° - (Estructura organizacional)

La entidad supervisada, debe establecer una estructura organizacional adecuada al nivel de riesgo y número de PAF en funcionamiento, que delimite las funciones y responsabilidades relativas a la gestión de seguridad física.

Artículo 6° - (Unidad de Seguridad Física)

La entidad supervisada que cuente con un patrimonio contable igual o mayor a 5,500,000 DEG, debe contar con una Unidad de seguridad física, que será responsable de operativizar y monitorear la gestión de seguridad física, emitir reportes e informes para las instancias de decisión, proponer medidas preventivas o correctivas que se requieran para fortalecer la seguridad física en las instalaciones de la entidad supervisada, entre otras tareas operativas.

Cuando corresponda, las tareas de la Unidad de seguridad física serán asignadas por el Comité de seguridad física a otra unidad organizacional de la entidad supervisada.

La ETM debe contar con un Jefe de Operaciones, independientemente del patrimonio contable, conforme a lo establecido en el Reglamento Operativo para Empresas Privadas de Vigilancia aprobado mediante Resolución Ministerial N° 21 B/2013 de 4 de febrero de 2013, emitido por el Ministerio de Gobierno.

Artículo 7° - (Comité de Seguridad Física)

La entidad supervisada debe conformar un Comité de seguridad física, que será responsable de analizar y evaluar las situaciones de riesgo de vulneración a los sistemas de seguridad física, así como las medidas preventivas y correctivas que debe poner en consideración del Directorio u órgano equivalente para su aprobación.

El Comité estará conformado mínimamente por un Director, el Gerente General y un Gerente del área relacionada o instancia equivalente, con derecho a voz y voto y el responsable de la Unidad de Seguridad Física u Órgano equivalente con derecho a voz, cuando corresponda.

El Comité debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones.

Artículo 8° - (Responsabilidades y funciones del Directorio)

El Directorio u Órgano equivalente es responsable de la gestión de seguridad física en la entidad supervisada, debiendo cumplir, entre otras, las siguientes funciones:

a)	Aprobar, revisar, actualizar y realizar el seguimiento a las estrategias, políticas, procedimientos y planes de seguridad física, mínimamente una vez al año y cuando corresponda.
b)	Aprobar los manuales de funciones y procedimientos relativos a la gestión de seguridad física, así como asegurar que se encuentren debidamente actualizados.
c)	Designar los miembros del Comité de seguridad física.
d)	Disponer la conformación de una Unidad de seguridad física y designar al responsable de la misma, cuando corresponda.

Artículo 9° - (Responsabilidades y funciones de la Gerencia General)

La Gerencia General es responsable de la implementación y cumplimiento de las políticas, estrategias, planes, manuales y procedimientos, aprobados por el Directorio u Órgano equivalente para la gestión de seguridad física, así como de implementar acciones correctivas o preventivas que se requieran. También es responsable del cumplimiento estricto de las disposiciones contenidas en el presente Reglamento.

Artículo 10° - (Brigada de Auxilio)

La entidad supervisada, debe capacitar un grupo de funcionarios por cada PAF identificado con riesgo alto, para ejecutar procedimientos de asistencia orientados a proteger la vida de las personas afectadas por incidentes de seguridad física. Dichos funcionarios deben interactuar con el personal de vigilancia según procedimiento predefinido.

Artículo 11° - (Gestión de seguridad física para las Casas de Cambio Unipersonales)

Las casas de cambio unipersonales deben contar mínimamente con procedimientos destinados a afrontar incidentes de seguridad física considerando al menos los señalados en los numerales 1 al 6, y 8) del inciso b), Artículo 4°, Sección 2 del presente Reglamento (en lo que corresponde). Los procedimientos establecidos por las casas de cambio unipersonales deben considerar en orden de prioridad, los principios descritos en el Artículo 3° de la presente Sección. Las disposiciones restantes contenidas en la presente sección, no son de aplicación obligatoria para las casas de cambio unipersonales, sin embargo no se restringe su aplicación voluntaria.

Artículo 1° - (Clasificación áreas de exclusión)

En base a un análisis de riesgo ante incidentes de seguridad física, la entidad supervisada debe identificar las áreas de exclusión que requieran medidas de seguridad máximas.

Artículo 2° - (Equipos de atesoramiento)

La entidad supervisada, en función al nivel de riesgo al que se encuentran expuestos sus PAF, debe contar con equipos de atesoramiento que cumplan con estándares de calidad establecidos en la Norma Internacional, definida en sus políticas, respecto a la resistencia contra ataques por medios mecánicos, eléctricos, explosivos u otros.

A continuación se detalla la lista referencial de equipos de atesoramiento que pueden ser utilizados por la entidad supervisada:

a)	Bóveda principal: Construida de hormigón reforzado, provista de puerta de bóveda con cerraduras de retardo y control horario.
b)	Bóveda auxiliar: Construida de hormigón armado reforzado, provista de puerta de bóveda con cerraduras de retardo y control horario, con ubicación diferente a la bóveda principal, sin embargo ambas se encuentran instaladas en el mismo PAF.
c)	Caja fuerte bóveda: Equipo con estructura blindada, anclada al piso y provista de cerradura de retardo.
d)	Caja fuerte auxiliar: Equipo con estructura blindada, anclada al piso, y provista de cerradura de retardo, con ubicación diferente a la caja fuerte bóveda, sin embargo ambas se encuentran instaladas en el mismo PAF.
e)	Caja tipo buzón: Equipo, con estructura blindada, con cerradura de retardo y anclada al piso, ubicada en el área de ventanillas de atención al público.

Artículo 3° - (Ventanillas de atención al público)

El área de ventanillas de atención al público debe contar con dispositivos de control que permitan el acceso solo a personas autorizadas.

En los PAF identificados con nivel de riesgo alto, ubicados en ciudades capitales de departamento y adicionalmente, los situados en las Ciudades de El Alto, Quillacollo, Montero y localidades fronterizas, las ventanillas de atención al público deben contar con vidrios con resistencia balística u otro material de igual consistencia que cumpla estándares de calidad internacional, definidos en las políticas de seguridad física de cada entidad supervisada.

Artículo 4° - (Condiciones para el personal de vigilancia)

La entidad supervisada tiene la responsabilidad de que el personal de vigilancia contratado, cuente mínimamente con las siguientes condiciones para la prestación de sus servicios:

a)	Policía de seguridad: provisto de arma de fuego, chaleco antibalas con una resistencia balística mínima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante, así como de otros implementos adecuados a las funciones asignadas según se establece en el Anexo 1.
b)	Guardia privado: provisto mínimamente de arma(s) de defensa, chaleco antibalas con una resistencia mínima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante, así como otros implementos adecuados a las funciones según se establece en el Anexo 1.

Artículo 5° - (Dotación de personal de vigilancia)

En los PAF ubicados en localidades que no cuenten con suficiente disponibilidad de personal de vigilancia en los Batallones de Seguridad Física, Comandos Departamentales de la Policía Boliviana o Empresas de Seguridad Privada, autorizadas por la instancia competente, la entidad supervisada debe contar como mínimo con un (1) Policía de seguridad o un (1) guardia privado. Adicionalmente en caso de que no exista personal de vigilancia en la localidad, la entidad debe adoptar medidas de seguridad que suplan la falencia del personal de vigilancia, según se establece en sus políticas de seguridad física.

Los recintos para cajeros automáticos que cuenten con más de dos (2) equipos sean estos de la misma entidad supervisada o de diferentes entidades, deben contar al menos con un (1) guardia privado. Las entidades supervisadas podrán suscribir, entre si, convenios para que el personal de vigilancia brinde protección a los cajeros automáticos ubicados en el mismo recinto. El personal de vigilancia que preste el servicio en los recintos de los cajeros automáticos debe realizarlo las veinticuatro (24) horas del día, los trescientos sesenta y cinco (365) días del año de forma ininterrumpida.

De acuerdo a la ubicación física del cajero automático, la entidad supervisada debe habilitar casetas para la permanencia del personal de vigilancia instaladas a una distancia no menor de dos (2) metros ni mayor a diez (10) metros. Las casetas podrán ser fijas o plegables según se establece en el Anexo 2.

La entidad supervisada debe asegurarse que el personal de vigilancia cuente con la capacitación y los conocimientos básicos según se establece en el Anexo 3.

Artículo 6° - (Dotación adicional de personal de vigilancia)

En los PAF en los que se verifique la necesidad de brindar mayor seguridad para la atención a los clientes y usuarios, ASFI se reserva el derecho de exigir personal de vigilancia adicional, al establecido por la entidad supervisada.

Artículo 7° - (Horarios)

El personal de vigilancia debe permanecer en ejercicio de sus funciones en el PAF, durante el tiempo que disponga el manual de funciones del personal de vigilancia definido por la entidad supervisada, el mismo que al menos debe abarcar el tiempo de atención al público o de permanencia de funcionarios en las instalaciones del PAF.

Artículo 8° - (Sistema de alarma)

La entidad supervisada debe contar con un sistema de alarma debidamente particionado, zonificado, interconectado a una central de monitoreo de alarma y habilitados para detectar incidentes de seguridad física en áreas de atención al público y áreas de exclusión que hubieran sido identificadas, de acuerdo a lo señalado en el Artículo 1° de la presente Sección.

Artículo 9° - (Dispositivos para la seguridad física)

En función al nivel de riesgo y la clasificación de las áreas de exclusión, la entidad supervisada debe implementar dispositivos para la seguridad física entre los cuales podrá considerar, en relación a su funcionalidad, los señalados a continuación:

a)	Sistemas para control de accesos biométricos.
b)	Sensores infrarrojos.
c)	Contactos magnéticos.
d)	Sensores de ruptura de cristal.
e)	Detectores inerciales.
f)	Sensores sísmicos.
g)	Detectores de humo.
h)	Botones de pánico.
i)	Sirenas de alarmas.
j)	Grupo electrógeno
k)	Extintores de incendio (portátiles).

Artículo 10° - (Central de monitoreo)

La entidad supervisada, debe controlar desde una Central de Monitoreo, propia o tercerizada en forma permanente e ininterrumpida los sistemas de alarma instalados en los PAF, debiendo reportar a las autoridades competentes la ocurrencia de incidentes de seguridad física de forma oportuna, así como resguardar la información de monitoreo de los sistemas de CCTV en medios de grabación adecuados para su almacenamiento.

La entidad supervisada es responsable de velar por la adecuada prestación del servicio tercerizado y el resguardo de la información que se genere, dando cumplimiento a los requisitos establecidos por el Reglamento Operativo para Empresas Privadas de Vigilancia.

Adicionalmente, la entidad supervisada que cuente con más del 50% de sus PAF identificados con nivel de riesgo alto, debe contar con una Central de Monitoreo de respaldo funcionando en una ubicación geográfica diferente.

La Central de Monitoreo debe funcionar de forma ininterrumpida durante veinticuatro (24) horas al día, siete (7) días a la semana y trescientos sesenta y cinco (365) días del año.

Artículo 11° - (Sistema de circuito cerrado de televisión)

La entidad supervisada, debe contar con sistemas de CCTV propios o tercerizados, acorde a la distribución y cantidad de cámaras instaladas en sus PAF. Las grabaciones de las cámaras de seguridad, deben permitir la identificación de personas, actividades u otros, ocurridos en incidentes de seguridad física.

La entidad supervisada debe priorizar la ubicación de cámaras de seguridad en las áreas de ventanillas de atención al público, cajeros automáticos y accesos al PAF, bóvedas, camino de ronda y áreas de exclusión, según corresponda.

La entidad supervisada debe mantener en archivo electrónico el registro efectuado por el sistema de vigilancia y monitoreo, por un período no menor a ciento ochenta (180) días.

Artículo 12° - (Vigilancia motorizada)

La entidad supervisada debe contar con unidades motorizadas a cargo de personal que realice la vigilancia in situ en los PAF, de acuerdo a planes definidos para el efecto, los cuales deben incluir al menos la ruta de recorrido y rol de turnos, dando prioridad a los PAF con niveles de riesgo alto y que se encuentren más alejados de la oficina central.

Artículo 13° - (Medidas generales de seguridad física para las Casas de Cambio unipersonales)

Las disposiciones contenidas en la presente Sección, no son de aplicación obligatoria para las Casas de Cambio unipersonales, excepto por el Artículo 3°, y el inciso k) del Artículo 9° de la presente Sección, sin embargo no se restringe la aplicación voluntaria de las mencionadas disposiciones.

Artículo 1° - (Medidas específicas)

La entidad supervisada, adicionalmente a lo establecido en la Sección 3 del presente Reglamento, debe implementar las medidas de seguridad específicas contenidas en la presente Sección.

Las oficinas externas y feriales, se regirán por lo establecido en el Artículo 5° de la presente Sección.

Artículo 2° - (Oficinas centrales o sucursales)

La entidad supervisada en función al nivel de riesgo al que se encuentran expuestas su Oficina central y sucursales, debe implementar mínimamente las siguientes medidas específicas de seguridad física:

Requisitos de Seguridad Física	Niveles de Seguridad
	Riesgo Bajo	Riesgo Medio	Riesgo Alto
Equipos de Atesoramiento
Bóveda Principal	-	X	X
Bóveda Auxiliar	-	-	X
Caja Fuerte Bóveda	X	-	-
Caja Fuerte Auxiliar		X
Puertas de Acceso Áreas de Exclusión	X	X	X
1 Caja fuerte tipo buzón anclada por ventanilla	-	-	X
1 Caja fuerte tipo buzón anclada por área de ventanillas	X	X	-
Personal de Vigilancia
Un (1) Policía de Seguridad o un (1) Guardia Privado	X	X	-
Dos (2) Policías de Seguridad	-	-	X

X = Indispensable - = No indispensable

Adicionalmente, la Entidad Supervisada debe contar al menos con un (1) policía de seguridad o guardia privado por cada puerta de acceso a la oficina central o sucursal, en correlación a lo dispuesto en el Artículo 5° de la Sección 3 del presente Reglamento.

Las oficinas centrales o sucursales que no manipulen material monetario y/o valores en sus instalaciones, no están obligadas a contar con los equipos de atesoramiento.

Artículo 3° - (Agencias fijas)

La entidad supervisada en función al nivel de riesgo al que se encuentran expuestas sus agencias fijas debe implementar mínimamente las siguientes medidas específicas de seguridad física:

Requisitos de Seguridad Física	Niveles de Seguridad
	Riesgo Bajo	Riesgo Medio	Riesgo Alto
Equipos de Atesoramiento
Caja Fuerte Bóveda	X	X	X
Caja Fuerte Auxiliar	-	-	X
Puerta de Acceso Áreas de Exclusión	X	X	X
1 Caja fuerte tipo buzón anclada por ventanilla	-	-	X
1 Caja fuerte tipo buzón anclada por área de ventanillas	X	X	-
Personal de Vigilancia
Un (1) Policía de Seguridad	-	-	X
Un (1) Policía de Seguridad o Un (1) Guardia Privado	-	X	-
Un (1) Guardia Privado	X	-	-

X = Indispensable - = No indispensable

Artículo 4° - (Agencia móvil)

La entidad supervisada debe implementar en sus agencias móviles las medidas de seguridad física señaladas en el Reglamento Operativo para las Empresas Privadas de Vigilancia, en lo referido a Banca Móvil.

Artículo 5° - (Oficina externa y oficina ferial)

En función al tipo de operaciones que realizan y el nivel de riesgo al que se encuentran expuestas las oficinas externas y feriales, la entidad supervisada determinará la implementación de sistemas de alarma, monitoreo y condiciones para la instalación de ventanillas, según corresponda, a lo señalado en la Sección 3 del presente Reglamento.

Adicionalmente, de acuerdo al volumen del material monetario que circule en los PAF, la entidad supervisada debe contar con equipos de atesoramiento para el adecuado resguardo de los activos, así como con personal de vigilancia, para la protección de la integridad física de las personas que se encuentran en sus instalaciones.

Artículo 6° - (Ventanilla de cobranza)

La entidad supervisada en función al nivel de riesgo al que se encuentran expuestas sus ventanillas de cobranza, debe contar al menos con el siguiente personal de vigilancia:

a)	Un (1) Policía de Seguridad, cuando la ventanilla de cobranza sea identificada con un nivel de riesgo alto en correlación al Artículo 5° de la Sección 3 del presente Reglamento.
b)	Un (1) Policía de Seguridad o un (1) Guardia Privado cuando la ventanilla de cobranza sea identificada con un nivel de riesgo medio o bajo.

Cuando la Ventanilla de Cobranza se encuentre instalada en instituciones públicas o privadas que cuenten con personal de vigilancia, la entidad supervisada podrá suscribir convenios para compartir el servicio de vigilancia, siendo responsabilidad de la entidad supervisada velar por el cumplimiento de las tareas establecidas en el manual de funciones del personal de vigilancia aprobado por las instancias correspondientes.

Artículo 7° - (Corresponsales financieros y no financieros)

La entidad supervisada contratante de la Corresponsalía, es responsable de velar por el cumplimiento de las medidas de seguridad física generales y especificas contenidas en el presente Reglamento, según corresponda al tipo de corresponsal y en función al nivel de riesgo y tipo de operaciones realizadas en los puntos de atención contratados.

Artículo 8° - (Cajero automático)

Para la instalación y funcionamiento de los Cajeros Automáticos, independientemente si estos son internos o externos, la entidad de intermediación financiera debe cumplir con los siguientes requerimientos mínimos:

a)	Medidas de seguridad física del cajero automático externo.- Los Cajeros Automáticos externos deben contar con una de las siguientes medidas de seguridad: 1. Ser instalado en recinto; 2. Contar con personal de vigilancia si no cuenta con recinto. a.1 Características de los recintos: Los recintos en los que se encuentran instalados los cajeros automáticos, debe contar con: i. Vidrios templados y/o laminados que permitan observar el interior del recinto, desde el exterior y viceversa, para detectar eventuales amenazas, sea contra la máquina o contra el usuario. ii. El vidrio a utilizarse en las puertas de ingreso, así como aquel que forme parte de la estructura del recinto de los cajeros automáticos, debe ser de templado y/o laminado. iii. La puerta de acceso debe contar con un dispositivo de cierre interno, de tipo mecánico, que impida el acceso de terceros al interior del recinto cuando el usuario se encuentre operando el cajero automático. a.2 Cajero automático sin recinto: La entidad supervisada debe contratar personal de vigilancia, ya sea un policía de seguridad o guardia privado y habilitar casetas según lo establecido en el Artículo 4°, Sección 3, del presente Reglamento.
b)	Circuito cerrado de televisión: La entidad supervisada debe instalar una cámara en el interior del recinto del cajero automático que permita captar las imágenes de los tarjetahabientes al momento de realizar la operación, no debiendo dirigir la cámara hacia el teclado de los cajeros. De la misma manera, la entidad supervisada podrá instalar una cámara de exterior para la vigilancia del perímetro externo para cajeros automáticos con recintos identificados con riesgo alto.
c)	Dispositivos de seguridad: Los cajeros automáticos internos o externos debe contar con dispositivos que permitan privacidad en el registro de operaciones de los clientes o usuarios de tarjetas de débito o crédito. Los dispositivos mínimos de seguridad son los siguientes: 1. Pantalla. Debe estar instalada en ángulos apropiados o contar con medidas antirreflectantes, que eviten que la acción del reflejo del sol afecte la privacidad de operación por parte del usuario. 2. Iluminación. El espacio donde se encuentra ubicado el cajero automático, debe estar adecuadamente iluminado. 3. Protector de teclado. Todos los cajeros automáticos deben contar con protectores de teclado para evitar que durante el marcado de la clave, esta pueda ser vista por terceras personas. 4. Equipo Anti – Skimming. El cajero automático debe contar con equipos anti – Skimming en la ranura de ingreso de la tarjeta para garantizar las operaciones de los tarjetahabientes. 5. Accesorios. Los cajeros automáticos deben contar con accesorios adicionales de aseo y decoración y deben prevenir, desde su diseño e instalación, la comisión de actos de vandalismo a través de elementos de cierre y fijación, que eviten su retiro o la instalación de artefactos explosivos.
d)	Elementos disuasivos y teléfonos de información: Los cajeros automáticos deberán contar con carteles y señales que anuncien que el cajero automático cuenta con medidas de seguridad, también deberá contar con los números telefónicos de emergencia para comunicarse con la Entidad Supervisada a la que pertenecen los cajeros automáticos y con la empresa de liquidación y compensación de tarjetas de pago; estos números deben ser de fácil identificación tanto en el ambiente del recinto como en la pantalla del cajero automático.
e)	Cerradura de la caja fuerte: La puerta de la caja fuerte del cajero automático, debe poseer un mecanismo adicional a la cerradura que permita bloquear automáticamente la puerta de la caja fuerte ante un incidente de seguridad física.
f)	Anclaje: El cajero automático debe encontrarse sólidamente anclado al piso.
g)	Protección del cableado: Todo el cableado para el funcionamiento del cajero automático y el sistema de alarmas debe estar debidamente protegido para evitar posibles accidentes o actos de sabotaje, debiendo inclusive proteger los compartimientos del sistema de comunicación.

Artículo 9° - (Casas de cambio)

Las Casas de Cambio con personalidad jurídica, deben identificar el nivel de riesgo ante incidentes de seguridad física al que se encuentran expuestas su oficina central y agencias de cambio de acuerdo a lo establecido en el Artículo 2°, Sección 2 del presente Reglamento e implementar mínimamente las medidas especificas de seguridad física, señaladas a continuación:

Requisitos de Seguridad Física	Niveles de Seguridad
	Riesgo Bajo	Riesgo Medio	Riesgo Alto
Equipos de Atesoramiento
Caja Fuerte Bóveda	X	X	X
Personal de Vigilancia
Un (1)Policía de Seguridad	-	-	X
Un (1) Policía de Seguridad o Un (1) Guardia Privado	-	X	-
Un (1) Guardia Privado	X	-	-

X = Indispensable - = No indispensable

Artículo 10° - (Empresas Remesadoras)

Las Empresas Remesadoras, deben identificar el nivel de riesgo ante incidentes de seguridad física al que se encuentran expuestas sus puntos de atención financiero de acuerdo a lo establecido en el Artículo 2°, Sección 2, del presente Reglamento e implementar mínimamente las medidas específicas de seguridad física, señaladas a continuación:

Requisitos de Seguridad Física	Niveles de Seguridad
	Riesgo Bajo	Riesgo Medio	Riesgo Alto
Equipos de Atesoramiento
Caja Fuerte Bóveda	X	X	X
Personal de Vigilancia
Un (1)Policía de Seguridad	-	-	X
Un (1) Policía de Seguridad o Un (1) Guardia Privado	-	X	-
Un (1) Guardia Privado	X	-	-

X = Indispensable - = No indispensable

Artículo 11° - (Empresas transportadoras de material monetario y/o valores)

La Empresa Transportadora de material monetario y/o valores (ETM) que brinda servicio al Sistema Financiero o la Entidad de Intermediación Financiera con servicio propio de transporte de material monetario y/o valores (ESPT), debe cumplir con las medidas de seguridad señaladas en el Reglamento Operativo para Empresas Privadas de Vigilancia, para la prestación de sus servicios.

Adicionalmente, la ETM que realiza la custodia de material monetario y/o valores en sus oficinas, determinará la implementación de equipos de Atesoramiento, ambientes específicos para el procesamiento de efectivo (cuando corresponda), sistemas de alarmas, monitoreo y dotación de personal, en función a lo establecido en la Política de Seguridad Física aprobada por el Directorio u Órgano equivalente considerando el nivel de riesgo.

Finalmente la entidad supervisada, para realizar el transporte de material monetario y/o valores entre localidades que no sean ciudades capitales de departamento, debe implementar las medidas de seguridad física que considere necesarias en función a los riesgos asociados al traslado de material monetario y/o valores a dichas áreas, tomando en cuenta al menos los siguientes aspectos:

a)	Preservación de la seguridad de la vida de las personas.
b)	Accesibilidad a la localidad.
c)	Zonas geográficas de riesgo identificadas por la autoridad competente en temas de seguridad ciudadana.
d)	Montos o valor de material monetario y/o valores a ser trasladado.

Artículo 1° - (Registro de hechos delictivos)

En el marco de lo establecido en el Artículo 107°, Capítulo II, Titulo VIII de la Ley de Bancos y Entidades Financieras, la entidad debe llevar un registro de los incidentes de seguridad física que se presenten en sus instalaciones contemplando aspectos cualitativos y cuantitativos, con el fin de establecer las medidas correctivas o preventivas que correspondan.

Artículo 2° - (Empresas de arrendamiento financiero)

En función a la política de seguridad aprobada por el Directorio u Órgano equivalente, la empresa de arrendamiento financiero es responsable de velar por que las transacciones de efectivo realizadas con sus clientes, a través de PAF de Entidades de Intermediación Financiera, cuenten con las medidas de seguridad física necesarias según lo establecido en el presente Reglamento.

Artículo 3° - (Empresas de servicio de pago móvil)

En función a la política de seguridad física aprobada por el Directorio u Órgano equivalente, la Empresa de Servicio de Pago Móvil (ESPM), es responsable de la implementación de medidas de seguridad física adecuadas para la prestación de sus servicios en las instalaciones de los corresponsales contratados, según lo establecido en el Articulo 7° de la Sección 4 del presente Reglamento.

Artículo 4° - (Reportes de información)

La entidad supervisada debe contar con mecanismos que permitan el flujo de información adecuado para la toma de decisiones oportunas, relativas a la gestión de seguridad física en sus instalaciones.

Artículo 5° - (Resguardo de la información de seguridad física)

La entidad supervisada debe disponer de la custodia en la bóveda o caja fuerte, de los planes de seguridad física, planos o croquis que contengan referencias sobre los sistemas de seguridad implementados, siendo prohibida la obtención de copias o fotocopias que no hubieran sido reportadas por escrito al Comité de seguridad física.

Artículo 6° - (Situaciones de fuerza mayor)

Por motivos fundados, razones de fuerza mayor o situaciones de riesgo imprevistas que impidan la continuidad en la prestación del servicio del personal de vigilancia, la entidad supervisada podrá utilizar el personal de las Fuerzas Armadas del Estado Plurinacional de Bolivia, previa autorización de las instancias competentes del Gobierno, debiendo comunicar oportunamente estas medidas a la Autoridad de Supervisión del Sistema Financiero.

Artículo 7° - (Sanciones)

El incumplimiento o inobservancia al presente Reglamento dará lugar a la aplicación del Artículo 99° de la Ley N° 1488 de Bancos y Entidades Financieras (Texto ordenado) y a lo dispuesto por el Reglamento de Sanciones Administrativas contenido en la RNBEF a través de proceso administrativo sancionatorio establecido en la Ley de Procedimiento Administrativo N°2341 de 23 de abril de 2002 y en el Reglamento a la Ley de Procedimiento Administrativo para el Sistema de Regulación Financiera “SIREFI” aprobado mediante Decreto Supremo N° 27175 de 15 de septiembre de 2003.

Artículo Único - (Rol de auditoría interna) La Unidad de Auditoria Interna debe desempeñar un rol independiente en la Gestión de Seguridad Física, debiendo, mínimamente cumplir con las siguientes funciones:

a)	Verificar la implementación de lo dispuesto en las políticas, procedimientos y planes diseñados para la Gestión de Seguridad Física;
b)	Verificar que la Unidad de Seguridad Física cumpla con las obligaciones y responsabilidades encomendadas;
c)	Elevar informes al Directorio u órgano equivalente, a través de su Comité de Auditoría o Consejo de Vigilancia, según corresponda, acerca de los resultados obtenidos y las recomendaciones sugeridas, derivadas de las revisiones;
d)	Efectuar seguimiento de las observaciones y/o recomendaciones emitidas y comunicar los resultados obtenidos al Directorio u Órgano equivalente, a través de su Comité de Auditoría o Consejo de Vigilancia, según corresponda.

Artículo único – (Plazo de implementación)

Las entidades supervisadas deben adecuarse a lo determinado en el presente Reglamento en un plazo no mayor a dieciocho (18) meses, partir de su emisión.