Tendencias de Seguridad en Banca Electrónica Una perspectiva jurídica desde la certificación digital ERICK RINCON CARDENAS erick.rincon@certicamara.com
Antecedentes - Principios Jurídicos aplicables Principalmente son cinco los principios aplicables a todo tipo de Documentos Electrónicos: 1. Equivalencia Funcional de los Actos electrónicos: La función jurídica que cumple la instrumentación escrita y autógrafa respecto de todo acto jurídico, o su expresión oral, la cumple igualmente la instrumentación electrónica a través de un mensaje de datos. 2. No se altera ni modifica el actual régimen del derecho de las obligaciones y contratos privados. 3. La neutralidad tecnológica: Este principio propende porque las normas del Comercio electrónico, puedan abarcar las tecnologías que propiciaron su reglamentación, así como las tecnologías que se están desarrollando y están por desarrollarse. 4. Buena Fe: 5. La libertad Contractual.
AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA ANTECEDENTES JURÍDICOS APLICABLES A LOS MEDIOS ELECTRÓNICOS Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en: Escrito = Mensaje de Datos Información generada, enviada o recibida por medios electrónicos Artículo 1 de la Ley 527 de 1999. Original = Integridad No alteración de la información en el proceso de comunicación electrónica. Es decir que la información no sea adicionada o sustraída y se mantenga inalterada. En el formato electrónico podrán existir varios originales del mismo documento siempre y cuando los mismos garanticen su integridad. Artículo 8 y 9 de la Ley 527 de 1999. 2009 Certicámara S.A. Todos los derechos reservados
AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA ANTECEDENTES JURÍDICOS APLICABLES A LOS MEDIOS ELECTRÓNICOS Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en: Firma Manuscrita = Firma Digital (Autenticidad, Integridad y No Repudio) Procedimiento de algoritmos matemáticos que con la intervención de una entidad de Certificación Digital permite garantizar la identidad del firmante, la integridad de la información y los compromisos adquiridos con la información y su envío. Artículo 7, 28 y 30 de la ley 527 de 1999. Conservación y Archivo = Mensaje de Datos (Autenticidad Integridad Fecha Posterior Consulta) Los Artículos 12 y 13 son aplicables a la conservación por medios electrónicos. 2009 Certicámara S.A. Todos los derechos reservados
Modalidades de Banca Electrónica Banca en Línea (Red, instalación de software) Banca a través de portales de Internet Banca en Internet
Planeación Jurídica de los Riesgos de la Información - Riesgo Operativo Según Basilea es el riesgo de pérdida directo o indirecto que surge como resultado de un proceso inadecuado, una falla interna humana o de sistemas, o de eventos de carácter externo. Según el Crédit Suisse es el inadecuado potencial impacto adverso en el desarrollo de las operaciones. Para qué sirve: Para que todo sistema de una entidad esté controlado, garantizado y financieramente protegido ante un fracaso, evento de pérdida o destrucción. El riesgo operativo no permite prever accidentes, catástrofes y desgracias.
Planeación Jurídica de los Riesgos de la Información - Factores de generación de riesgo 1. El incremento de la tecnología que puede transformar los riesgos manuales por procesamientos de información o fallas en los sistemas integrados. 2. El crecimiento del e-commerce. 3. La integración horizontal o vertical cada fusión o adquisición obliga a integrar mecanismos y sistemas de información. 4. La continua necesidad de ofrecer nuevos servicios que obligan a mantener estrictos controles de seguimiento. 5. El aumento de la tercerización u outsourcing de los servicios fundamentales y accesorios de las entidades.
Planeación Jurídica de los Riesgos de la Información CLASICAL Legal Risk Fraud Payments and settlements Fiduciary and trust
Planeación Jurídica de los Riesgos de la Información MODERN Management Weakness Organizational Deficiencies Wanting Professional Skills Defective Execution Methods
IT - ORIENTED Planeación Jurídica de los Riesgos de la Información Obsolete Technology Wanting Security Substandard Documentation Gaps in infrastructure
Planeación Jurídica de los Riesgos de la Información RIESGOS Confidencialidad Integridad Autenticación No Repudio MEDIDAS DE PREVENCION Papel, Confirmación telefónica, VPNs, Encripción Contraseña y PIN, Autenticación Multifactorial, Tokens RSA, PKI y Certificados Digitales Confiables, Biométrica PKIs Locales con Marco Legal, PKI Global con infraestructura legal privada 11
Seguridad jurídica en banca electrónica Confidencialidad: el sistema de seguridad debe contener especificaciones técnicas que aseguren que los datos suministrados en la operación electrónica solo podrán ser entendidos por las partes intervinientes de la misma, evitando manipulación de información. Integridad: es de vital importancia que los datos que se suministran por intermedio de la red no sean objeto de modificaciones en su viaje entre los intervinientes, por tal razón el sistema de seguridad deberá detectar cualquier modificación hecha a la información. No repudio: mediante los sistemas de identificación se asegura que las partes intervinientes de la transacción no puedan negar su intervención en ella y la autoría de su mensaje. Control de Acceso: debe lograrse restringir el acceso a las redes y a la información confidencial por parte de usuarios no autorizados. La importancia de este aspectos recae en la especial protección a la información de los usuarios y a la información confidencial de los establecimientos bancarios.
Seguridad jurídica en banca electrónica Contratos Bancarios Electrónicos. Tesoreria Electrónica. Giros Internacionales Electrónicos. Mesa de Dinero e Inversiones Electrónicas. Pagos y Transferencias Corporativas por Medios Electrónicos. Garantias Bancarias Electrónicas. Poliza Electrónica. Expedientes Bancarios y Financieros Electrónicos. Extractos Electrónicos
Seguridad jurídica en banca electrónica Internet 1. Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura. 2. Promover y poner a disposición de sus clientes mecanismos que reduzcan la posibilidad de que la información de sus transacciones pueda ser capturada por terceros no autorizados durante cada sesión. 3. Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal. 4. Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean modificados los enlaces (links) de su sitio Web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS. Implementación de certificados digitales para la autenticación de usuarios ante Sistemas de Información y aplicaciones en general. Soluciones enfocadas a la gestión de identidad contando con un único elemento de identificación que aporta valor jurídico a las operaciones de autenticación y control de acceso. Implementación de firmas digitales para asegurar las transacciones a través de Internet,como: firma de formularios Web, sistemas de aprobación y autorización, sistemas de workflow de informacion, y en general cualquier aplicación Web que requiera control de identidad, integridad en el manejo de la información y un soporte jurídico de las transacciones. Estampado cronológico, más clara su utilización es imposible. Se pueden asegurar las comunicaciones de correo electrónico, implementando una garantía de autenticidad del origen, integridad, confidencialidad y no repudio del mensaje y sus adjuntos.
Servicios de Certificación Digital SERVICIOS AUTORIZADOS ENTIDAD DE CERTIFICACION DIGITAL LEY 527 DECRETO 1747 CIRCULAR UNICA No 10 SIC CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO ARCHIVO CONFIABLE DE MENSAJE DE DATOS SEGURIDAD JURÍDICA GARANTÍA DE FECHA Y HORA ENVIO Y RECEPCIÓN DE MENSAJES DE DATOS ARCHIVO Y CONSERVACIÓN POSTERIOR CONSULTA AUTENTICIDAD INTEGRIDAD NO REPUDIO