REPÚBLICA DE HONDURAS -r~~IQAt~A, M. D. C., 10 DE DICI~iBREDE-L200S N°. 30,872

nFinanciero; en sesión del 22 de noviembre de 2005,resuelve.:~~;~:2~~'tat~~f; L9raaOn al de

Aprobar lassigviente~L:7d~zna~6 'JI ~ ~

"RESOLUCIÓN No.1301/22-11-2005.- La

Comisión Nacional de Bancos y Seguros,

NORlWAS PARA REGULAR LAADMINISTRACIÓN DE LAS

TECNOLOGÍAS DE INFORlVIACIÓN yCOMUNICACIONES EN LAS

INSTITUCIONES DEL SISTEMAFINANCIERO

CONSIDERANDO: Que de conformídad conlas facultades legales concedidas a la ComisiónNacional de Bancos y Seguros, respecto a lasinstituciones del sistema financiero y demásinstituciones supervisadas, ésta emitirá las normasprudenciales que deberán cumplir las mismas.,basándose en la legislación vigente y en los acuerdos

y prácticas internacionales.

CAPÍTULO 1DISPOSICIONES GENERALES

ARTÍCULO 1.- ObjetoLas presentes normas, tienen por objeto regular la

administración de las tecnologías de información y~omunicaciones utilizadas por las instituciones delsistema financiero; asimismo, !egular los serviciostinancieros y operaciones realizadas por medio deItedes electrónicas de uso externo e interno.

CONSIDERANDO: Que conforme a 10

establecido en el Articulo 50 de la Ley del Sistema

Financiero, las instituciones del sistema financiero

podrán ofrecer y prestar todos los productos y

servicios los mencionados en el Artículo 46 de dicha

Ley por medios electrónicos; así como que la

Comisión emitirá normas de carácter general. para

regular las operaciones que efectúen y servicios que

presten las instituciones por medios electrónicos.

La Junta Directiva o Consejo de AdministraciónGie las instituciones del sistema financiero, en adelante~unta o Consejo, deberán prestar la debida~mportancia a la administración del riesgo derivado~e los sistemas de información, tomando en cuenta

;

$ue su continuidad, desarrollo y funcionamiento40nstituyen el elemento central para su operatividady su manejoadministtatiyo y financiero.CONSIDERANDO: Que conforme lo

establecido en la Ley de la Comisión Nacional de

Bancos y Seguros, ésta se encuentra sujeta a ciertos

criterios, entre los cuales se señala el de promover la

adopción de buenas prácticas en la administración

de los riesgos inherentes a las actividades que realizan

las instituciones supervisadas.

ARTÍCULO 2.- AlcanceLas presentes normas están en concordancia con

Tos principios del Comité de Basilea y el estándarinternacional ISO/lEC 17799:2000, emitidos enmateria de banca electrónica y administración de la

$egurídad Informática y consrituyenuna guía general¡para la documentación formal e ímplementación de~a seguridad en las tecnologías de información y

i

~omunicacionesde las instituciones del sistema

fInanciero.

POR TANTO: Con fundamento en los artículos1,6, 13 Y .14 de la Ley de la Comisión Nacional deBancos y Seguros; y, 50 de la Ley del Sistema

B.

RJ¡;f~B)~ICADE

HONDUR~~TEGLC~~LPA. M. ¡j.t,)Q DE QJ.CIE~l3RE DELlQQ5 N". 3 O;!}J 2

'Estas disposiciones son d~ obligatoriocumplimiento para las demás institucionessupervisadas por la Comisión, en lo que les seaaplicable, en función de su tamaño y comple.iidad.

ontraseña Segura o Fuerte: Contraseñase uso informático que deben cumplir con las

specificacionesde la poJítica de contraseñase la institución y que sean dificiles o casi

mposiblesde adivinar o hurtar

ARTÍCUI.lO 3.- DefinicionesPara los efectos de aplicación de la presente

normativa y bajo la perspectiva de la tecnología deiriforn1ación, deberan considerarse las siguientesdefiniciones:

8) Discontinuidad de Servicio Significativo:Incapacidad de continuar p¡"estando los~er;ViCi~S def~nidos como c!ític~s por. la Alta

erencla, y SIn l,os cuales se vena senan1ente

fectada la continuidad en el mercado"t

). Ataques de Denegación de Servicio: Envíode solicitudes a servidores o equipos de

." .,.comumcaClon que provoquen saturaclon ensus memorias para que de esta forma dejen defuncionar temporalmente y no presten 1.osservicios que tengan configurados.

9) l-Iash: Cadena de caracteres generada por un;j¡lgoritmode encriptación, el cual proporciona

n valor estadísticamente único para uno1)junto de datos de entrada. Bajo esta técnicae domprobará la validez de1os datos recibidos, como en el caso de1as contraseñas, cifrarnainforrnación en un solo sentido.

2) Ataques de Diccionario: Prueba decombinaciones de todos los usuarios ycontraseñas posibles basados en un diccionarioen español, inglés o cualquier otro idioma, paraingresar de manera ilegal a un sistemainformático.

10) tocalizador Uniforme de Recursos (URL):Cadena de caracteres con la cual se asignadirección única a cada uno de los recursos de~'1fqnnaCiÓn disponibles en Internet. Existe un

~ único para cada página de cada uno de

1 s documentos en Internet.

3) Ataques de Fuerza Bruta: Prueba decombinaciones de todos los usuarios ycontraseñas posibles basados en todos loscaracteres posibles, para ingresar ilegalmentea un sistema informático.

11) Memoria Caché: Memoria a la qu~ unaconfputadora puede acceder más rápidamenteque! a la memoria normal de la computadora(M4moria RAM), la computadora primerobustainformación en la memoria cachéy luegoel1l~ RAl\1.4) Banca Electrónica: Servicios y operaciones

proporcionados a clientes PO! medioselectrónicos conectados al sistema deproducción, utilizando tecnologías, como:telefonía, Internet, celulares, o unacombinación entre redes de comunicaciones..

12) No Repudio: Cualidad o característica de unadetem1inada comunicación, a través de la cuals~ protege a]as partes de la comunicación frentea !la negación de que dicha comunicación hayaof ~rido.. Existe no ~ep~dio cu~do se p:oducee efecto lega] o practlco de dlCho atnbuto ocaracterística.5) Canal de Comunicación: Métodos

tecnológicos para la comunicación entre losusuarios de banca electrónica y las institucionesdel sistema financiero entre otros Internet,telefonfa, etc.

3) Pared de Fuego (Firewall): Dispositivos deSeguridad (hardware o software) utilizadospal-a restringir el acceso en un ambiente der~des informática's interconectadas, quep~rmiten el acceso a ciertos serviciospreviamente definidos.

6) La Comisión o CNBS: Comisión Nacionalde Bancos y Seguros.

R.

REPUBL.lCA DEH6N~~s~~~

~R.~,~I.

D. C., 10 DE DICIEMBRE DEL 2005-~N".

30,ffi

4) Penetración Significativa: Ataques a una redinformática que alteren la disponibilidad,

integridad yconfidencialidad de la informaciónsensitivadela institución.

21) Tercerización (Outsourcing): Contrato..-,

12) Tercerización Significativa: Tercerizacióndeservicios que son de carácter vital para unacoppañía, ya que si estos servicios fallanprovocarian un impacto en la continuidad del

negocIo.

15) Procedimientos Almacenados (StoredProcedure): Conjunto de instrucciones uórdenes precompiladas, escritas en un lenguajepropietario como PL/SQL para Oracledatabas e o PL/PgSQL para PostgreSQL, quepueden ser llamados usando el nombre que seles haya asignado. Son esencialmente cajas

negras.

23) Valor SALT: Valor generado al azar, que esusado para modificar elhash de una contraseña,el cual previene las colisiones de contraseñas,es decir si más de un usuario selecciona lamisma contraseña, la cadena de caracteresgenerada utilizando un valor SALT serádiferente.

16) Red de Producción: Red que está compuestapor computadoras, servidores, archivos, basesde datos, equipos de c)municación,dispositivos de seguridad, etc., que contieneny transmiten datos reales y oficiales de unainstitución.

CAPITULO IISUPERVISIÓN Y ADMINISTRt:\CIÓN

7) Servidor: Computadora que presta serviciosde red a los usuarios de la misma. Estosservicios pueden ser bases de datos, impresión,antivirus,correo electrónico, aplicaciones, etc.

SECCIÓN 1DE LA ADMINISTRACIÓN

1.1 ARTÍCULO 4.- Políticas de Administración11 La Junta o Consejo deberá tener como mínimo

I ~na reun~ó~ anual para establec~r.orev~~ar las pol~ti~asy,proCedlInlentos sobre laadInlllistraclon tecnologlcay seguridad de la información, que conlleven a lacbrrecta toma de decisiones. Asimismo, deberácbnocer y discutir, por lo menos cuatro (4) veces alafto, los informes que sobre este particular.Ie presente

19) Sistema de Detección de Intrusos (IDS): l'ilGerenc:cia General. Lo tratado en dichas reuniones,Dispositivo o programa de cómputo que de deberá quedar registrado en el libro de actasacuerdo a una base de datos, detecta patrones cpaespondiente.que son conocidos mundialmente comoataques o intentos de intrusión a redes ycomputadoras,enviando alertas y presentando

reportes.

18) Sesión: Es e1.periodo de tiempo transcuITidodesde que un usuario o un equipo informáticoinicia conexión, con otro equipo previapresentación de credenciales, hasta el momentoque la conexión finaliza.

ARTÍCULO 5.- Políticas de las Tecnologíasde Información y Comunicaciones

Las políticas mencionadas en el Artículo anteriord~berán incluir al menos temas como:

20) Tecnologías de Información y Comunica-ciones (TIC): Recursos tecnológicos usadospara crear, almacenar, intercambiar y usarinformación ensus diferentes formatos (datos,

voz, imágenes, videos, presentaciones, etc.).

a) S~guridad de la información incluyendo:.Uso de Internet;.Uso del Cor:reo Electrónico;.Uso de las estaciones de Trabajo;

B.

meaIante el cual una compafiia provee servIcIosa otra. Estos servicios podrían ser provistosdentro de la misma institución.

ItEI}{]:!lLICADEHQNDUR:.¡S .T~~UClGAL~'!",M. D. (--

_10 DE DICIE~DEL 2005--N°. 30,872

~_slmismo, la unidad responsable deberáestrhctur~r ~n programa de capacita~~ón de acuer~ocon ~as pnorl.dadesde la administrac1.on, que peffil1.ta

n11 in~izar 1as col1tribucione.s q~: brinde ~] ?ers~l1al

del e;l de TIC, Esta capacltaC1.0n debera IncluIrse

en presupuesto anual y ser consistente con los.., ...,

req , nmlentos mmlmos de la organlzaClon.

~"..'.!UJ d la cunseCUCIon ae ¡OS ObjetIvoS planLeaUU~j

la i~stitución sup~rvisada deberá procurar que la

unid~d antes mencionada se encuentre en un nivel

razo~able de independencia funcional dentro de la

estrlif;tura organizacional.

.Proceso Antivirus' ,

.Adquisición de Hardware y Software;

.Seguridad de Contraseñas;

.Seguridad de la Información Sensitiva;

.Seguridad de Servidores;

.Seguridad de equipos de comunicación;.

.Seguridad en redes inalámbricas (si existen);

.Seguridad en Redes con Terceros;

.Acceso y Configuración. remotos;

.Administración de respaldos; y,

.P.dministración de dispositivos móviles dealmacenamiento magI1ético.

b) Procesos de respaldo y recuperación en casode un desastre y situaciones de malfuncionamiento de uno o varios componentesdel sistema de información;

ARTÍCULO 8,- Establecimiento de Políticas

y EstrategiasL~ Gerencia General deberá definir y proponer a

;

la lupta o Consejo., los procesos críticos para los

cuale~ es ne~esario establecer las politicasy estrategiasde tal Iforn1a que se asegure la integridad y continuidad

de l~s operaciones. Asimismo, las medidas y

mec~ismos para la difusión óptima de dichas

políti~as.

c) Tercerización (outsourcing);

Mantenimiento y desarrollo de sistemas; ya

Documentación de todos los procesos que sedesarrollan en el área de TIC.

El iAdminjstrador de Segurjdad Informática deberápropqner a la Gerencia General las políticas y

estrat~gias conespondientes.

ARTÍCULO 6.- Nombramiento de Ejecutivo

EspecializadoLa Gerencia General deberá nombrar un ejecutivo

especializado, responsable de todos los asuntos Lo~ eventos calificados deberán ser comunicadosrelacionados con las tecnologías de la informaciÓn. a la G~rencia General, al Administrador de SeguridadEste ejecutivo deberá tener al menos formación Inf°rrVática y las dependencias involucradas, para supro~esional s~~re la adminis~ración de las t~cno!ogías respe4ti.vo análisis y tomar las medidas coITectivas

de lnformaclon en mater.¡a de comurncaclones, neces~rlas.sistemas operativos, desarrollo de software, base dedatos, entre otros y deberá tener experienciacomprobada1en el campo de la informática.

SECCIÓN IIPROCEDIMIENTOS

ARTÍCUIJO 7.- Unidad ResponsableDentro de la estructura organizacional, la unidad

responsable qe administrar los aspectos tecnológicosy de seguridad de la información deberá contar conel manual de puestos para el personal de TIC, quedeberá incluir los perfiles de puestos y la segregaciónde funciones y de autoridad.

ARTÍCULO 9.- Procedimientos Formales

Lajinstitución deberá desar:o~lar, implementar,actual1¡zar y documentar prOCedImIentos formales en

relaci~ ala planeación, organización, adquisición,implementación, entrega de servicios por mediostecnol~gicos, soporte y monitoreo; y deberá ser

diligen~e en su ejecución y divulgación.

~

10 DE DICIEl\'IBRE DEL 2005--- N°, 30,872

SECCIÓN IIIHISTORIAL Y MONITOREO

La institución deberá proveerle a la Auditoríalnternalasherramientasnecesarias para la realizacióny control del ambiente de la TIC.

ARTÍCULO 10.- Mantenimiento de RegistrosLa institución deberá mantener registros de las

auditorías a los sistemas automatizados, basados enun análisis de riesgos, en bitácoras ~utomatizadasregistrando los accesos, transacciones y consultasrealizadas tanto a los sistemas de información comoa los dispositivos de comunicaciones y seguridad.EStos registros deberán como mínimo identificar lapersona, lugar, tiempo y las acciones relacionadascon el apli~ativo utilizado. .

ARTÍCULO 14.- Responsabilidad del AuditorInterno

El Auditor Interno será responsable de que, aunen el caso de que la Auditoría de Sistemas sea llevadaél: cabo por medio de la Tercerización (outsourcing)se cumplan las disposiciones contenidas en las NormasMínimas para el Funcionamiento de las Unidades deAuditoría Interna de las Instituciones del SistemaRinanciero y en las presentes normas.

ARTÍCULO 11.- Período de ResguardoLa institución deberá resguardar los registros

previstos en eí Artículo anterior. El periodo deresguardo será de 5 años para las transacciones y 6meses para la consulta.

SECCIÓN VADMINISTRACIÓN DE RIESGOS

AR'fÍCULO 15.- Factores de RiesgoLa institución deberá realizar sus auditorías de

sistemas basadas en un análisis de riesgos ycumpliendo las normativas existentes. Esta auditoriadeberá incluir todos los riesgos potenciales en laadministración de las Tecnologías de Información yComunicaciones, incluyendo al menos los factores

siguientes:

ARTÍCULO 12.- Mantenimiento de BitácorasLa institución, si así lo determina, podrá mantener

informados a sus clientes y empleados de la existenciadel mantenimiento de bitácoras que registrarán todaslas actividades con los sistemas de información de lainstitución.

Los usuarios externos e internos del sistemade información;

Con respecto a las disposiciones del Artículo 8,el sistema de administración de registros deberá crearlas alertas correspondientes para las autoridadesinternas y externas, especialmente en los casos ~eactividades externas no autorizadas y también aquellasactividades excepcionales realizadas por los diferentestipos de usuarios.

E] ambiente de] sistema, la operatividad delsistema y sus implicaciones sobre el negocio;

Los niveles de acceso y la sensibilidad de lainformación;

SECCIÓN IVAUDITORÍA INTERNA La calidad de la informaciór

ARTÍCULO 13.- Auditoría de SistemasLa Auditoria Interna de la institución deberá audítar

la Tecnología de Información y Comunicación (TIC)a fin de verificar la integridad, disponibilidad yconfidencialidad de la información. La persona(s)encargada(s) de auditar las TIC deberá contar conexperiencia y entrenamiento calificado para llevar acabo este tipo de auditorias basadas en las mejoresprácticas existentes en el mercado tales como COBITe 180-17799.

La Tercerización (outsourcing);y

Planes de contingenciadesastres.

'ecuperacióJ

ARTÍCULO 16.- Proceso de AuditoríaBasada en Riesgos

El proceso de auditoria basada en riesgos deberá$er pennanente y se revisará de acuerdo a los cambios~n los factores de riesgos.

B.

IZEPLBfE.~ DE HONDI.;I~~T~GUClli~"f,~. 1\1. D~, lO~E DICrE~IBRE DEL 2~ N°. 30.872

.La institución deberá, conforme ala administracióny análisis de riesgos, tomar las medidas necesariaspara minimizar los impactos negativos en toda suinfraestructura de Tecnologías de InfonnacÍón yComunicaciones

Identificar e implementar herramientas deseguridad informática que aseguren que lainformación y el equipamiento, no seanutilizados en perjuicio de la institución y losusuanos;

~ Controlar el uso IndebIdo(utilitarios) o herraInientas (manipulación de los datos el

sisten1as; y,

SECCIÓN VJSEGURJDAD DE LA INFORI\1ACIÓN

le programasle penni ten lalos diferentes

ARTÍCULO 1.7.- Administrador de SeguridadInformática

La Junta o Consejo deberá nombrar a unAdministrador de Segurídad Informátíca, el cualdeberá estar subordínado a ia Gerencía General de laínstitución.

Desarrollar por lo menos una vez al año,evaluaciones de seguridad a las tecnologíasde información y comunicaciones de la...,.mstltuclon.

L~ institución deberá proveer al Administrador deSeg~ridad Informática los recursos necesarios ycapa~itación continua para que cumpla sus funciones.

Las.funciones de este Administrador de SeguridadInformática será11 definidas evitando conflictos deinterés, por tanto deberá ser independiente delejecutivo espec"ializado responsable de laadministración de las Tecnologías de Información y

Comunicaciones.

ARTÍCULO 19.- Separación de AmbientesL~ institución deberá procurar separar fisicarnente

y ló$icamente los ambientes de produccióndesartollo y pruebas.

CAPÍTULO IIIINVESTIGACIÓN DE SEGURIDAD

SECCIÓN ÚNICA

ARTÍCUl~O 18.- Perfil de ResponsabilidadesLa Gerencia General de 1a institución deberá definir

las funciones y 1as responsabilidades de1Administrador de Seguridad Informática. Dichasfunciones y responsabi1idades comprenderán como

mínimo las siguientes: ARTÍCUI-,O 20.- Evaluaciones de SeguridadLa¡s evaluaciones de seguridad deberán medir la

eficiehcia de los medios de protección e incluirpropu~stas para corregir las vulnerabilidades. Susresult~dosdeberán presentarse a la Gerencia General

~n un I reporte de~llad? co~ recomendaci~ne~, quemclu~a ~n sumaria ejecutIvo con los pnncIpales

ha1laztos.

Proponer a la institución .las políticas, normasy procedimientos de seguridad infonnática;

Documentar e implementar las políticas,normas y procedimientos de seguridadinformática aprobadas por la Junta o Consejo;

Al~TÍCUIJO 21.- Implementación de Cambios

Pre{Vio a la imp1aI1tación de cambios en: el an1biente

de protlucción; los sistemas de alto riesgo definidos

por la ~dmínistración; y los servicios fmancieros por

medios electrónicos, deberá realizarse una evaluación

de seguridad. Asimismo, cuando ocurran cambiossignifik:ativos en el ambiente tecnológico en que

operan1los sistemas de información, o se imp1ementen

nuevo$ sistemas.

Verificar que los usuarios de los distintossistemas y recursos tecnológicos cumplan con

las políticas, normas y procedimientos

aprobados;

Tomar las acciones correctivas que garantjcenla seguridad informática requerida, una vez que

se hayan identificado violaciones;

~~LlC.~ DEH()NDUI{AS -TEGUCIGALp,,\. ¡VI. ~-" 10 DE DIC~Vl~I{E DEL 2005 N°. 30,812

ARTÍCULO 22.-0tras Pruebas de SeguridadPara evitar conflictos de interés y poder tomar las

medidas cautelares correspondientes, las institucionespodrán realizar otras pruebas por entes o

usuarios internos y externos atendiendo su relacióncon las unidades internas, procesos y servicios.

protesionaleARTÍCULO 27.- Control de AccesoLas políticas de control de acceso a los sistemas

de información deberán establecerse cumpliendo conlas disposiciones vigentes y las mejores prácticasinternacionales.

ARTÍCULO 23.- Informe de SeguridadLa Gerencia General, para minimizar los riesgos,

deberá implementar las recomendacion~s contenidasen el in forme de seguri dad, y establ ecer un Las institucioryes deberáI1 utilizar tecnologías quecronogramade actividades a realizar. combinen la identificación y la autenticación del

usuario, con el objeto de garantizar la confidencialidade integridad de la información, el no repudio delusuario, controlar los accesos de alto riesgo a lossistemas de información, y en todos los casos deacceso remoto a los equipos t~cnológicos realizadospor los empleados y terceros.

CAPÍTULO IVCONTROL DE ACCESO, ENCRIPTACIÓN

y SEGURIDAD EN LA RED

SECCIÓN 1CONTROL DE ACCESO

ARfícULO 28.- Tiempo de ExpiraciónLa institución deberá fijar el tiempo de expiración

de una sesión, cuando iniciada la misma no se hayanej~cutado actividades después de cierto período detiempo, determinado mediante un análisis de riesgoso de acuerdo a las mejores prácticas internacionales.

ARTÍCULO 24.- Identificación de AccesoLa institución deberá asignar una identificación

única y pe!sonal de cualquier usuario con acceso alsistema de inforrnación,como una condición previaa la autorización de acceso..

SECCIÓN 11ENCRIPTACIÓN y SEGURIDAD EN

RED

ARTÍCULO 25.- Reglas y Procedimientos Ipara Acceso

La institución deberá determinar las reglas y elprocedimiento para dicha identificación, así comopara el otorgamiento de autorizaciones a terceros queaccedan a los componentes de la tecnología deinfoffi1ación. Estas reglas deberán tomar en cuentalos riesgos derivados de las responsabilidades yautorizaciones dadas a los u~uarios de acuerdo a suagrupación, así como la sensibilidad de la infornlacióny los derecho~ a las aplicaciones y a cualquier otrocomponente de la tecnología.

A

ARTÍCULO 29.- Encriptación de InformaciónLa institución deberá determinar, de acuerdo a un¡

análisis de riesgos, la necesidad de encriptar lainformación a ser transmitida y almacenada.

ARTÍCULO 30.- Certificación de la Identidaddel Sitio de Internet

La institución deberá tornar las medidas necesariasjpara certificar la identidad del sitio de Internet y evitar¡posibles imitaciones. Asimismo, deberá proveer yFapacitar a sus clientes con las metodol.ogías yr:e~~ismos apropiados de identificación en el accesoal SItIO de Internet.

L L 1.11;) 1.1 I.Ul.;l UJ I deberá 1.I1.I}!11;

para la administración, controlautorizaciones del sistema.

a ntar mecanIsmosmoni toreo de las

ARTÍCULO 31.- Conexión de InternetLa conexión de Internet de la insti tución se realizará

bn 10s siguientes casos:

ARTÍCULO 26.- Clasificación de Grupos yAsignación de Perfiles de Usuarios

Las instituciones deberán adoptar unaclasificación de grupos y asignación de perfiles de

--o ~ --

I~EfJ;»lé.ICA DE HOND~S -TE(;LC.I(;AL~~¡. $. C., 10 DE !?l<:;;JEMBRE DEj~ N"o 3~S72

l'onexlónallnternet. por parte de empleados,con sujeción a lo establecido en los artículos32 y 33 de estas no¡-mas;

ARTICULO 35.- Contraseñas de AccesoLa instituciones del sistema financiero deberán

otorg aJos auditores de sistemas de esta Comisión,tcontr señas de acceso irrestricto a todas ¡as.

aplica iones y objetos de sus$ist~mas con del-echosde só¡ l~ctura, en los serVidores de producción ydesar 000; así como a todos los maestros,trans cionales e históricosqu~los auditoresregule! n.

) Servicios ti nanci eros por medios electrónicos,conforme lo dispuesto en los artículos 40 al67 de ¡as presentes normas; y,

3) =ua]quier otro caso aprobad!

mticipación, porlaComisión.cor

Lal canu-aseñas otorgadas no deberán tener fechad~ c~d ci¡dad, sin embargo,las instituciones. podránel1mm rlas una vez que )os audItores de sIstemas¡inalic n la auditorÍa. .

ARTÍCULO 32.- Operaciones AutorizadasLa Gerencia General de la institución deberá

detenrunar las operaciones que sus empleados podránrealizar para la utilización del Internet, as[comocumplir con los requerimientos del siguiente Artículo.

AdO ..iqnalmente las instituciones deberán activa¡-bitáco s deauditoría en las áreas de comunicaciones,sistem operativo y de base de datos para supervisarlas acti idades que realiza el personal de la Comisión.Dichas bitácoras deberán detallar las direcciones IPasigna 'as a cada computadora y el nombre deusuari ; así como, remitidas en archivo,selectrónicosa la Ge*encia de Informática de la Comig,ión, cuandosea requerido por la ésta.

ARTÍCULO 33.- Requisitos de Conexión deInternet

Para que las estaciones de trabajo de losempleados tengan acceso al Internet deberán estarconectadas úl1icamente al Internet, o a una red queesté conectada exclusivamente al Internet a través deservidores separados de la red de producción.Tampoco debe existir conectiyidad simultánea entrela estación de trabajo y los sistemas de producciónde la institución, ni acceso a información sensitiva.

CAPJTUJ-,O VPLAN DE (~ONTINUIDAD DEL NEGOCIO

, ,SECCJON UNICA

La conexión a Internet deberá estar controladapor los medios indicados en el Artículo 34 y conpropósitos exclusivos de navegación y de correoeiectrónico, sin poder descargar archi vos.

AR!ÍCUI--,O 36.- Plan de ContingenciasLa Institución deberá mantener un plan de

contin ncias detaflado para recuperar y operar sutecno.I gía de información en los casos de malfuncio amiento y desastres, Dicho plan deberáenmar arse en ]os principios de respaldo yrecupe¡- ci;ón descri tos en e] Artículo 37.

j No obstante lo dispuesto en eJ. párrafo anterior, lainstitución que mantenga una completa segregaciónde su red interna, producción e lnternet, podrá

descargar archivos de Internet, con los controles,

aaecuados.

La i stitución deberá examinar y revisar su plande con ngencias atendiendo los cambios que hanOCUlTid desde la revisión anterior. Dicha revisióndeberá ea)izarse como mínimo cada dos (2) años,así co <1> cada vez que ocurran cambiosSignific tivios.

ARTÍCULO 34.- Resguardo de la Conexiónde Intern~t

La conexión de la red de la institución haciaInternet deberá encontrarse asegurada por lo menoscon: unantivirus, un filtro de contenido, un Sistemade Detección de Intrusos (IDS) a nivel de red y unfirewall.

Asii~Sl:nO, al menos anualmente y cuando ocurrancambio~ significativos, la institución deberá realizary documentar pruebas de sus procesos de respaldo

y recup~ración.

B.

~~_I,,-ICr\ DE HONDUI{:¡S" TEC;UCIgl~A, :\I,p.C., 10 DEDIC.IE:Y1BI{E ~L2005

N".

30,872-

Los equipos de almacenamiento de 10sTespaldosde información 010s respaldos en sí deberán estarlocaliz:ados en un lugar distante y djstínto en dondese generó la copíadeJa ínformacíón origínal.

Dentro de} contexto de }a discusión, deberátomarse una.decisión sobre los procedimientos derespaldo (incluyendo quien .lo hace y ~u,documentación}, así como .las inversiones en lasfacilidades de respaldo., para los sistemas importantes¡que fueron definidos en las disposiciones del numeral2}anteriordel presente Artículo.

La insti1ución deberá tomar las medidas queaseguren la posibilidad de reconstruir la información,tanto de las copias de respaldo, como de lainformación retenida en medios que ya no sonutilizadbs.

CAPÍTULO VIA TERCERIZACIÓNSECCIÓN ÚNICA

ARTÍCULO 38.- Tercerizac.iónLa institución podrá contratar con una entidad

extema,la realización de las siguientes actividades:'la¡;¡dmjnistración, procesamIento y resguardo de laspperaci9nes de información, así como el desarrollope sus sistemas, servicios de consultoría, patentes yptros servicios relacionados con -las TIC.

ARTÍCULO 37.- Principios de Respaldo yRecuperación

La adrriiniso-ación de la institución deberárelmirseanualmente para discutir los principios de respaldo yrecuperación, así como tomar decisiones ydocumentar detalladamente, con base en un análisisde riesgqs, los siguientes temas:

Cuando se trate de la realización de las actividadessiguientes, la contratación con terceros deberá serhecha de) conocimiento de la Comisión previo alasuscripción del. contrato respectivo:

Definición de las situaciones de malfuncionamiento y de desastre para todas las

unidadesorgaI1izacionales y las implicacionesen las operaciones subsistentes de lamstittición.

(l)La Tercerización de sistemas centrales; y,2) Definición de los procesos vitales del negocio,

los sistemas de infonnación relevantes para laoperación continua, la manera en que podríagarantizar la continuidad del negocioenel casode un mal funcionamiento y desastre, y definirtodo el software, hardware y componentes decomunicaciones relacionados.

(2) El almacena¡niento de información de cualquiertipo, con respecto a los clientes de lainstitución, en sistemas que no se encuentran~entro de su control exclusivo.

La contratación de las actividades antes enunciadasse considerará como una forn1a de TercerizaciónSignificativa. En tal caso, la Conllsión podrá formularobservaciones relacionadas con la seguridad,donfiabilidad y eficiencia en la prestación del servicio~l público. En este y en todos los demás casos deTercerización Significativa, la institución deberágerciorarse de la experiencia, capacidad yla viabilidad~conómicadelproveedor de los servicios. Asimismo,qeberá examinar, con antelación, la idoneidad de sus~ualidades y calificaciones para desempeñar los

~ervicios requeridos.

3) Aspectos de recuperación y respaldo, queincluyan las rutinas de respaldo, su duración,

r frecuencia, medio, tiempo máximo de estarfuera de servÍcio y el. proceso para volver aprestar los servicios que la Gerencia Generalhaya definidocomocriticospara la continuidadde! negocio.

4). Relación de dependencia en entidades externas,para yolyera prestar el servicio de sus sistemasde información en el caso de una interrupción,así como el tiempo de recuperación requeridopor la institución para retomar ala operatividadnormal en sus sistemas de información.

,

ARTIC VLO 39.- Contrato Escrito deTercerÍzación

La Tercerización deberá realizarse por medio de.

~n contrato escrIto.

~PÚBLICA D~_HONDlJRAS -TEGUQ§ALPA, !VI. D. ~,---tO DE D[CIE~RE DEL 2005 N°. 30,872

Con respecto a la TercerizaciónSignificativa, el ~ Lo dispuesto en el presente Artículo no exime, ac.on~rato deberá contener, como mínimo, los temas a ~n~tituc.ión., de .responsabilidad por cualquiersIguIentes: ctIvl.dad !legal efectuada por el proveedor con

es,pecto de los servicios contratados.Las responsabilidades de todas las partes,incluyendo las dejos sub-contratistas. ,

CAPITULO VIISERVICIOS FINANCIEROS POR MEDIOS

ELECTRÓNICOS2) Una introducción, alcance del trabajo, formas

de comunicación, pistas y funcionamiento,administración de los problemas,

compensación, obligaciones y responsabilida-desde los clientes, garantías y arreglos, fianzas,derechos sobre la propiedad intelectual y deinformación confidencial, cumplimiento yjurisdicción legal sobre el contrato, causas de

terminación, generalidades, firmas y, porúltimo, cronogramas.

SECCIÓN 1SERVICIOS y OPERACIONES DE BANCA

ELECTRÓNICA

ARTÍCULO 40.- Servicios y Operaciones deBanca Electrónica

Los servicios y operaciones de banca electrónica,permitirán a los clientes obtener información de susquentas, realizar operaciones o dar instrucciones parar~alizar transacciones en su nombre, a través de lossiistemas electrónicos conectados af sistema deRroducción de la institución.

3) Las obligaciones de confidencialidad yseguridad de la información, asr como lassituaciones de emergencia.

4) Arreglos para la terminación del contrato ycorno resolver disputas. Dentro de estecontrato deberá mencionar los acuerdos quehabiliten a la institución para operar y mantenerla actividad de la Tercerización, .en situacionesen que la entidad externa quiera cesar con elservicIO.

ARTÍCULO 41.- Niveles de ServiciosLos servicios de banca electrónica se categorizarán

eln distintos niveles, e incluirán los servicios de losI

diveles que les preceden.

.Nivel de Servicio 1: Transferir informacióndesde la institución hacia el cliente ( estados de

cuentas).5) Las facultades suficientes para que la actividad

del proveedor de servicios para la institución

pueda ser auditada por la institución contratantey por la CNBS respecto de lo~ servicios

contratados.

.Nivel de Servicio 2: Transacciones yactividades en las cuentas del cliente de lainstitución, como son:. transferencia haciadepósitos, adquisición de fianzas, transferenciade cuenta a cuenta, solicitud de chequeras ycualquier otra transacción similar.

6) El procedirrlientopor el cual la institución puedaobtener los datos, los programas fuentes, los

manuales, y1a documentación técnica de lossistemas, ante cualquier ~ituációnque pudierasufrir el proveedor externo por la cual dejarade prestar sus servicios o de operar en el.mercado, a fin de poder asegurar la continuidaddel. procesamiento.

.Nivei de Servicio 3: Transacciones definidas,por adelantado, por el cliente, en beneficio deuna lista de beneficiarios.

Nivel de Servicio 4: Transacciones enbeneficio de cuentas, que no están incluidasen uno de los niveles de servicios antesmencionados.

7) Exigir una completa separación de datos delcliente respecto de los del proveedor o decualquier otra institución.

B.

Para activar una cuenta de usuario la institucióndeberá implantar los mecanismos que garanticen elno repudio por parte del cliente.

ARTICULO 49.- Aplicación de Medidas deControl de Banca Electrónica

Las disposiciones de esta sección aplican alsoftware de banca electrónica desarrollado porterceros (outsourcing) o internamente por la" ..,m$tItuclon.

.ARTICULO 47..- Cambios de ContraseñasLa institución deberá realizar los cambios de las

contraseñas de los usuarios en los casos siguientes:ARTÍCULO 50.- ValidacionesLas aplicaciones deben efectuar validaciones en

odos los campqs de entrada ubicados en las formase las mismas, las validaciones deben incluir como

Írumo controles de longitud máxima y mínimaermitida, así como caracteres permitidos en losampos. La aplicación no debe ejecutar instruccionesirectamente a la base de datos,. en Jugar de esto seeberán utilizar mecanismos alternos, como

procedimientos almacenados.

(l)lnmediatamente después de la primeraconexión. El programa deberá pedirle arclientecambiar su contraseña inicial.

(2) Periódicarnente,de acuerdo al tiempo definidoen la política de seguridad definida por la

institución.

Todas las transacciones de los usuarios debenser almacenadas en una bitácora que permitaIievisiones.

ARTÍCULO 48.- Cancelación de Contraseñasde Acceso

La institución deberá cancelar las contraseñas desus usuarios cuando ocurra alguno de los siguientescasos:

ARTÍCULO 51.- Proceso de EncriptaciónEl proceso de encriptación deJas contraseñas debe

realizarse a través de algoritmos de encriptación

mundialmente aceptados' y que no se hayan4es~ifrado; también debe incluir un Valor SALT para~roteger la contraseña contra ataques de diccionariod fuerza bruta. En el código de la aplicación no debe

e¡5tarescrita ninguna contraseña o llave para encriptar

cpntraseñas.

(1) Si pasa un período de tiempo, el cual no debeser superior a treinta (30) días y la contraseñainicial no ha sido utilizada;

(2}Cuando el usuario 10 requiera o cuando lainstitución sospeche que la contraseña fueutilizada sin la respectiva autorización;

(3) Después de un número de intentos fallidos paraentrar al sistema. Éste número deberá serdeterminado por lainstirución, el cual no deberáexceder más de cinco (5} intentos fallidos; y,

ARTÍCULO 52.- Implementación deControlesl. ~a .aplicq~ión debe im~~antar contro!es que

mInImICen el nesga que la seSl0n de unusuanopuedas(j:r obtenida o interceptada por un tercero para obtenerat;ceso al sistema con credenciales previamente

i~~esadas.

(4) Después de seis (6) meses de no utilizar1ascontraseñas en los sistemas para los que fueroncreados.

Una institución podrá desbloquear contraseñasinhabilitadas debiendo identificar plenamente alusuario que lo solicite. En todo caso, deberá cumplirsecon lo dispuesto en el Artículo 46.

La identificación o administración de la sesióndebe ser llevada a cabo por la aplicación ynopor elServidor de Internet de la institución, la aplicación

B.

La ~on~ase~~ míciaI deberá ser. otorgada al cliente Ien la mstItucIon o por cualquIer otro canal de

comunIcación seguro que la institución esté utilizando.

SECCIÓN VIMEDIDAS DE CONTROL

,

debe generar un número único y aleatorio desesió!l

para cada nueva sesión.AI"{TÍCUI~O 55.- Medidas de Resguardo paj-a

Información ÚtilLas aplicaciones deben asegurar que ningún

parámetro con int~rmación iíti1 para un posibleatacante viaje a travésde.l navegador de! cliente y~ífvitar que e~tos parámetros ~uedan ser manipuladQ§,jincluyendo)asconsu.ltasa

mveJ de URL.

La aplicación debe ellmmar .las sesiones inactivas

después de determinado período de tiempo.

,

AI~TICUI-,O 53.- S~paración de ServidoresLa base de datos de.!a institución debe estar en

un servidor separado de.! servidórdeJnternet o,

servidor de aplicaciones.

.ARTICULO 56.- Acceso RestringidoLa aplicación debe asegurar que 10s usuarios de

la misma tengan acceso s01amentealas funciones,recursos y datos que están especificamenteautorizados a acceder.

~1~T.íCULO 57.- Acceso al Sistema de BancaElectrónica

En cada acceso al sistema de banc~ electrónica,la pantalla deberá mostrar al cliente, detalles del tiempode su última conexión y la dirección IP de donde seconectó.

ARTÍ C U 1--,054.- Proceso de Autenticación deUsuario

Para autenticar a un usuario la aplicación deberáen fa medida de 10 posible solicitar además del usuario

y la contraseña, un campo de cohtrol con letras ynúmeros aleatorios que el usuario debe ihgresarafinde evitar ataques de denegación de servicio

automatizado.

En caso deno cumplir con el párrafo anterior, elnombre de usuario no debe ser una dirección decorreo electrónica o algún valor que pueda seradivinado y utilizado para efectuar ataques dediccionario o fuerza bruta.

ARTÍCULO 58.- Impresión y/o Resguardo deInstrucciones

El usuario podrá, hasta donde sea posible, guardar,y/o imprimir en tiempo real., todos los por menoresc¡ie la instrucción que fue dada,

ARTÍCULO 59.- iVledidas para EvitarAccesos no Autorizados

La institución deberá tomar las medidas que estén~entro de su control para evitar el acceso no:l.utorizado.. También deberá proteger la exposición<!le información, tal como la relativa a la cuenta de1~liente, prev~nir que se pueda guardar la contraseñaen el explorador de rnternet, prevenir que se puedanalmacenar las páginas de Internet enla memoria cachéy otros datos y mecanismos que expongan los datossensibles del cliente.

Esta página de ingreso y en general todas las

págiJ1as delaplicativo deben transmitir la informacióna través de un canal seguro, que garantice que lainformación no se envíe en claro y que el usuariotenga certeza de quien le solicita sus credenciales.

~i el usualio ingresó sus credenciales en formaequi'yocada, la aplicación deberá presentar un mensajede error genérico., por ejemplo "Acceso no

Autorizado" y no presentar mensajes descriptivoscorüo "Usuario no Existe" o "Contraseña Incorrecta". SECCIÓN VII

OPERACIONES DE BANCAELECTRÓNICA A FAVOR DE TERCEROS,

POR MEDIO DE UNA LISTA DEBENEFICIARIOS

Para evitar que un atacante obtenga informaciónque le ayude a conocer detalles particulares de latecnología uti¡izada y así enfocar sus acciones, laaplicación debe capturar y manejar todos los mensajes ARTÍCULO 60.- Transacciones de Bancay condiciones de error qu~ puedan presentarse Electrónica a Favor de Tercerosdurante una sesión, incluyendo mensajesdeJ sistema Las fi-ansacciones a favor de terceros, que realiceoperativo o de la base de datos. un cliente por medios electrónicos deberán sujetarse

B.

~EPÚBLICA-DE

I:!QNDURAs:-:: ~CIGALrA,M,-Q. C., 10 DE DI~tBRE D.EL ~05 N°. 30,~2a techos o topes que deberán ser definidos en la fonna

siguiente:ARTÍCULO 64.- Actualización de Lista de

BeneficiariosEl cliente deberá mantener actualizada su lista de

beneficiarios y todas sus particularidades, incluyendolo~ techos o topes de Jospagos a favor de cadabeneficiario. Cada institución deberá informara susclientes )as implicacionesen caso de que el. cliente nom~tengaactualizada la lista.

Los topes o techos serán determinados por lainstitución ';Ira cliente para aplicar a lastransacciones que acrediten las cuentas de losbeneficiarios a que se refiereef Artícuf06l.

Los techos o topes para las transacciones queacrediten a otras cuentas se sujetarán alprocedimiento descrito en el Artículo 62.

SECCIÓN VIIICORREO ELECTRÓNICO

ARTÍCULO 61.- Transmisión de DatosCuando el cliente imparta una instrucción para

efectuar un pago a un tercero a través del servicio debanca electrónica, la institución deberá requerirle queespecifique las particularidades del beneficiario y lanaturaleza y frecuencia de pago.

ARTÍCULO 65.- Correo ElectrónicoLa institución deberá determinar los tipos de

operaciones que sus clientes podrán realizar por6edio de correoe.lectrónico.

La institución deberá tomar en cuenta el grado denecesidad de inequívoca identificación de un cliente

~nviando correo electrónico, de autenticación y deftseguramiento de los contenidos del mensaje,preservando la confidencialidad en la infonnación ytI no repudio, conforme a los tipos de operaciones$eñaladas en el párrafo anterior.

La institución deberá transmitir los datos del

pagador y cuando fuese posible, la naturaleza yfrecuencia de pago, así como presentarlos claramenteen el resumen de la cuenta del beneficiario.

ARTÍCULO 62.- Establecimiento de Techospara las Operaciones AutorizadasLos montos máximos de las transacciones para

acreditar a otras cuentas, serán detenninados paracada cliente parla institución, y deberán ser respetados

tanto por el cliente como por la institución.

ARTÍCULO 66.~ Procedimiento FormalizadoLa institución deberá contar con un procedimiento

formalizado para mantener comunicaciones,

~lectrónicas con1osclientes.

ARTÍCULO 67.- Envío de Normas deRevelación de Información

La institución podrá hacer llegar a sus clientes,)por medio de correo electrónico o por su sitio de]ntemet, las notificaciones que sus políticas o normas~e revelación de información le pernritan, así comoqualquier otra información relacionada a las~bligaciones deconfidencialidady estas notificaciones<feberán estar estipuladas en el contrato que el usuariofirma según lo establecido en los Artículos 42 y 43.~dicionalmente, deberán cumpiirsea cabalidad losdiguientes términos y condiciones:

ARTicULO 63.- Lista de BeneficiariosLa institución deberá mantener almacenada en

medios electrónicos, una lista de beneficiarios porcada cliente que use el servicio de banca electrónica,

la cual deberá seíaprobada y actualizada por el cliente.

Al cliente se le deberá permitir enviar las

modificaciones de la lista de beneficiarios

directamente a la institución o en forma electrónica,

segun lo considere más conveniente la institución. El

envío electrónico estará condicionado a la utilizaciónde tecnología provista en el segundo párrafo del

Artículo 27.los(1) La terminación de

requerimientos del cliente.serV1C1OS a

B.

!{EPUBLICA O_E HONPURAS -TEG{;C.l(;~LPA:M._D, C., 10 DE DTO1;!-vLBRF: DEL 20~ N°. 30,872

(2)La existencia de mecanismosoO1edios quepermitall a .la institución dete!miparinequívocamente si el cliente recibió el correo..

ARTÍCUI~O 69.- Programa de lleporte deEventos

Los reportes señalados en los numerales l)y .2)del Artículo anterior, deberán ser registrados utilizando~1 Programa de Reporte de Eventos que está a~isposición de las instituciones supervisadas en1a

.red de interconexión financiera de la CNBS.

(3 La transn1Jsiónde correo de la institucionhaciael cliente deberá hacerse a través de un ambiente

seguro)IOmaIldolas medidas apropiadas queprotejan la confidencialidad deJa infom1ación.

Los reportes mencionados en el Artículo 68numerales 3).a15) y la comunicación a que se refiereel Artículo 70, deberán ser enviadas a 1aComisióncon la documentación que soporta tal evento;

CAPÍTUI..O VIllOPERACIONES ESPECI1-\!"ES

SECCIÓN ÚNICA

ARTÍCUI-,O 68.- Remisión de InformaciónLa institución deberá llevar .J"egistros, estadísticas

y a la vez comunicar a la Comisión, los siguientestemas y eventos:

l"os reportes establecidos en los numerales 1} y2) del Artículo anterior, deberán enviarse dentro delbs siguientes tres días hábiles a la fecha en que hubiereocurrido el evento. Los reportes establecidosen}osnumerales 3) al 5fde.Jrnísmo, deberán ser enviadosCon treinta (3Q) días de anticipación a su entrada enfuncionamiento.

) Eventos excepcionales tales como: intentos deataques y penetraciones significativas, asícomo todos los incidentes de penetración alos sistemas; inoperati\ridad del sistema centralo de producción, operación del plan deemergencia o cualquier otro similar;

CAPÍTULO IXBANCA DEL EXTERIOR Y lVIEDIDAS DE

SEGURIDAD

2D La discontinuidad de servicios significativospara sus clientes, como consecuencia de uncierre no pJanificadode los sistemascomputarizados que dure más de un día detrabajo;

SECCIÓN 1BANCA DEL EXTERlOR

tI ARTicULO 70.- Aplicación Especial I La aplieación de las presentes normas a las

3} Eresta,blecimiento de una sociedad relacionada insti,tuciones subsidiarias ?eins~ituciones e~tranjeras

o auxll¡ar que se ocupe del campo de las o Inlembros de Grupos FmanCle!OS extranjeros que

tecnologías de iriforn1ación de la institución; operan en el territorio na~ional, podrá adaptarse a

para 10 cual requerirá autorización previa de la i sus necesidades particulares preyia comunicación a

Comisión conforme a la norma sobre la Comisión, cuando utilicen sistemas, medios, o

sociedades auxiliares o de servicios esenciales procedimientos establecidos en o por sus casas

a las actívidades de íntermedíacíón financiera; matrices.

4) L4 decisión <:te aJ1ticiparcambios significativossobre las poJ.íticas de administración de lastecnologías de inforn1ación, la migración yconversión de sus sistemas centrales.computanzados; y,

ARTÍCULO 71.- Banca del ExteriorCuando las presentes no¡"mas se apliquen a las

iqstitucionessubsidiariasde instituciones extranjeraso miembros de Grupos Financieros extranjeros queoperan en el territorionaciona1, se incorporarán 1assiguientes modificaciones a1 texto:

5) La decisión de expandir los niveles de. servicioo una nueva iniciativa de proporcionar serviciostinancierospor Medios Electrónicos.

a) La expresión "tecnologías de infol111ación ycomunicaciones", deberá completarse con la

B.