SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Transcripción

1 8. Ámbito de aplicación Las instrucciones de que trata el presente numeral deberán ser adoptadas por todas las entidades sometidas a la inspección y vigilancia (las entidades o la entidad) de la Superintendencia Financiera de Colombia (SFC). No obstante, el numeral 8.6. de Análisis de vulnerabilidades deberá ser aplicado únicamente por los establecimientos de crédito y los administradores de sistemas de pago de bajo valor, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica la instrucción allí contenida Definiciones Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios, las entidades deberán tener en cuenta las siguientes definiciones: Criterios de Seguridad de la información a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada. b) Integridad: La información debe ser precisa, coherente y suficiente para los propósitos que se requiera. c) Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso Criterios de Calidad de la información a) Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente. b) Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de manera óptima los recursos. c) Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones Canales de distribución de servicios financieros Para los efectos de esta Circular son canales de distribución de servicios financieros: a) Oficinas. b) Cajeros Automáticos (ATM). c) Datafonos y PIN Pad. d) Sistemas de Audio Respuesta (IVR). e) Centro de atención telefónica (Call Center). f) Sistemas de acceso remoto para clientes. g) Internet. h) Dispositivos móviles (WAP) Medios Son instrumentos que permiten la realización de operaciones a través de los canales de distribución descritos en el numeral de la presente Circular, tales como: cheques, tarjetas debito y crédito, dinero, etc Vulnerabilidad informática Deficiencia que permite violar las medidas de seguridad informáticas para poder acceder a un canal de distribución o a un sistema específico, de forma no autorizada y emplearlo en beneficio propio o como origen de ataques por terceros Cifrado fuerte Técnicas de cifrado, con algoritmos de robustez reconocidos internacionalmente, que proporcionan una adecuada relación entre el nivel de procesamiento y la seguridad de la información Operación Se entenderá como operación: - El conjunto de acciones que permiten el intercambio de datos a través de los canales de distribución, como por ejemplo, una consulta de saldo, extracto, etc. y que no implican movimiento de dinero. - Las acciones que permiten movimiento de dinero, esto es las transacciones. Por ejemplo: retiros, transferencias, depósitos, pagos, etc.

2 Cliente Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad Usuario Son aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio Dispositivo Mecanismo, máquina o aparato dispuesto para producir una función determinada Obligaciones generales En desarrollo de lo dispuesto en la presente Circular, las entidades deberán incluir en sus políticas, procedimientos y estructura organizacional los criterios de que tratan los numerales y Adicionalmente para dar aplicación a dichos criterios las entidades deberán: Seguridad y calidad En desarrollo de los requerimientos de seguridad y calidad, las entidades deberán: Gestionar la seguridad de la información, para lo cual podrán tener como referencia los estándares ISO y 27001, o el último estándar disponible Adoptar las medidas necesarias para que la información manejada por la entidad cumpla con los criterios de seguridad y calidad Disponer que el envío de información reservada (certificaciones, extractos, notificaciones, sobreflex, entre otros) y medios (tarjetas débito y crédito, chequeras, etc.) a sus clientes, se haga en condiciones de seguridad. Cuando la información que la entidad envía a sus clientes sea de carácter confidencial (nombre, identificación, número de cuenta, PIN, número de tarjeta física, número de cliente, seguros, depósitos o inversiones de cualquier tipo, créditos, saldos, cupos, movimientos de cuentas, etc.) y se envía como parte de, o adjunta a un correo electrónico, ésta deberá estar cifrada Cifrar de extremo a extremo la información confidencial de los clientes que se intercambie al interior de la entidad Velar por que la información suministrada a los clientes esté libre de software malicioso Establecer mecanismos que restrinjan el acceso a la información de los clientes, para que solo pueda ser usada por el personal que lo requiera en función de su trabajo, dejando registro que permita obtener la trazabilidad de las operaciones realizadas Proteger las claves y los cambios de configuración de los equipos de su red. En desarrollo de lo anterior, las entidades deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades deberá ser única y personalizada Dotar a sus terminales o equipos de cómputo de los elementos de hardware y software necesarios para evitar que se vean afectados por programas o dispositivos que buscan capturar la información de sus clientes y de sus operaciones Velar por que los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil Brindar a sus clientes la posibilidad de identificarse con mecanismos de autenticación tales como: tarjetas inteligentes, OTP (One Time Password), sistemas de preguntas confidenciales, sistemas acústicos, sistemas biométricos, a los cuales podrá optar o no el cliente, bajo las condiciones acordadas entre este y la entidad Llevar un control de los funcionarios de la entidad que, en razón de la labor desempeñada, tengan acceso a la información, dispositivos y sistemas usados en los distintos canales Disponer de los mecanismos necesarios para que los clientes tengan la posibilidad de personalizar las condiciones bajo las cuales se les prestará servicios por los diferentes canales, dejando constancia de ello. En desarrollo de lo anterior, la entidad deberá permitir que el cliente, por lo menos, inscriba las cuentas a las cuales realizará transferencias o pagos, defina montos, número de operaciones, canales, direcciones IP, números de los teléfonos fijos y móviles. Así mismo la entidad podrá determinar los procedimientos que permitan identificar y, de ser necesario, bloquear las transacciones provenientes de direcciones IP consideradas como inseguras Disponer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo lo pueda realizar personal debidamente autorizado Disponer de los mecanismos necesarios para evitar que los funcionarios de la entidad puedan ser suplantados Establecer un procedimiento de bloqueo de los canales para un cliente y/o usuario determinado después de un número de intentos de accesos fallidos, así como las medidas operativas y de seguridad para la reactivación de los mismos Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave en el momento que dichos clientes lo consideren necesario Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la autorización o negación de las operaciones que no correspondan a sus hábitos.

3 Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales y medios de servicio al cliente y al usuario. En desarrollo de lo anterior, las entidades deberán establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios Definir los procedimientos y medidas que se deberán ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros Disponer de una plataforma adecuada en equipos, telecomunicaciones y software, así como los procedimientos y controles necesarios que permitan prestar los servicios en condiciones de seguridad y calidad Sincronizar todos los relojes de los sistemas de información involucrados en los canales de distribución. Se deberá tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio Contar con controles y alarmas que informen sobre el estado de los canales, que permitan identificar y manejar las fallas oportunamente Velar porque los órganos de control incluyan dentro de sus programas e informes, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente Circular Considerar en sus políticas y procedimientos relativos a los canales y medios de distribución de productos y servicios, la atención de personas de la tercera edad, con limitaciones físicas, infantes y, en general, aquellas que pudieran requerir de una atención especial. Tercerización Outsourcing En el caso específico de personas naturales o jurídicas que tengan con la entidad una relación contractual de prestación de servicios diferente a aquella que se origina en un contrato de trabajo, outsourcing o tercerización, además de las obligaciones contenidas en la presente Circular, se deberá atender a las siguientes instrucciones: Definir los criterios a partir de los cuales se establezcan los procedimientos, la calidad de los contratistas y los servicios que serán atendidos a través de terceros. Estos criterios pueden ser: capital de trabajo, patrimonio, experiencia, personal calificado y tipo de contrato, entre otros Los contratos celebrados con terceros deberán contener, por lo menos, los siguientes aspectos: niveles de servicio y operación, acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas, propiedad de la información, restricciones sobre el software empleado, normas de seguridad informática y física a ser aplicadas, procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de equipos e información, así como los procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio Exigir que los terceros contratados dispongan de planes de contingencia debidamente documentados y probados. Las entidades deberán verificar que los planes, en lo que corresponden a los servicios convenidos, funcionan en las condiciones esperadas Establecer procedimientos que permitan identificar de manera inequívoca a los funcionarios de los terceros contratados Si los proveedores de servicios intercambian información confidencial de los clientes con la entidad, ya sea por sistemas en línea o por Internet, a éstos proveedores se les deberá dar el tratamiento de oficinas de la entidad, en este sentido se deben implementar mecanismos de cifrado tipo hardware con algoritmos de cifrado fuerte, en concordancia con lo expresado en el numeral Documentación Las entidades deberán: Dejar constancia de todos los procedimientos y operaciones que se realicen a través de los distintos canales de distribución de servicios para clientes y usuarios En concordancia con lo establecido en el numeral , establecer que los órganos de control, incluyan en sus informes el cumplimiento de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los servicios a los clientes y usuarios, a través de los diferentes canales de distribución Mantener a disposición de la SFC, estadísticas actualizadas de la prestación de servicios a través de cada uno de los canales de distribución, que contemplen, entre otros, el número de operaciones realizadas y el nivel de disponibilidad del canal Cuando se realicen donaciones, las entidades deberán solicitar la confirmación del cliente y usuario. Adicionalmente, deberán generar y entregar un soporte incluyendo entre otros los siguientes datos: Valor de la donación, identificación y nombre de la persona natural o jurídica a la que se donó el dinero Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de las entidades como de sus clientes y las condiciones bajo las cuales éstas prestarán sus servicios. Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre los productos de los clientes, que contenga al menos la siguiente información: identificación del funcionario que realizó la consulta, canal empleado, identificación del equipo, fecha y hora Llevar el registro de las actividades adelantadas, sobre los dispositivos usados por los canales de distribución de servicios, cuando se realice su alistamiento, transporte, mantenimiento, instalación y activación Dejar constancia de la entrega a que hace referencia el numeral Divulgación de Información Disponer de un sistema de registro de operaciones, que contenga por lo menos: fecha, hora, código del equipo (IVR - número telefónico, Internet dirección IP, WAP número del móvil), número de la operación, cuenta(s), valor y costo de la misma para el usuario. Cuando el sistema de registro no esté disponible, no se deberá permitir la realización de la operación.

4 Grabar las llamadas realizadas a los centros de atención telefónica y guardar copia de esta información para cuando sea requerida Divulgación de información Establecer y publicar por los canales de distribución, en los que sea posible, las medidas de seguridad que deberá adoptar el cliente y los controles aplicados por la entidad para la prestación del servicio En concordancia con lo dispuesto en el artículo 97 del E.O.S.F., suministrar a los clientes información clara, completa y oportuna de los productos, servicios y operaciones Expedir un soporte, en papel o por medios electrónicos, para cada operación realizada por cualquiera de los canales de distribución de servicios, el cual deberá contener al menos la siguiente información: fecha, hora (hora, minuto y segundo), código del equipo (IVR - número telefónico, Internet dirección IP, WAP número del móvil), número, valor y costo de la operación para el cliente o usuario, tipo, entidades involucradas y número de las cuentas que afectan la operación. En el caso en que el soporte no esté disponible, no deberá permitirse la realización de la operación Entregar a los clientes un documento con las medidas de seguridad que deberán tener en cuenta para la realización de operaciones por cada canal, así como los procedimientos para el bloqueo, inactivación, reactivación y cancelación de los productos y servicios ofrecidos Informar a sus clientes y usuarios, previo a su realización, el valor de la operación, cuando ella tenga costo, brindándole la posibilidad de efectuarla o no Brindar a los clientes la opción de indicar el monto a partir del cual deberán ser informados acerca de las operaciones realizadas sobre sus productos Diseñar procedimientos para dar a conocer a los clientes, usuarios y funcionarios sobre los riesgos derivados del uso de los diferentes medios y canales Expedir constancia, dentro del procedimiento de cancelación de un producto o servicio solicitada por un cliente, en la que se advierta encontrarse a paz y salvo por todo concepto, asegurándose que los futuros reportes a las centrales de riesgo sean consistentes con su estado de cuenta Obligaciones adicionales por tipo de canal Oficinas: Los sistemas informáticos usados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor y cumplir al menos con el nivel de seguridad C2 (protección de acceso controlado) Contar con cámaras de filmación, las cuales deben cubrir al menos el acceso principal y las áreas de atención al público En desarrollo de la obligación a que hace referencia el numeral , se debe garantizar que entre las oficinas de las entidades y sus respectivos sitios centrales de procesamiento de información, deberán instalarse mecanismos de cifrado tipo hardware de propósito específico, como mínimo con algoritmos de cifrado fuerte. Estos mecanismos deben ser completamente independientes y separados de cualquier dispositivo de procesamiento, servidores de comunicaciones y de seguridad informática (FIREWALLS, IDS, IPS, NAC, etc.), tanto en las oficinas, como en el sitio central Establecer procedimientos necesarios para atender de manera segura y eficiente a sus clientes en todo momento, en particular cuando se presenten situaciones especiales tales como: fallas en los sistemas, restricciones en los servicios, fechas y horas de mayor congestión, posible alteración del orden público, entre otras, así como para el retorno a la normalidad. Dichas medidas adoptadas deberán ser informadas oportunamente a los clientes y usuarios. Contar con los elementos necesarios, entre otros, código de lectores de barras, contadores de billetes y monedas, que cumplan con las condiciones de seguridad y calidad, de acuerdo con los productos y servicios ofrecidos en cada oficina Cajeros Automáticos (ATM) Proveer a los cajeros automáticos de sistemas de filmación que asocien los datos y las imágenes de cada transacción. Las grabaciones se deberán conservar por un término mínimo de 5 (cinco) años Los cajeros automáticos deben contar con sensores que detecten la instalación de dispositivos que puedan afectar su normal operación En desarrollo de la obligación a que hace referencia el numeral , cuando el cajero automático no se encuentre conectado a una oficina, deberán instalarse mecanismos de cifrado tipo hardware de propósito específico externo al cajero, como mínimo usando técnicas de cifrado fuerte. Este mecanismo debe ser independiente y separado de cualquier dispositivo de procesamiento, de comunicaciones, de enrutamiento o de conmutación Implementar el intercambio dinámico de llaves entre los sistemas de cifrado, con la frecuencia necesaria para dotar de seguridad a las operaciones realizadas El entorno donde se instalen los cajeros automáticos deberá considerar las medidas de seguridad físicas necesarias para su operación y acorde con su fabricación. Adicionalmente, debe proporcionar mecanismos de protección que reduzcan la visibilidad por parte de terceros cuando se digite la clave Ocultar en los soportes de las operaciones la información confidencial, tal como: los números de las cuentas, el numero de la tarjeta, el documento de identificación del cliente, entre otras, con excepción de los últimos cuatro (4) dígitos o caracteres Dotar al cajero de dispositivos que cifren de manera fuerte la información que contenga la autenticación del cliente o usuario Implementar mecanismos de autenticación que permitan confirmar que el cajero es un equipo autorizado dentro de la red.

5 Receptores de cheque con módulo lector Poseer un módulo que identifique y acepte los cheques leyendo automáticamente, al menos, los siguientes datos: la entidad emisora, número de cuenta y número de cheque Los cheques o documentos no aceptados, no podrán ser retenidos y deben ser entregados inmediatamente al usuario informándole la causa de la devolución Una vez el cliente o usuario deposite el cheque, el sistema deberá mostrar una imagen del mismo y la información asociada a la operación, para confirmar los datos de la misma y proceder o no a su realización. En caso negativo deberá devolver el documento o cheque, dejando registro de la operación Al momento de la consignación del cheque se le debe poner una marca que indique que el documento fue depositado en el cajero y que se encuentra en proceso de canje. Receptores de efectivo con módulo lector Contar con un módulo que verifique la autenticidad y denominación de los billetes Las operaciones en efectivo deben realizarse en línea, afectando el saldo de la respectiva cuenta. La operación no quedará sujeta a verificación Los billetes no aceptados no podrán ser retenidos y deben ser retornados inmediatamente al cliente o usuario Totalizar el monto de la operación con los billetes aceptados y permitir que el cliente o usuario confirme o no su realización. En este último caso se debe devolver la totalidad de los billetes, produciendo un registro de la devolución Datáfonos y PIN Pad El datáfono y el PIN Pad deberán ser a prueba de apertura, se deberá desconfigurar e inactivar cuando se abra o se intente abrir. Igualmente deberá contar con sistemas de seguridad para evitar la pérdida de integridad y confidencialidad de la información Cumplir los estándares EMV (Europay, MasterCard, VISA) y PCI PED (Payment Card Industry PIN Entry Device) Los administradores de las redes relativas a este canal deberán validar automáticamente la autenticidad del datáfono que se intenta conectar a ellos, así como el medio de comunicación a través del cual operará Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientos comerciales, identificar y confirmar la veracidad de la información de los funcionarios autorizados para retirar o hacerle mantenimiento a los equipos Velar por que la información de los clientes y usuarios no sea almacenada o retenida en el lugar en donde los datafonos estén siendo utilizados Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario Sistemas de Audio Respuesta (IVR) Implementar controles y mecanismos que eviten la intercepción de la información del cliente en la comunicación entre servidores y clientes La contraseña asignada deberá ser diferente a la definida para la realización de operaciones a través de otros canales Permitir al cliente confirmar la información suministrada en la realización de una operación Permitir transferir la llamada a un funcionario de la entidad, al menos en los horarios hábiles de atención al público Centro de atención telefónica (Call Center) Destinar un área dedicada exclusivamente para la operación de los recursos necesarios en la prestación del servicio, la cual deberá contar con los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada Los funcionarios que operen en el centro de atención telefónica no podrán ingresar ningún tipo de dispositivo que permita almacenar o copiar cualquier tipo de información, ni medios de comunicación tales como: teléfonos celulares, radio teléfonos En los equipos de cómputo usados en el centro de atención telefónica se deberán bloquear los puertos de conexión de periféricos y la utilización de medios de almacenamiento externos. Igualmente se deberá bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio Garantizar que los equipos destinados a los centros de atención telefónica solo serán utilizados en la prestación de servicios por ese canal. En desarrollo de lo anterior, la entidad no permitirá la navegación por Internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información Sistemas de acceso remoto para clientes En desarrollo de la obligación a que hace referencia el numeral el sistema debe usar cifrado fuerte para el intercambio de información Tener un modulo de seguridad de hardware del sistema, que cumpla al menos con el nivel de seguridad FIPS (Federal Information Processing Standard) El sistema debe consistir en un hardware de propósito específico (appliance) totalmente separado e independiente de cualquier dispositivo o elemento de procesamiento de información, de transmisión y/o recepción de datos, de comunicación, de conmutación, de enrutamiento, de gateways, de servidores de acceso remoto (RAS) y/o de concentradores.

6 Este sistema también debe ser independiente de otros elementos de seguridad que las entidades dispongan a nivel central tales como: firewalls, IDS, IPS, NAC, o servidores de propósito general corriendo aplicaciones SSL, antivirus, anti-spam, etc Internet En desarrollo de la obligación a que hace referencia el numeral , implementar los algoritmos y protocolos actualmente utilizados a nivel mundial, cuando se lleven a cabo operaciones, para brindar una comunicación segura, usando cifrado fuerte Realizar como mínimo dos veces al año o cuando se realicen cambios en la plataforma, una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la distribución del servicio por este canal Poner a disposición de sus clientes mecanismos que reduzcan la posibilidad, en cada operación, de que su información pueda ser capturada por terceros no autorizados Establecer el tiempo máximo de inactividad de la sesión de Internet, después de lo cual se deberá dar por cancelada la misma, exigiendo un nuevo proceso de autenticación para realizar otras operaciones Ofrecer a sus clientes la posibilidad de realizar operaciones por Internet únicamente desde un rango de direcciones IP definidas por dichos clientes Informar al cliente, al momento de inicio de cada sesión destinada a la realización de operaciones, la fecha y hora del último ingreso La contraseña asignada deberá ser diferente a la definida para la realización de operaciones a través de otros canales Velar por que el canal cumpla con las condiciones de seguridad y calidad de que trata esta Circular de manera que no sea el cliente quien deba certificar que el equipo desde el cual va a realizar la operación es seguro Distribución de servicios a través de nuevos canales Cuando la entidad vaya a iniciar la distribución de servicios a través de canales diferentes a los mencionados en esta Circular, además del cumplimiento de las instrucciones generales de seguridad y calidad, deberá adelantar el respectivo análisis de los riesgos operativos y de la tecnología utilizada. Dicho análisis deberá ser puesto en conocimiento de la junta directiva y los órganos de control. La entidad deberá remitir a la SFC, a título de información, con al menos 45 días calendario de antelación a la fecha prevista para el inicio de la distribución de servicios a través del nuevo canal, la siguiente información: a) Descripción del procedimiento que se adoptará para la prestación del servicio. b) Tecnología que utilizará el nuevo canal. c) Medidas de seguridad y controles adoptados. d) Planes de contingencia para la operación del canal. e) Análisis de riesgos y medidas de tratamiento. f) Plan de conocimiento para el cliente o usuario del uso y los riesgos a los que estaría expuesto. Lo anterior, sin perjuicio de lo previsto en literal a), numeral 5, artículo 326 del Estatuto Orgánico del Sistema Financiero Reglas sobre actualización de software Con el propósito de mantener estándares adecuados de seguridad del software en operación, las entidades deberán cumplir, entre otras, con las siguientes medidas: Mantener tres ambientes independientes: - para el desarrollo de software, - las pruebas y - los sistemas en producción Un ambiente no podrá incidir en el desempeño y seguridad de los otros Los ambientes de desarrollo y producción deben ser compatibles para evitar la recompilación de programas en los sistemas de producción Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar la destrucción de la misma, una vez concluido el proceso de pruebas Respecto del software que se encuentra en el ambiente de producción, las entidades deberán, entre otras cosas: establecer procedimientos y controles para el paso de programas a producción, clasificar el software, llevar los registros correspondientes que indiquen la versión, número de licencias y ubicación Diseñar interfases que cumplan con los criterios de seguridad y calidad, de tal manera que los clientes y usuarios puedan hacer uso de ellas de una forma simple e intuitiva Para el caso de la actualización del software, se deberá mantener documentada y actualizada, al menos, la siguiente información: parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones; versión de los programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas de información; procedimientos de instalación del software Obligaciones específicas por tipo de medio Tarjetas débito y crédito Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para su emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.

7 Velar porque los centros de operación en donde se realizan los procesos de realce, grabado y magnetización de las tarjetas, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma Velar por que en los centros de operación donde se hace el realce, grabado y magnetización de las tarjetas, apliquen procedimientos y controles que garanticen la destrucción de aquellos plásticos que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deberán aplicar a los sobreflex Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes Cuando la clave (PIN) asociada a una tarjeta haya sido asignada por la entidad vigilada, esta deberá ser cambiada por el cliente antes de realizar su primera operación Velar porque las operaciones realizadas con tarjetas de crédito surtan un proceso de verificación de firma y confrontación con el documento de identidad del cliente Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, fecha de expedición, nombre de la entidad emisora, espacio para la firma del cliente y número telefónico de atención al cliente Al momento de la entrega de la tarjeta a los clientes, ésta deberá estar inactiva. Las entidades deberán definir un procedimiento para su respectiva activación, el cual contemple al menos dos de tres factores de autenticación: algo que se sabe, algo que se tiene, algo que se es. En cualquier caso, se deberán entregar las tarjetas exclusivamente al cliente o a quien este autorice Análisis de vulnerabilidades Las entidades deberán implementar un sistema de análisis de vulnerabilidades informáticas, con el fin de minimizar el riesgo de los recursos y, en especial, de la información de sus usuarios, el cual deberá cumplir al menos con las siguientes medidas: Estar basado en un hardware de propósito específico (appliance) totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de comunicaciones y/o de seguridad informática existentes Generar de manera automática, con corte a 31 de enero, 30 de abril, 31 de julio y 31 de octubre, un informe consolidado de las vulnerabilidades encontradas. Dicho resumen deberá estar a disposición de la SFC Realizar un análisis periódico, mínimo trimestral, de las vulnerabilidades de todos los recursos informáticos. Si al interior de la entidad existen varias redes y/o subredes, todos los análisis deberán ejecutarse en cada una de ellas Las entidades deberán tomar las medidas necesarias para remediar las vulnerabilidades detectadas al menos para cada trimestre Realizar un análisis diferencial de vulnerabilidades, comparando el trimestre actual con respecto al inmediatamente anterior Para la generación de los resúmenes solicitados se deberá tomar como referencia la lista de nombres de vulnerabilidades CVE (common vulnerabilitis and Exposures) publicada por la corporación Mitre ( Las herramientas usadas en el análisis de vulnerabilidades deberán estar homologadas por el CVE y actualizadas a la fecha de su utilización Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.