[MINUTA - CONSULTAS NORMATIVAS] 8 de septiembre de 2016

Transcripción

1 Tema Proyecto Reunión Mensual GPSI Entidades y Asociaciones. Consultas Normativas Fecha 08/09/2016 Área Responsable Gerencia Principal de Seguridad de la Información Participantes Mara Misto Macias/BCRA; Pablo Flores Zuñiga/BCRA; Rubén Fernando Romero/BCRA; Luis D orio /BCRA; Miguel Roig/BCRA; Carlos Bianco /BCRA. Luciana Rios Benso/ADEBA; Garcia Jorge /ABAPPRA; Arienti, Roberto / ABAPPRA; Mattson Fernando / ABAPPRA; Pablo Vassallo /ABAPPRA; Ortega Silvina /ABA; Enrique Rubistein /ABA; Elena Deligiannis /ABA; Maximiliano Ignaciuk/ABE; Aldo Angelinetti /ABE. Asunto Encuentro mensual para atención de dudas, consultas sobre temas normativos de la Gerencia Principal de Seguridad de la Información. Consultas Enviadas previamente Tarjeta de Débito en e-comerce Se puede utilizar la TD como medio de pago en la canal tradicional de e-commerce? Cuál es la regulación sobre las condiciones de uso? Aplican las mismas que para TC? o debe aplicarse la regulación de transferencias inmediatas? En el caso de Maestro no se pediría PIN. Debería solicitarse el CVV2 o utilizarse Segundo Factor (SF)? Si se usa SF, pude obviarse el CVV2? Los límites de compra en este caso, pueden usarse los mismos que para transferencias inmediatas por HB? o deben usarse los mismos que para compras en POS? Se pueden hacer compras acorde a lo establecido en la Comunicación 6043 sin factor adicional de seguridad (puntos y 3.2) que limitan a un Sueldo Mínimo, Vital y Móvil? Respuestas: En el marco de la definiciones de los canales PPM y POS, y tanto de la comunicación A5982 como la comunicación A6017, es posible emplear tarjetas de débito y crédito de manera indistinta en las operaciones de comercio electrónico en sitios de internet (e-commerce). Debe recordarse, que los escenarios de transacciones (prefijo ETR) de la comunicación A6017 establecen dos escenarios para pagos de bienes y servicios contemplando en ambos, tanto al canal PPM, como al canal POS, por lo que tanto mediante el uso de productos asociados a PPM, como mediante el uso de tarjetas de débito y crédito en entornos WebPOS (incluido dentro del canal POS) las transacciones deberán seguir los requisitos particulares a cada escenario, así como aquellos que se correspondan en los escenarios de Credenciales y Medios de Pago y los correspondientes a Dispositivos y Aplicaciones. La utilización de segundo factor resulta obligatoria según el escenario que se corresponda con la operatoria, recordándose que, los dos escenarios indicados para pagos de bienes y servicios mediante los canales PPM y 1

2 POS consideran diferencias según si se trata de operaciones de alto o bajo valor, en referencia a los indicado por las comunicaciones A5982 y A6043, lo que también debe considerarse en la definición de los límites operables. Las comunicaciones A5982 y A6043 entre otras, promueven el uso de transferencias inmediatas para la efectivización de los pagos de bienes y servicios, y los clientes bancarios podrán emplear, según el producto particular de PPM (Billetera Electrónica, Botón de Pago o M-POS), cuentas a la vista asociadas a un CBU, un ALIAS-CBU o una tarjeta de débito, según el modelo de implementación que defina cada entidad u operador. Los requisitos técnicos para las tarjetas de crédito y débito se encuentran definidas en la comunicación A6017, en los que se encuentran considerados requisitos técnico-operativos de seguridad integrados al medio o integrados a la operatoria. Se recuerda, que las entidades financieras deben realizar análisis de riesgo para cada operatoria, encuadrarla en los escenarios de la comunicación A6017 y determinar la criticidad en los casos en que no esté prevista por este Banco Central, satisfaciendo las medidas de seguridad indicadas para cada escenario o, en virtud de la criticidad determinada, las medidas complementarias o sustitutas para la contención de los riesgos identificados. Tarjeta en Pos Móvil Para el uso de Maestro en Pos Móvil no se solicitará PIN de compra. Debe solicitarse CVV2? Respuesta: En la operatoria M-POS, el dispositivo del comercio adquiere las características de una terminal POS, de tal modo que la existencia y uso del código de seguridad en las tarjetas de débito y crédito (CVC/CVV1/CVV2) deben seguir lo determinado en el requisito RCA044. No obstante lo anterior, entendiendo que el propósito del mecanismo de seguridad es verificar la legitimidad del plástico, la no utilización de un mecanismo de verificación de la tarjeta debería sostenerse sobre la presunción de que, previo el análisis de riesgo de la entidad, la pérdida probable es asumida por la entidad y en todo caso, no debería afectar al cliente. RIR019: Las aplicaciones (piezas de software) empleadas para brindar servicios financieros en dispositivos móviles deben garantizar la vinculación única entre la aplicación, las credenciales del cliente y el dispositivo móvil, considerando pero no limitándose a las siguientes técnicas combinadas: a) Asociación de identificador IMEI (International Mobile Station Equipment Identity, por su siglas en inglés) o código único de identificación del dispositivo. b) Semilla para encripción de datos y/o credenciales c) Valor aleatorio que identifica la relación del dispositivo con el servicio financiero. Las aplicaciones para dispositivos móviles deben alojarse en sitios cuyas condiciones de seguridad sean acordes con la política de la entidad financiera y estos ser informados al consumidor de servicios financieros de manera fehaciente. Con relación a este requisito nos surge como inquietud si existe posibilidad de utilizar como única validación el IMEI asociado al dispositivo evitando la utilización de otro factor. De ser posible solicitamos ampliación y ejemplos. 2

3 Respuesta: El requisito RIR019 es un requisito que se encuadra el escenario de Compatibilización de dispositivos propios del usuario con un nivel de criticidad 2, que tiene como propósito principal asegurar que haya una relación única entre la aplicación provista por la entidad, el dispositivo propio del cliente y la identidad del cliente financiero para operar con sus cuentas. Aun cuando, por el nivel de criticidad indicado, las entidades pueden, de acuerdo con su análisis de riesgo, determinar medidas alternativas y/o compensatorias, la relación única entre aplicación, dispositivo y cliente debe estar garantizada independientemente de no sujetarse de manera estricta a las alternativas indicadas en el requisito, Si el IMEI por sí solo no es capaz de resolver toda la ecuación, su implementación como medida única no podrá resolver el cumplimiento del requisito. FD Segundo Factor de autenticación A raíz de una necesidad de negocio el Banco desarrolló en el canal web una aplicación para comercio exterior (ComexWeb). A la misma se accede mediante usuario y contraseña con todos los requisitos correspondientes a la comunicación A 5374 de BCRA en lo que al factor algo que sabe se refiere. Una de las funciones del canal ComexWeb es la posibilidad de realizar transacciones relacionadas con el Mercado Único y Libre de Cambios acorde con lo establecido en las comunicaciones A 4085, A 4345 y A 4463, en las que se brinda la opción de utilizar Firma Digital (FD) para la recepción en línea de la documentación requerida para operar. El Banco ha optado por utilizar FD en el marco de la Ley 25506, para lo cual requerirá a sus clientes la utilización de Certificados basados en Hardware (token USB) emitidos por cualquier Autoridad Certificante homologada ante la ONTI. A raíz de esta decisión el Banco entiende que la utilización de este mecanismo, implementado acorde con lo establecido en la Ley , validando el esquema de firmas correspondiente y la implementación de controles internos adicionales, puede ser considerado segundo factor de autenticación en este proceso. Asimismo consideramos que dentro de la Comunicación A 5374 esta transacción debe encuadrarse dentro de los escenarios de criticidad 1 con prefijo ETR, los cuales exigen un segundo factor acorde con el requisito RCA032 que hace referencia, según la implementación del Banco al requisito RCA012 (.b), la utilización de FD estaría cumpliendo con el requisito de usb Tokens mencionado. Cabe señalar que también se entiende que el resto de los requisitos de la Comunicación A 5374 en relación a cuestiones del factor algo que tiene están cubiertos por las exigencias propias de la Ley y las correspondientes Decisiones Administrativas que la implementan. Por lo expuesto, solicitamos a Uds. tener a bien brindar opinión respecto a poder aplicar FD en las operaciones propias del Mercado Único y Libre de Cambios en el canal BI del Banco de la Nación Argentina, como segundo factor de autenticación. Respuesta: El uso de firma de digital como segundo factor es válido en todas las operatorias asociadas a canales electrónicos considerados en las comunicaciones A5374 y actual A6017 y de acuerdo a lo que establecen los requisitos particulares a cada escenario aplicable. Las condiciones técnicas propias de la firma digital, se sujetan a las determinadas por la Ley y las normas de procedimiento determinadas por la Secretaría de Modernización. Descentralización Flexibilización y revisión de la normativa sobre Descentralización de servicios en el exterior: que se permita que no solo sea en el país de la Casa Matriz y/o su controlante, condicionado a que cuando el BCRA solicite información, la misma se obtenga inmediatamente y sin necesidad de permisos o claves administradas por funcionarios del banco en el país. 3

4 a) Posibilidad de eventuales modificaciones en la norma para poder delegar actividades en otros países que no sean necesariamente aquellos donde se ubica la casa matriz. b) Posibilidad de eventuales modificaciones en la norma para poder tener servicios/aplicaciones/infraestructura en la nube tanto privada como pública. c) Detallar/ejemplificar el tipo de actividades específicas alcanzadas por esta norma y las que quedarían fuera de alcance. Utilización de la Nube en la industria financiera. a) Cuál es el posicionamiento de BCRA con respecto a la utilización de servicios Cloud? a) Existe alguna normativa específica que contemple este escenario para ambientes no productivos? Requisitos mínimos de TI: a) Posibilidad de eventuales modificaciones en la norma para la sección de Estándares de acceso, de identificación y autenticación, y reglas de seguridad. b) Posibilidad de eventuales modificaciones en la norma para la sección de Registros de seguridad y pistas de auditoría c) Detallar/ejemplificar tipo de facilidades para la protección de activos cuyo control de gestión debe ser realizado por recursos propios que se mencionan en la sección de delegación de actividades. Respuesta: Este Banco Central está estudiando los temas relacionados con descentralización de actividades y procesamiento en la nube, no siendo posible, por el momento, exteriorizar ninguno de los resultados de este trabajo. Digitalización de la información. Respuesta: Recientemente, en el marco de mejora de procesos, se publicó la comunicación A6068 que contiene la modificación al TO de Instrumentación, conservación y reproducción de documento bajo comunicación A6072. En esta norma se incorporan aspectos referidos a los soportes electrónicos para documentación de las entidades y sus clientes. A su vez se incorporan los elementos para la firma hológrafa digital, como mecanismo para firma documentos digitalizados. Firma Digital. Respuesta: En lo referente a Firma Digital, como viene siendo práctica habitual, este Banco Central se sujeta a la normativa técnica de la Secretaría de Modernización, tomando solamente a consideración su aplicación en productos y servicios bancarios. En tal sentido, y conforme lo indicado en la comunicación A6017, los diferentes usos que se propongan para la Firma Digital, deberán ser informados a la Gerencia Principal de Seguridad de la Información y en principio, conformar las condiciones técnicas de base determinadas por la Ley y la Secretaría de Modernización. 4

5 Consultas realizadas durante la reunión Requisito Se manifiesta preocupación en cuanto a lo requerido en este punto, respecto a la devolución de los fondos a un cliente que desconozca la operación. Respuesta: La Gerencia Principal de Medios de Pago aclara que las entidades financieras pueden tomar medidas de seguridad para prevenir o mitigar los riesgos asociados a estas operaciones aunque sean de bajo valor. No obstante, la preocupación será elevada a instancias superiores. RIR019 Se manifiestan dificultades para controlar las aplicaciones apócrifas descargadas por los clientes en sus dispositivos móviles desde sitios no autorizados, con el consecuente riesgo para la exposición de sus credenciales. Por otra parte, el texto considerando pero no limitándose a las siguientes técnicas combinadas: podría ser limitante a la innovación para atender el objetivo con otras medidas.- Respuesta: La entidad debe implementar las medidas necesarias para determinar que la aplicación instalada y usada para operar posea la legitimidad necesaria y garantice la seguridad transaccional, es decir, que se trate del producto autorizado por la entidad para operar y no otro. La exposición de credenciales por aplicaciones ilegítimas es un riesgo que ocurre de forma similar en la Banca por Internet mediante el uso de sitios falsos o enmascarados, y debe mirarse a la luz de otros requisitos, cuyo objetivo es la protección de las credenciales y la reducción de esos riesgos. El objetivo central del requisito RIR019 en particular hace a las aplicaciones legítimas de la entidad de manera específica. Se aclara, que las alternativas indicadas en el requisito no son exhaustivas y las entidades pueden desarrollar o implementar otras que satisfagan los objetivos del requisito. RCA045 Se consulta si las fechas de recambio requeridas en este requisito para la comunicación A5374 seguían vigentes, ya que en la comunicación A6017 no se establecieron. Respuesta: En la comunicación A6017 se han eliminado las fechas establecidas mediante comunicación A5374 y por tanto, no siguen vigentes. Asimismo, se ha modificado el requisito RCA045, permitiendo a las entidades ajustar sus programas de recambio a una gama amplia de criterios. RCC013 y RCC014 Se consulta si estos requisitos fueron derogados, porque no figuraban en la publicación de la comunicación A6017 aunque en las tablas de escenarios se siguen mencionando. Respuesta: Por un error en la publicación, no aparece la página que contiene a los requisitos indicados, no obstante, el Texto Ordenado de la comunicación REQUISITOS MINIMOS DE GESTION, IMPLEMENTACION Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGIA INFORMATICA, SISTEMAS DE INFORMACIÓN Y RECUERSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS disponible desde el sitio de internet de este Banco Central, si los presenta y se encuentran vigentes. ALIAS CBU Se consulta si el ALIAS puede ser empleado como factor de asociación del dispositivo móvil 5

6 Respuesta: Se sugiere al proponente que aporte mayores detalles técnicos, en virtud de que el ALIAS es básicamente una representación del CBU y no el CBU en si mismo, el CBU es por otra parte una identificación de una cuenta y no estrictamente de un único cliente, por lo que en principio sería necesario contar con elementos adicionales que permitan profundizar en el análisis. Distribución de Tarjeta y PIN Se consulta sobre el tratamiento de cambios en el circuito para la distribución de Tarjeta y PIN. Respuesta: Todo cambio operativo que pueda afectar el manejo de credenciales, requiere una presentación formal con los detalles técnicos suficientes para poder brindar una opinión más precisa. 6