CÓDIGO DE BUENAS PRÁCTICAS BANCARIAS PARA LA PROTECCIÓN DE LOS SERVICIOS ELECTRÓNICOS

Documentos relacionados
(129) ANEXO 58 REQUERIMIENTOS TECNICOS PARA LA OPERACION DE MEDIOS ELECTRONICOS PARA LAS OPERACIONES CONTEMPLADAS EN LA SECCION SEGUNDA DEL CAPITULO

ANEXO 58. Para efectos del presente anexo, en adición a las definiciones señaladas en el Artículo 1 de las presentes disposiciones, se entenderá por:

INSTRUCTIVO DE USO PROCESO DE AUTENTICACION FUERTE Y USO DE TOKEN BANCA VIRTUAL/MULTICASH EMPRESAS

Términos y Condiciones

GUIA PARA EL USO DEL SERVICIO DE BANCA ELECTRONICA

TERMINOS Y CONDICIONES DE AFILIACIÓN AL SERVICIO DE BILLETERA ELECTRÓNICA

TRANSACCIONES Y DECLARACIONES ELECTRÓNICAS

EASYLOGIN MANUAL DE USUARIO EASYCASHMANAGEMENT BANCO DEL AUSTRO

Términos y Condiciones

Preguntas frecuentes Banca por internet Banco Ripley

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

Solicitud de Afiliación de Servicios Electrónicos para Persona Jurídica PERFIL PERSONALIZADO

Medidas de Seguridad

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Skimming VIGI PRENSA: Asegure sus Tarjetas Bancarias

DISPOSICIONES DE CARÁCTER GENERAL PARA REGULAR EL SERVICIO DE VALORACIONES NUMÉRICAS PRESTADO POR LAS SOCIEDADES DE INFORMACIÓN CREDITICIA

El acceso y uso de este sitio web se rige bajo los términos descritos a continuación.

MANUAL DE USUARIO PRODEMNET

REGLAMENTO DE CONDICIONES DE USO DEL SERVICIO DE DOMICILIACIÓN (MIS PAGOS AUTOMÁTICOS) PARA SERVICIOS PÚBLICOS Y/O PRIVADOS

Reglamento de Servicios para Banca en Línea del Banco Popular y de Desarrollo Comunal

REGLAMENTO PARA CENTROS PÚBLICOS DEL SISTEMA ADUANERO AUTOMATIZADO (SIDUNEA) Índice

Suscripción y primer ingreso. Paso a Paso. Portal e-banking Pampa empresas

Política de Seguridad Informática

INSTRUCTIVO DE APLICATIVO UCNC MOVIL. Versión Dirigido a: Administradores del Aplicativo: UCNC Móvil

POLÍTICA DE TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES

MANUAL DE PAGO A TRAVÉS DE BOTÓN DE PAGO PSE

INSTRUCTIVO DE AFILIACIÓN A BGR NET

Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Criterios generales de protección de información confidencial y reservada del municipio de Juanacatlán

CLÁUSULAS ABUSIVAS DE EXIMENTES DE RESPONSABILIDAD

GUÍA PARA EL REGISTRO Y ACTIVACIÓN DEL USUARIO EN LLAVE ENLÍNEA

Servicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información

Pago de Impuestos con NPE

Términos y condiciones de uso Solicitud y pago de Certificados electrónicos

M O N E D E R O B A N C A R I O

Manual de usuario para la operación del Sistema de Elaboración y Pago de Declaraciones de los Impuestos de Hospedaje y de Erogaciones por

Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

Disponibilidad de la aplicación BANCOESTADO

Cartera de Consumo / Cartera Comercial BANCA INTERNET PROVINCIA MOVIL. Términos y condiciones

Manual de Capacitación y de Usuario. Módulo: Baja de Documentos Preimpresos

Procedimiento de Acceso al Sistema de Información

REPÚBLICA DE PANAMÁ SUPERINTENDENCIA DE BANCOS

533-G-50 AFILIACIÓN NUEVA BANCA DIGITAL Guía de Ayuda

CIRCULAR EXTERNA 052 DE 2007 modificada por la CE 22/10 y CE 026/11 PROYECTO DE MODIFICACIÓN

INSTRUCTIVO DEL USUARIO EXTERNO DEL REGISTRO DE USUARIOS DEL SITME (RUSITME)

Al solicitar la clave de Internet el Cliente debe aceptar el Reglamento Transaccional Banca Personal o Banca Empresarial (Según sea el caso).

Transferencias a Cuentas de Terceros

INSTRUCTIVO DEL USUARIO EXTERNO DEL REGISTRO DE USUARIOS DEL SITME (RUSITME)

Diario Oficial de la Unión Europea

Por qué es seguro Banca Móvil?

PREGUNTAS FRECUENTES. Afiliación Acceso Transacciones Cuentas de Ahorro Giros Créditos Seguridad Otros AFILIACIÓN ACCESO

CONTRATO DE COLABORACIÓN EMPRESARIAL SUSCRITO ENTRE FIDUCIARIA DAVIVIENDA S.A. Y BANCO DAVIVIENDA S.A.

Envió de Operaciones ACH

Contrato de Servicios Financieros por Internet del Banco Popular y de Desarrollo Comunal

DOCUMENTO PUBLICO ÁREA RESPONSABLE ACTUALIZACIONES Y MODIFICACIONES : GERENCIA

GUIA PARA EL USO DE E-BANKING. Transacciones a un solo click!

REGLAMENTO DE LA LEY Nº QUE REGULA EL ENVÍO DE CORREO ELECTRÓNICO COMERCIAL NO SOLICITADO (SPAM)

ANEXO I PRIMERO.- OBJETO DEL ANEXO

Actualización y alquiler de Licencias para los Servicios Corporativos de Correo Electrónico del Gobierno de Canarias

REGLAMENTO DE REGISTRO DE PROVEEDORES CAPITULO I DISPOSICIONES GENERALES

Acuerdo de políticas de registro para el Campus Virtual Cruz Roja Colombiana

PERIODO CLAVE DE LA ENTIDAD

CIRCULAR. Normas comunes sobre resguardos operacionales y de seguridad para la emisión y operación de tarjetas de pago.

Términos y condiciones de Itaú en Internet y la app Itaú AR

APRECIADO TITULAR DE LA INFORMACIÓN

1. Registro de proveedores en Mer-Link

ACUERDO SUGESE 07-14

Guía de Uso. Administración de Token ME Bit4id - PKI Manager

Normativa de uso del correo electrónico de la UNED (Aprobado por el Comité de Seguridad de la Información el 22 de noviembre de 2016)

CODIGO DE BUENAS PRÁCTICAS

NUEVAS NORMAS DEL BCU. Circular 2244 Sistema Financiero Tercerización de servicios y tercerización de procedimientos de Debida Diligencia

Derechos de los Consumidores Financieros.

Instructivo. Registro y validación de cuentas bancarias de los Usuarios, para interconexión con el sistema de consignaciones INSTRUCTIVO:

MANUAL DE POLÍTICAS DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES ESCANDÓN ABOGADOS

CAPÍTULO VII: REGLAMENTO PARA BURÓS DE INFORMACIÓN CREDITICIA

Pago de Impuestos de Importación de El Salvador

CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES Aplicación de la Política de Seguridad de la Oficina Nacional de Tecnologías de Información

PRINCIPIOS ORIENTADORES

CIRCULAR. RECOPILACIÓN ACTUALIZADA DE NORMAS. Capítulo 1-7.

Autorización de Pago de Servicios

Registro de Regentes Farmacéuticos

Sistema para el Manejo de Solicitudes de Custodios y Autorización de Contraseñas para las Evaluaciones Custodiadas

1. INGRESO FIDUCLICK,

GACETA OFICIAL DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA Número Caracas, miércoles 19 de enero de 2011 REPÚBLICA BOLIVARIANA DE VENEZUELA

BANCOLOMBIA SUCURSAL VIRTUAL EMPRESAS MANUAL DE USUARIO SERVICIO ALTERNO TRANSACCIONAL

BANCA ELECTRÓNICA PARA EMPRESAS GUÍA DE APLICACIONES / SISTEMAS PARA CLIENTES USUARIO FINAL INGRESO AL SISTEMA

Políticas de Seguridad. Política de contraseñas de la Universidad de Sevilla

Rama Judicial del Poder Público Consejo Superior de la Judicatura Sala Administrativa Dirección Ejecutiva de Administración Judicial

Consulta de Pagos Masivos

FOLLETO INFORMATIVO DEL SISTEMA DE RECEPCIÓN, REGISTRO Y EJECUCIÓN DE ÓRDENES Y ASIGNACIÓN DE OPERACIONES DE MERCADO DE CAPITALES.A. DE C.V.

533-G-51 REGENERACIÓN DE CONTRASEÑA NUEVA BANCA DIGITAL Guía de Ayuda

R24 INFORMACIÓN OPERATIVA

ADENDA AL CONTRATO DE AFILIACIÓN AL SISTEMA VISANET PERÚ SOBRE EL SISTEMA DE PAGOS MÓVILES

COMUNICACIÓN A /08/2016 A LAS ENTIDADES FINANCIERAS, A LAS CÁMARAS ELECTRÓNICAS DE COMPENSACIÓN: Ref.: Circular SINAP 1-49

Manual de Usuario para Proponentes

REGLAMENTO PARA ASISTENCIA REMOTA A USUARIOS

BEE - CLAVES Guías del Usuario - Primer Ingreso. bancociudad.com.ar

Qué sistemas y seguridad necesita un comercio para ser Corresponsal?

Guía de Uso. Administración de Token SafeNet 5110 SafeNet Authentication Client

Transcripción:

CÓDIGO DE BUENAS PRÁCTICAS BANCARIAS PARA LA PROTECCIÓN DE LOS SERVICIOS ELECTRÓNICOS Versión revisada y aprobada por el Foro Interbancario de Seguridad en TI de la Cámara de Bancos e Instituciones Financieras de Costa Rica en sesión del 13 de noviembre del 2013

Cámara de Bancos/2 El Foro Interbancario de Seguridad en TI recomienda a los Bancos e Instituciones Financieras adoptar el siguiente: CÓDIGO DE AUTORREGULACIÓN DE BUENAS PRÁCTICAS BANCARIAS PARA LA PROTECCIÓN DE LOS SERVICIOS ELECTRÓNICOS ARTÍCULO 1.- OBJETIVO. El presente Código de Autorregulación de Buenas Prácticas Bancarias se aplicará a los servicios electrónicos que brindan las entidades bancarias y financieras a sus clientes. ARTÍCULO 2.-DEFINICIONES. A los efectos del presente Código de Autorregulación se entenderá por: Servicio electrónico: Aquel que permite al cliente realizar transacciones tales como: consultas, transferencias, retiros, depósitos, pagos, entre otras; mediante sistemas electrónicos provistos por las entidades bancarias y financieras a través de redes privadas y públicas. Autenticación: proceso de verificación de la identidad del cliente del servicio electrónico Dispositivo de autenticación: medio o instrumento utilizado en el proceso de autenticación. ARTÍCULO 3.-CLAÚSULAS CONTRACTUALES. Los bancos e instituciones financieras sólo deberán permitir a sus clientes la utilización de servicios electrónicos, cuando cuenten con el consentimiento expreso de éstos, mediante los mecanismos legales establecidos por la entidad.

Cámara de Bancos/3 En la prestación de servicios electrónicos a sus clientes, será recomendable que los bancos e instituciones financieras establezcan en los reglamentos y contratos respectivos, de manera clara y precisa, lo siguiente: a) Las operaciones que podrán realizarse mediante los servicios electrónicos. b) Los mecanismos de identificación y autenticación del cliente requeridos para la utilización del servicio. c) Los mecanismos de confirmación de las operaciones realizadas mediante los servicios electrónicos, de acuerdo con los medios que cada entidad determine. d) Los derechos y obligaciones correspondientes al uso de los servicios electrónicos, tanto para los bancos e instituciones financieras, como para los clientes. e) Al menos las siguientes obligaciones para los bancos e instituciones financieras, sin perjuicio de que en el contrato respectivo se pacten otras adicionales: i. Comunicar a los clientes los riesgos inherentes a la utilización de los servicios electrónicos y las recomendaciones para prevenirlos. ii. Comunicar a los clientes las recomendaciones para hacer un uso adecuado del servicio. iii. El compromiso de los bancos e instituciones financieras de proteger la información del cliente en su poder. iv. El compromiso de los bancos e instituciones financieras de no requerir información que comprometa la seguridad de sus mecanismos de autenticación. f) Al menos las siguientes obligaciones del cliente, sin perjuicio de que en el contrato respectivo se pacten otras adicionales: i. El compromiso de los clientes de seguir las recomendaciones, instrucciones y procedimientos establecidos por los bancos e instituciones financieras para proteger su información confidencial. ii. Notificar de inmediato al banco o institución financiera cuando se presente alguna de las siguientes situaciones: La pérdida o el robo de los dispositivos de autenticación entregados para el uso de los servicios electrónicos.

Cámara de Bancos/4 transacciones no autorizadas, errores u otras anomalías. Cuando detecte o sospeche alguna irregularidad al utilizar los servicios electrónicos. iii. No anotar en ningún lugar su número de identificación personal, clave, PIN u otro código, especialmente en el dispositivo de autenticación. iv. Suministrar al banco o institución financiera correspondiente una dirección de correo electrónico para recibir notificaciones y mantenerlo actualizado. g) Procedimientos de resolución alterna de conflictos, mediante los cuales las partes se comprometan a resolver en definitiva sus diferencias patrimoniales de naturaleza disponible, utilizando alguno de los mecanismos previstos en la Ley sobre la Resolución Alterna de Conflictos y Promoción de la Paz Social, el Reglamento de Arbitraje de los Centros de Conciliación y Arbitraje u otros existentes en el país. h) La facultad de los bancos e instituciones financieras para solicitar a los clientes la información que estimen necesaria para la prestación del servicio electrónico, así como los medios y procedimientos por los cuales se les solicitará dicha información. i) La facultad de los bancos o instituciones financieras para que, en caso de que detecten eventos que se aparten del uso habitual del cliente, puedan suspender temporalmente los servicios electrónicos hasta tanto puedan ser verificadospor las partes. ARTÍCULO 4.- Es recomendable que en los servicios electrónicos ofrecidos a sus clientes, los bancos e instituciones financieras, cumplan como mínimo con lo siguiente: a) Cifrar la transmisión de información, cuando se realice a través de redes públicas. b) Establecer mecanismos para el proceso de generación y entrega de contraseñas, claves de acceso o dispositivos de autenticación, que aseguren que quien los reciba, sea únicamente el dueño o autorizado de la cuenta. c) Realizar las acciones necesarias para que los clientes no utilicen como clave de acceso, PIN o contraseña, datos fácilmente identificables tales como: i. Datos personales del cliente como su cédula o su nombre. ii. El nombre del banco o institución financiera.

Cámara de Bancos/5 iii. El identificador del cliente dado por el Banco o Institución Financiera. iv. Secuencias ni repeticiones numéricas d) La longitud de las contraseñas o claves de acceso deberá ser de al menos ocho caracteres. e) Las contraseñas o claves de acceso deberán incluir mayúsculas, minúsculas, números y caracteres especiales f) La vigencia máxima de las contraseñas o claves de acceso será de 90 días naturales. g) Las contraseñas o claves de acceso deberán almacenarse utilizando un algoritmo estándar de cifrado de no reversión. h) Implementar controles para evitar la lectura de los caracteres que componen las contraseñas o claves de acceso digitadas por el cliente en la pantalla del medio electrónico de acceso. i) Establecer mecanismos para que, en caso de que exista inactividad en una sesión por parte de un cliente, por un lapso que determine el banco o institución financiera, la sesión se dé por terminada en forma automática. j) En el evento de que en el sitio web o aplicación del Banco o institución financiera se incluyan enlaces (links) a sitios de terceros, se deberá comunicar al cliente que está abandonando el sitio del banco o institución financiera, cuya seguridad no depende, ni es responsabilidad del banco o institución financiera. k) Establecer esquemas de bloqueo automático de contraseñas o claves de acceso, al menos para los casos siguientes: i. Cuando se intente ingresar a los servicios electrónicos utilizando contraseñas o claves de acceso incorrectas. En ningún caso los intentos de acceso fallidos deberían exceder de tres ocasiones consecutivas sin que se genere el bloqueo automático. ii. Cuando el cliente no utilice los servicios electrónicos por un periodo que determine cada banco o institución financiera. iii. La institución deberá prever procedimientos para el restablecimiento del acceso al servicio, que aseguren que el cliente correspondiente sea quien lo restablezca. En el caso de que se utilicen preguntas secretas, o mecanismos similares, las respuestas respectivas serán almacenadas en forma cifrada.

Cámara de Bancos/6 l) Evitar el acceso en forma simultánea mediante la utilización de un mismo Identificador del cliente, a los servicios electrónicos del banco o institución financiera. m) Realizar campañas de difusión de recomendaciones de seguridad dirigidas a sus clientes, para la correcta utilización de los servicios electrónicos. ARTÍCULO 5.- Los bancos e instituciones financieras no solicitarán a los clientes, a través de sus colaboradores o terceros, sus contraseñas o claves de acceso. ARTÍCULO 6.- En caso de que la operación de los servicios electrónicos o su mantenimiento sean tercerizados, el banco o institución financiera deberá establecer los Contratos de Confidencialidad idóneos, para procurar la seguridad de la información. ARTÍCULO 7.- Es recomendable que los bancos e instituciones financieras establezcan los medios, canales y procedimientos mediante los cuales se les solicitará, notificará y actualizará la información a los clientes. ARTÍCULO 8.- Es recomendable que los bancos e instituciones financieras establezcan los controles mínimos que a continuación se mencionan para la utilización de los servicios electrónicos: a) Implementar mecanismos de autenticación de doble factor. b) Establecer los mecanismos de control para el registro de cuentas destino y de ser necesario establecer un período de tiempo para que dichas cuentas queden habilitadas. c) Establecer límites de monto para operaciones monetarias. En caso de que el cliente desee variar el límite preestablecido, cada banco e institución financiera determinará los medios y procedimientos para ese fin.

Cámara de Bancos/7 ARTÍCULO 9.- Los bancos e instituciones financieras que pongan al alcance de los clientes, en sus instalaciones o en áreas de acceso al público, equipos para el uso de los servicios electrónicos, deberán adoptar controles de seguridad de orden físico y lógico, que impidan el acceso o la captura de la información. ARTÍCULO 10.- Es recomendable que los bancos e instituciones financieras mantengan mecanismos de control para la detección de las transacciones que se aparten de los parámetros de uso habitual del cliente, a efecto de que tomen las acciones de protección pertinentes. ARTÍCULO 11.- Los bancos e instituciones financieras deberán contar con bitácoras que permitan la trazabilidad de las transacciones realizadas. Se recomienda registrar al menos la siguiente información: a) Los datos de la conexión y desconexión al servicio electrónico: fecha, hora exacta, dirección origen (IP) así como la identificación del usuario. b) Los datos de la transacción: tipo de transacción, fecha, hora exacta, cuentas relacionadas (origen y destino), monto y moneda. Las bitácoras deberán ser almacenadas de forma segura y contemplar mecanismos de sólo lectura, así como mantener procedimientos de control interno para su acceso y disponibilidad. ARTÍCULO12.- Los bancos e instituciones financieras deberán establecer las políticas y procedimientos para la gestión de incidentes de seguridad de información que se puedan suscitar durante la prestación de los servicios electrónicos.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback