ANTECEDENTES NORMATIVOS DE LA CIRCULAR EXTERNA 042 DE 4 DE OCTUBRE DE 2012 Y

NOVEDADES

AGENDA

1.ANTECEDENTES 2.GENERALIDADES 3.PRINCIPALES MODIFICACIONES

CIRCULAR EXTERNA 042 DE 4 DE OCTUBRE DE 2012

1. ANTECEDENTES 25 de octubre de 2007- SFC expide la CE 052,

objetivo: instruir a las entidades sometidas a inspección y vigilancia sobre los requerimientos mínimos de seguridad y calidad para el manejo de la información a través de los diferentes medios y canales utilizados para la distribución de los productos y servicios que se ofrecen a los clientes y usuarios.

30 de julio de 2010 la SFC expide la CE 022, necesidad: realizar algunas precisiones respecto de los requerimientos de seguridad y calidad para la realización de operaciones.

30 de junio de 2011 la SFC expide la CE 026, necesidad:

impartir instrucciones relacionadas con la prestación de servicios de los establecimientos de crédito, las sociedades comisionistas de bolsa de valores y las sociedades de intermediación cambiaria y servicios financieros especiales a través de corresponsales.

4 de octubre de 2012 la SFC expide la CE 042, necesidad: impartir nuevas instrucciones relacionadas con los requerimientos de seguridad y calidad para la realización de operaciones.

2. GENERALIDADES

1. Ámbito de aplicación 2. Definiciones y criterios de seguridad y calidad

de la información 3. Obligaciones Generales 4. Obligaciones adicionales por tipo de canal 5. Reglas sobre actualización de software 6. Obligaciones específicas para tarjetas débito y

crédito 7. Análisis de vulnerabilidades

2.1. ÁMBITO DE APLICACIÓN (CE 026/2011)

Todas las entidades sometidas a la inspección y vigilancia de la SFC Excepto: 1. FOGAFIN 2. FOGACOOP 3. FNG 4. FONADE 5. Almacenes General de depósito 6. Fondos de garantía que se constituyan en el mercado público de

valores, mutuos de inversión, ganaderos. 7. Sociedades calificadoras de valores y/o riesgo 8. Oficinas de representación de instituciones financieras y de

reaseguros del exterior 9. Corredores de seguros y de reaseguros 10. Comisionistas Independientes de valores 11. Sociedades Comisionistas de bolsa agropecuarias 12. Organismos de autorregulación

2.2 DEFINICIONES Y CRITERIOS DE SEGURIDAD Y CALIDAD DE LA INFORMACIÓN

Criterios de seguridad de la información

1. Confidencialidad 2. Integridad 3. Disponibilidad

Criterios de Calidad de la información

1. Efectividad 2. Eficiencia 3. Confiabilidad

Canales de distribución de servicios financieros

1. Oficinas 2. Cajeros automáticos (ATM) 3. Receptores de cheques 4. Receptores de dinero en efectivo 5. POS (incluye PIN Pad) 6. Sistemas de Audio Respuesta (IVR) 7. Centro de atención telefónica (Call center, contact

center) 8. Sistemas de acceso remoto para clientes (RAS) 9. Internet 10. Banca Móvil

Instrumentos para la realización de operaciones: Son los

elementos con los que se imparten las órdenes para la realización de operaciones a través de los canales de distribución, los cuales son, entre otros, los siguientes:

a. Tarjetas débito. b. Tarjetas crédito. c. Dispositivos móviles d. Órdenes electrónicas para la transferencia de fondos.

* Vulnerabilidad informática * Cliente *Cifrado fuerte * Usuario * Sistema de Acceso Remoto (RAS) * Producto * Operaciones No monetarias * Servicio * Operaciones Monetarias * Dispositivo * Información Confidencial

3. PRINCIPALES MODIFICACIONES

Nuevo numeral: Banca Móvil Definiciones Autenticación: conjunto de técnicas y procedimientos utilizados para

verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es.

Mecanismos fuertes de autenticación:

1. Biometría 2. Certificados de firma digital 3. OTP en combinación con un segundo factor de autenticación 4. Tarjetas que cumplan el estándar EMV en combinación con un segundo factor de autenticación. 5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación

Banca Móvil: Canal de banca electrónica en el cual el dispositivo móvil es

utilizado para realizar operaciones y su número de línea es asociado al

servicio. Los servicios que se presten a través de dispositivos móviles y

utilicen navegadores Web, son considerados banca por Internet. Proveedores de redes y servicios de telecomunicaciones: Empresas

reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros (de acuerdo a lo establecido en la resolución 202 de 2010 art.1).

OBLIGACIÓN POR TIPO DE CANAL FECHA DE CUMPLIMIENTO

CAJEROS AUTOMÁTICOS Estar en capacidad de operar con las tarjetas descritas en la Circular (mecanismos fuertes de autenticación)

1º de octubre de 2013

SISTEMAS DE AUDIO RESPUESTA (IVR) Las entidades que permitan realizar operaciones monetarias por este canal, deben ofrecer a sus clientes mecanismos fuertes de autenticación.

1º de octubre de 2013

INTERNET Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.

1º de abril de 2013

Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.

1º de julio de 2013

OBLIGACIÓN POR TIPO DE CANAL FECHA DE CUMPLIMIENTO

Banca Móvil: El canal de Banca Móvil deberá cumplir con los siguientes requerimientos: Contar con mecanismos de autenticación de dos factores

para la realización de operaciones monetarias y no monetarias.

Mas de 2smmlv Menos de 2smmlv Mecanismos de cifrado fuerte Medidas para mitigar riesgo

• Contar con medidas que garanticen la atomicidad de las

operaciones y eviten su duplicidad debido a fallas en la comunicación.

• Los servicios que se presten para la realización de

operaciones a través de Internet, en sesiones originadas desde el dispositivo móvil: REQUERIMIENTOS INTERNET.

1º de julio de 2013

OBLIGACIONES ESPECÍFICAS PARA TARJETAS DÉBITO Y

CRÉDITO

FECHA DE CUMPLIMIENTO

Entregar a sus clientes tarjetas débito que manejen

internamente mecanismos fuertes de autenticación.

Cajeros automáticos (ATM) y en puntos de pago (POS).

Entregar a sus clientes tarjetas de crédito que

manejen internamente mecanismos fuertes de

autenticación siempre que los cupos aprobados

superen dos (2) SMMLV. Para la realización de

pagos no será necesario el uso de la clave.

1º de abril de 2013 todas las tarjetas débito y crédito que se entreguen a los clientes deberán cumplir con las características de descritas. 1º de octubre de 2014 todas las tarjetas débito y crédito activas deberán cumplir con los requerimientos establecidos.

Gracias

Claudia Elena Escobar R. Directora de Canales y Alianzas

Certicámara S.A Claudia.escobar@certicamara.com