Post on 06-Apr-2020
1
Riesgo Operacional y Tecnológico en las SOCAP
Marco regulatorio
Comisión Nacional Bancaria y de Valores Vicepresidencia Técnica
Dirección General de Supervisión de Riesgo Operacional y Tecnológico
Ciudad de MéxicoJulio 2018
La regulación en materia de Contratación deTerceros, Seguridad y Medios electrónicos estábasada en mejores prácticas a nivel internacionaly metodologías, como COBIT, que tienen unaaceptación a nivel mundial
Se puede contratar
Sistemas informáticos
Procesos operativos
Tercerización de servicios
Marco regulatorio
ARTÍCULOS 17 BIS 34 Y 35 – EN TÉRMINOS GENERALES
17 BIS 43 – DE LA CONTRATACIÓN CON TERCEROS DE SERVICIOS O COMISIONES QUE
TENGAN POR OBJETO LA REALIZACIÓN DE PROCESOS OPERATIVOS O ADMINISTRACIÓN DE
BASES DE DATOS Y SISTEMAS INFORMÁTICOS.
DISPOSICIONES DE CARÁCTER GENERAL
En estas secciones de la regulación se abordan los temas de:
✓ Requisitos a cumplir por parte de las Entidades, respecto al proceso decontratación y el aviso o solicitud de autorización a la CNBV.
✓ Obligaciones de los proveedores.
✓ Responsabilidades de las entidades.
¿ Cuándo debo realizar un trámite ante la CNBV?
✓ Cuando el proveedor tenga acceso a información sensible de la entidad o de lossocios, como números de cuenta, datos personales y saldos de cuentas de créditoo captación.
Este criterio considera transacciones realizadas con tarjetas de débito en cajerosautomáticos o terminales punto de venta (comercios).
Consideraciones
AVISO
AUTORIZA
Cuando la información a la
que tenga acceso el
proveedor se encuentre
en territorio nacional
Cuando la información sea ubicada en el extranjero
¿Cuándo se debe enviar Aviso o Autorización?
Las facultades de aprobación de
la CNBV no cambian, en los dos
casos
Los requisitos de autorización
son muy similares para los dos
procesos
La problemática más frecuente la encontramos en la falta de atención, por
parte de las Sociedades, a las actividades que realizan los proveedores.
Responsabilidades de las entidades
El Artículo 17 Bis 47, establece que “las Sociedades responderán en todo momentopor el servicio que terceros autorizados por éstas, proporcionen a los Socios, auncuando la realización de las operaciones correspondientes se lleve a cabo en términosdistintos a los pactados, así como por el incumplimiento a las disposiciones en queincurran dichos terceros.
Por su parte, el Artículo 17 Bis 35 último párrafo, indica que “los requerimientos deinformación y, en su caso, las observaciones o medidas correctivas que deriven de lasupervisión que realice la Comisión […], se realizarán directamente a la Sociedad…
Responsabilidades de las entidades
La problemática más frecuente la encontramos en la carencia de planes para
continuar ofreciendo el servicio a sus socios en caso de que el proveedor, o
la propia Entidad, tenga algún evento contingente.
El Artículo 17 Bis 35, en su fracción IV, inciso e, señala que las Entidades deben contarcon políticas y procedimientos para vigilar el desempeño del tercero, las cuales debencontener aspectos relativos a planes de continuidad del negocio, incluyendo losprocedimientos de contingencia en caso de desastres.
Por su parte, los diferentes artículos relacionados con Control interno, dependiendodel nivel de operación, como el 31, fracción II, inciso C, numeral 4, indican, lanecesidad de contar con políticas, procedimientos y registros de planes decontingencia, a fin de asegurar la capacidad y continuidad de los sistemas.
De lo anterior se desprende que la continuidad en los servicios que sean contratados aterceros, es responsabilidad de las Entidades y de los terceros.
Las Entidades deberán considerar al menos:
Estrategia de Continuidad de Negocio
✓ Estructura organizacional y segregación de funciones.
✓ Realización y Aprobación de un análisis de impacto al negocio (BIA).
✓ Aprobación del PCN.
Alineación del PCN con el BIA
✓ PCN basado en un BIA (proceso críticos, tiempo y punto de recuperación).
✓ DRP incluido como parte del PCN y basado en BIA.
Documentación del PCN, incluido el DRP
✓ Documentación de las guías para la ejecución del PCN.
✓ Disponibilidad de la documentación.
Continuidad del Negocio
BIA – Análisis de Impacto al NegocioPCN – Plan de Continuidad del Negocio DRP – Plan de Recuperación de Desastres
Ejecución de pruebas al PCN
✓ Definición de un programa de pruebas del PCN.
✓ Evaluación de resultados de las pruebas.
✓ Planes de acción sobre los hallazgos detectados como parte de las pruebas.
Mecanismos para el monitoreo del PCN
✓ Actualización del PCN.
✓ Evaluación del PCN.
✓ Reporte a la Comisión sobre ejecuciones de su PCN.
✓ Reporte de contingencias operativas.
Continuidad del Negocio
Las Entidades deberán considerar al menos:
Regulación aplicable
CAPÍTULO IV, ARTÍCULO 17 BIS…
SE CONTEMPLA EL TEMA DE MEDIOS ELECTRÓNICOS
Requerimientos técnicos para la operación de medios electrónicos para operaciones, referente a comisionistas
P
Lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico
Q
Anexos
Pago MóvilServicios Avanzados
Móviles Servicio por Internet
Canales Electrónicos
Servicio Telefónico Voz a Voz
Servicio Host to Host
Servicio Telefónico Audio Respuesta
Medios electrónicos disponibles
TPV ATM
Categoría 2 (FAC2) sabe:Contraseñas o Número de Identificación Personal (NIP).Longitud mínima de seis caracteres:
Servicio Móvil Básico, cincoServicio por Internet, ocho ATM y TPV, cuatro
Protección de lectura en pantalla.
Factores de Autenticación
Categoría 1 (FAC1) información que proporciona el usuario:Cuestionarios en CAT – Contratación de servicio móvil básico, desbloqueo de FAC, reactivar o desactivar temporalmente servicio.
Categoría 3 (FAC3) tiene:Dispositivos generadores de contraseñas dinámicas de un solo uso (OTP).
Tablas aleatorias de contraseñas.Circuitos integrados (CHIP) en tarjetas o dispositivos móviles.
Categoría 4 (FAC4) es:Factores biométricos como huellas dactilares, geometría de mano, patrones en iris o retina, otros.
Los dispositivos biométricos deben mantener elementos que aseguren que la información sea distinta cada vez que sea generada, a fin de constituir claves de acceso de un solo uso y que en ningún caso pueda repetirse o duplicarse con la de otro usuario.
Operación del servicio
• Autenticación Entidad - Cliente
• Doble factor de autenticación para operaciones de riesgo
• Pre registro de cuentas destino
• Establecimiento de límites de operación
• Notificaciones
• Medios electrónicos habilitados para lectura de CHIP
Seguridad, confidencialidad e integridad de la información
• Cifrado de datos sensibles
• Controles de acceso a la información
• Almacenamiento de llaves criptográficas y proceso de cifrado y descifrado, en dispositivos de alta seguridad, tales como HSM
Monitoreo, control y continuidad de operaciones
• Prevención de fraudes
• Monitoreo
• Revisiones de seguridad
• Soporte técnico y continuidad de la operación
2FA – Segundo factor de autenticación
Contratación y activación
• Consentimiento expreso del usuario
• Contratación a través de medios
electrónicos utilizando un 2FA
• Cancelar el servicio debe ser similar
en tiempo y canales al proceso de
contratación
Controles regulatorios para medios electrónicos
2F A + Encripción + Registro de cuentas destino +
NotificacionesNIP + NotificacionesNIPSin NIP
Pago Móvil, Servicios Avanzados Móviles
(Monedero Electrónico)
Pago Móvil
Pago Móvil
0 Micro Pago
70 250 1,500Baja Cuantía
Mediana Cuantía
Límite de acuerdo a la Institución
Límite del Usuario
Contratación en CAT
Contratación en sucursal u otro Medio Electrónico con 2FA (Confirmación mediante un 2FA transcurridos 30 min)
Uso de 2FA para registro de cuentas destino, por el mismo medio
Servicios Avanzados Móviles
SIN PRE REGISTRO SIN PRE REGISTRO
Máximo 1,500 al día y 6,000 al mes
CON PREREGISTRO CON PRE REGISTRO con 2FA
Registros de Cuentas Destino
Controles basados en riesgo
UDI
2FA – Segundo factor de autenticación
Control Básico Avanzado
Protección de información en caso de usar SMS
NoEntidades pagan reclamaciones
Sí
Uso de USSD (Servicio Suplementario de Datos no Estructurados)*
NoEntidades pagan reclamaciones
Sí (Mensaje cifrado)
Enmascarar NIPNo
Entidades pagan reclamacionesSí
Dispositivo móvil asociado al cliente No Sí
Sólo una cuenta asociada al servicio Sí No
Pre registro de cuentas nuevas No (<250 UDI) Límite de Entidad
Uso de dos factores de autenticación No Sí
Sistemas de Prevención de Lavado de Dinero y Fraudes
Sí Sí
Suspensión temporal del servicio Sí Sí
* También llamados Códigos rápidos o Códigos de función - protocolo usado para el envío de datos a través de móviles GSM, similar al SMS. El USSD puede ser usado para la navegación WAP, servicio de devolución de llamada de prepago, servicios de dinero móvil, servicios de contenidos basados en la localización, servicios de información basados en menús interactivos.
Controles principales en Servicios Móviles
Los medios electrónicos deben tener capacidad de:
✓ Solicitar confirmación del usuario antes de realizar operaciones monetarias con
terceros u otras entidades.
✓ Generación de comprobantes para todas las operaciones realizadas en cualquier
Servicio Electrónico.
Confirmaciones y comprobantes
Notificaciones a través de un medio diferente:
✓ Transferencias a cuentas de terceros u otras entidades.
✓ Pagos de créditos, servicios e impuestos.
✓ Modificación de límites de monto.
✓ Registro de cuentas destino de terceros u otras entidades.
✓ Alta y modificación del medio de notificación.
✓ Contratación de otros Servicios Electrónicos.
✓ Desbloqueo del servicio y reactivación.
✓ Cambios de contraseñas.
✓ Retiro de efectivo en Cajeros Automáticos.
Excepciones:
• ATM y TPV • Límites: Acumulado diario < 600 UDI o 250 UDI por operación individual.
• Servicio Móvil Básico• Solo si existen esquemas de prevención de fraudes.
Notificaciones
Cifrado de información sensible:
✓ Implementar mecanismos de cifrado en la Transmisión de información
✓ Se podrán implementar controles compensatorios para el Servicio MóvilBásico, Servicio Telefónico Voz a Voz y Audio Respuesta
✓ En el Almacenamiento en Medio Electrónico:
✓ Cuentas
✓ Operaciones de los usuarios
✓ Contraseñas
✓ NIP
✓ Respuestas secretas
✓ Factores de Autenticación
✓ Prohibido transmitir contraseñas y NIP vía correo electrónico,
✓ Mensajería instantánea o mensajes de texto SMS, sin mecanismos de cifrado
✓ Se exceptúa Servicio Móvil Básico (Autorización CNBV)
✓ Deberán mantener controles para el acceso a la información de las bases de datos
Seguridad de la Información
Mecanismos para detectar y evitar operaciones irregulares:
✓ Aplicativos y procedimientos para prevención de fraudes.
✓ Bitácoras de todos los eventos, servicios y operaciones (Incluyendo grabaciones Voz a Voz):
✓ Registro.
✓ Revisión periódica.
✓ Entrega a clientes que así lo requieran.
✓ Medios y procedimientos para reporte de robo o extravío de Factores de Autenticación.
✓ Base de datos centralizada, con operaciones no reconocidas por usuarios.
✓ Revisiones de seguridad a la infraestructura de cualquier Servicio Electrónico, al menos una vez al año, incluyendo a los dispositivos dispuestos para su uso por los usuarios.
✓ Dispositivos y aplicativos de detección y prevención de eventos de seguridad en infraestructura de servicio electrónico.
Prevención de operaciones irregulares
✓ Enviar reporte a CNBV (5 días naturales después de evento).
✓ Investigación inmediata.
✓ Notificación a clientes y usuarios afectados (Incluir riesgos y medidas adoptadas).
✓ Enviar a CNBV el resultado de la investigación.
En caso de que la información sensible del usuario
sea extraída, extraviada o las Entidades supongan o
sospechen de algún incidente que involucre accesos
no autorizados a dicha información, las Entidades
deberán:
Monitoreo de incidentes de seguridad