1

Medidas de seguridad para la migración de tarjetas a tecnología chip y protección de 

usuarios de banca electrónica

XII Reunión Responsables de Sistemas de InformaciónLa Antigua, Guatemala

Septiembre, 2010Javier De la Rosa Gutiérrez

2

Marco Regulatorio

Alcance regulación Banca Electrónica

ContrataciónOperaciónControles de SeguridadMonitoreo y control de las operaciones

Fechas críticas

Agenda

3

Cambios y Emisión de Nuevas Reglas para que la Inclusión Financiera aumente

4

Capítulo X de la Circular Única de Bancos. Sustituyen a las “Disposiciones del Uso de Medios Electrónicos” (Marzo 2006)

Publicadas en Diario Oficial de la FederaciónEnero 27, 2010Febrero 10, 2010 (Modificación al Artículo 307, contratación de los servicios)

Entran en vigor:Día siguiente de su publicación para Banca Móvil y Pago MóvilJulio 28, 2010 para los demás servicios de Banca Electrónica (excepto Host to Host) Diversos plazos aplicables a controles específicos (TPV, ATMs, CATs, Internet)

Disposiciones del Uso del Servicio de Banca Electrónica

5

Alcance Reglas Banca ElectrónicaBanca Electrónica: al conjunto de servicios y operaciones bancarias que las Instituciones de Crédito pactan con el público, a través de Medios Electrónicos

Banca por Internet / Banca Host to Host

Banca Móvil / Pago Móvil

Terminales Punto de Venta / Cajeros Automáticos

Banca Telefónica Audio‐respuesta / Voz a Voz

6

(1) Registro de cuentas, límites transaccionales, uso de Factores de Autenticación, notificaciones, cifrado de Información Sensible del Usuario, seguridad en sesiones, registro de cuentas destino)

Cumplimiento a las Disposiciones aplicables a los servicios de Banca Electrónica

2010 2011 2012 2013 20141T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T

Controles en Banca Móvil y Pago Móvil (1)

Entrega del programa para migración de ATM a lectores de chip de tarjetas por nivel de riesgo

Cumplimiento de controles en los servicios de ATM, TPV, BxI, BxT (IVR y V2V) (1)

Controles en la contratación de servicios de Banca Electrónica

Migración de TPV a lectores de chip de tarjetas

Validación de respuestas mediante sistemas informáticos en CAT

Migración de ATM de alto riesgo a lectores de chip de tarjetas

Autorización para continuar usando tarjetas de contraseñas como FAC3

Contraseñas de ocho caracteres en BxI

Cifrado de la Información Sensible del Usuario en TPV

Responsabilidad por operaciones realizadas en TPV y ATM con tarjetas sin chip

Cumplimiento de controles en H2H (1)

Migración de ATM de mediano riesgo a lectores de chip de tarjetas

Migración de ATM de bajo riesgo a lectores de chip de tarjetas

Cumplimiento

7

Para adecuarlas al constante desarrollo de nuevas tecnologías, nuevos productos y canales que generan nuevos riesgos

Para establecer controles que ofrezcan seguridad y confidencialidad en el uso de la información a través de Medios Electrónicos

Para prevenir la realización de operaciones irregulares con medidas que respondan a las nuevas y constantes técnicas de fraude a través de Medios Electrónicos

¿Por qué modificar las Disposiciones?

8

Estructura de las Disposiciones

9

Detalle de las Disposiciones

10

Clasificación de las Operaciones Monetarias

Para fines de estas disposiciones, las Operaciones Monetarias se clasifican en:

a) Micro Pagos: transacciones de hasta 70 UDIs. El saldo disponible de la cuenta no puede ser mayor en ningún momento a 70 UDIs

b) De Baja Cuantía: transacciones de hasta 250 UDIs diarias

c) De Mediana Cuantía: transacciones de hasta 1,500 UDIs diarias

d) Por montos superiores al equivalente a 1,500 UDIs diarias

11

Especificaciones por Serviciode Banca Electrónica

12

Banca por Internet

13

Phishing Pharming

Spyware

Keylogger

Robo de identidad

Spam

Ingeniería social

Adware

Riesgos en Operaciones Banca por Internet

14

Puntos de Riesgo

Ingreso de las operaciones

Transmisión

Infraestructura tecnológica

Externa

Interior de los Bancos

15

1 2 3

1) 3 de marzo de 2006 Publicación de lasDisposiciones del Uso de Medios Electrónicos

2) Septiembre 2006 Entra en vigor la primera fase de las reglas con medidas de seguridad básicas

3) 3 de Marzo de 2007 2ª. Fase – Segundo factor de autenticación.

Reforzamiento en visitas de inspección en sitio

Fuente: CNBV a través de visitas de inspección al tercer trimestre 2009

Reclamaciones de Operaciones de  Banca por Internet 2006 – 2009

$

16

Banca por Internet

• Las disposiciones vigentes requieren:

• Pre-registro de cuentas destino

• Uso de un segundo Factor de Autenticación

• Notificaciones al Usuario de operaciones monetarias

• Límite transaccional definido por el usuario

• Se refuerza la seguridad de la operación mediante los siguientes controles:

• La institución proporcione información para dar certeza de que el Cliente accederá a la página de la Institución

• Construcción de contraseñas con mayor longitud (8 caracteres)

• Pre-registro de cuentas destino, habilitándolas en un periodo de 30 minutos

• Uso de un Segundo Factor de Autenticación en un mayor número de ocasiones (Registro de una cuenta destino, establecimiento de límites transaccionales y realizar una operación, principalmente)

Resumen por servicio

17

Banca por Teléfono

• Voz a Voz

• Audiorespuesta

18

Banca por Teléfono de Audio Respuesta

• Las disposiciones vigentes requieren:

• Pre-registro de cuentas destino

• Uso de un segundo Factor de Autenticación

• Notificaciones al Usuario de operaciones monetarias

• Límite transaccional definido por el usuario

• Estamos reforzando la seguridad de la operación mediante los siguientes controles:

• Pre-registro de cuentas destino, habilitándolas en un periodo de 30 minutos

• Uso de un Segundo Factor de Autenticación en un mayor número de ocasiones (Registro de una cuenta destino, establecimiento de límites transaccionales y realizar una operación, principalmente)

Resumen por servicio, cont.

19

Banca por Teléfono Voz a Voz

• Este servicio no se encontraba regulado. Lo hemos incorporado regulando su operación mediante los siguientes controles:

• Pre-registro de cuentas destino en otro servicio de Banca Electrónica o con firma autógrafa

• Uso de un segundo Factor de Autenticación

• Notificaciones al Usuario de operaciones monetarias

• Límite transaccional definido por el usuario

Principales Modificaciones, cont.

20

Cajeros Automáticos

Terminales Punto de Venta

21

Dispositivo “Dispensador de Folletos” para filmar saldo y  NIP 

Dispositivo para leer y almacenar datos de bandas magnéticas 

CNBVEnero 2010

Capítulo X

Fraudes en ATM

22

Fuente: CNBV con datos de Banco de México

Monto de fraudes TDD y TDC

Capítulo X

$

23

Cajeros Automáticos

• Este servicio ya se encontraba regulado, sin embargo, estamos reforzando los controles de seguridad mediante los siguientes aspectos:

• Uso de un segundo Factor de Autenticación, pueden utilizarse tarjetas con circuito integrado (chip). En caso que la Institución permita el uso de tarjetas con otra tecnología, la Institución deberá asumir los riesgos y costos

• Lectores para tarjetas con circuito integrado (chip). Su implementación se puede hacer agrupando por nivel de riesgo iniciando en 2011 yterminando en 2014.

• No requiere pre-registro de cuentas destino

• Límite transaccional de 1,500 UDIs diarias por cuenta

• Notificaciones al Usuario cuando el acumulado de las operacionesmonetarias sea mayor a 600 UDIs o bien, cada operación sea igual o mayor a 250 UDIs

• Los bancos que autoricen operaciones con tarjetas que no tengan circuitos integrados (chip) serán responsables de los costos de las reclamaciones de los clientes. Esto entrará en vigor a partir de 2013.

Principales Modificaciones

24

Terminales Punto de Venta

• Requiere el uso de un segundo Factor de Autenticación para operaciones monetarias

• Pueden utilizarse tarjetas con circuito integrado (chip). En caso que la Institución permita el uso de tarjetas con otra tecnología, la Institución deberá asumir los riesgos y costos

• Puede considerarse la firma autógrafa como Factor de Autenticación

• No requiere el uso de Factores de Autenticación para operaciones monetarias menores a 70 UDIS (siempre que el banco asuma los riesgos y costos)

• Requiere lectores para tarjetas con circuito integrado (chip).

• No requiere pre-registro de cuentas destino

• Posibilidad de establecer límites transaccionales definidos por el usuario

• Notificaciones al Usuario cuando el acumulado de las operacionesmonetarias sea mayor a 600 UDIs o bien, cada operación sea igual o mayor a 250 UDIs

• Los bancos que autoricen operaciones con tarjetas que no tengan circuitos integrados (chip) serán responsables de los costos de las reclamaciones de los clientes. Esto entrará en vigor a partir de 2013.

Principales Modificaciones

25

¡Muchas Gracias por su atención!

Javier De la Rosa

jdelarosa@cnbv.gob.mx

26

27

Contratación

Se definen procesos para la contratación de los servicios

De forma presencial (excepto Pago Móvil y cuando se usen tarjetas prepagadas y de baja transaccionalidad –art 115 de la LIC- en ATM y POS)

Se permite contratar servicios adicionales a través de otros Medios Electrónicos que usen 2FA (el cliente debe confirmar después de mínimo 30 minutos)

Pago Móvil puede contratarse en Centros de Atención Telefónica

El proceso para cancelar los servicios deberá ser similar en tiempo de respuesta y canales, al de contratación

Banco

Primer ServicioMás Servicios

28

Contratación

Los Usuarios podrán, en cualquier momento, desactivar y reactivar el uso de un servicio de Banca Móvil y Pago Móvil en forma temporal

La desactivación puede realizarse en el mismo servicio o en otro, requiriendo un Factor de Autenticación

La reactivación podrá realizarse vía CAT o con un procedimiento similar al de contratación

29

Factores de autenticación

Se establecen criterios para verificar la identidad de los clientes a través del uso de Factores de Autenticación:

Factor de Autenticación Categoría 1 (FAC1)

Procesos en CAT que utilizan cuestionarios de información que no ha sido impresa o enviada al usuario. Algunas características son:

Los cuestionarios son definidos por la Institución evitando la discrecionalidad para su aplicación

Deben utilizarse herramientas informáticas para la validación de respuestas

Cuando se incluya una contraseña, ésta debe ser única para el servicio y se debe solicitar información parcial

Se permite el uso de este factor para:Autenticar usuarios en servicios Voz a Voz

Contratar servicios de Pago Móvil

Desbloquear los Factores de Autenticación, reactivar o desactivar temporalmente el servicio

30

Factores de Autenticación

Factor de Autenticación Categoría 2 (FAC2)

Información que solo el usuario conoce, tales como contraseñas y NIP. Sus características principales son:

Permite al usuario definir y cambiar su contraseña o NIP

Longitud mínima de ocho caracteres en general

• Pago Móvil, cinco• Banca Móvil e IVR, seis • ATM y TPV, cuatro

Se debe proteger de lectura en pantalla

31

Factores de Autenticación

Factor de Autenticación Categoría 3 (FAC3)

Se compone de información contenida o generada por medios o dispositivos proporcionados por las Instituciones a los usuarios, tales como dispositivos generadores de contraseñas dinámicas de un solo uso.

32

Factores de AutenticaciónFactor de Autenticación Categoría 3 (FAC3), cont.

Algunas características son:

El medio o dispositivo debe contar con propiedades que impidan su duplicación o alteración, así como de la información que éstos contengan o generen

Debe contener información dinámica

Su vigencia es temporal (dos minutos) a menos que haya sido generada con datos de la operación

No podrá ser utilizada en más de una ocasión

La información de autenticación no deberá ser conocida por la Institución ni por el usuario con anterioridad a su generación y uso

Se considerarán dentro de esta categoría la información contenida en el circuito integrado de tarjetas bancarias, siempre y cuando se utilicen en dispositivos que obtengan dicha información directamente de dicho circuito (chip)

Las Instituciones que en un periodo de tres años autoricen operaciones con tarjetas sin uso del chip, deberán asumir los costos de operaciones no reconocidas por los clientes.

33

Factores de Autenticación

Factor de Autenticación Categoría 3 (FAC3), cont.Tablas aleatorias de contraseñas

Deben cumplir con:

El medio o dispositivo debe contar con propiedades que impidan su duplicación o alteración

Debe contener información dinámica que no podrá ser utilizada en más de una ocasión

La información de autenticación no deberá ser conocida por la Institución ni por el usuario con anterioridad a su generación y uso

Las Instituciones deberán obtener autorización para el uso de este tipo de tablas, debiendo asumir los costos de operaciones no reconocidas.

Quienes la usen actualmente, tienen un periodo de dos años para obtener dicha autorización.

34

Factores de Autenticación

Factor de Autenticación Categoría 4 (FAC4)Se compone de información del usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras. Sus principales características son:

Los dispositivos biométricos deberán mantener elementos que aseguren que la información sea distinta cada vez que sea generada, a fin de constituir claves de acceso de un sólo uso y que en ningún caso pueda repetirse o duplicarse con la de otro usuario

35

Se fortalece el procedimiento de Autenticación en Internet

Las Instituciones proporcionarán información personalizada para que el usuario se asegure que está operando con la Institución correspondiente

• Información que el usuario haya proporcionado a la Institución (nombre, alias, o imágenes)

• Información que pueda verificar en un dispositivo o medio de autenticación (challenge/response)

La Institución deberá mostrar la fecha del último acceso y el nombre completo del cliente

Autenticación Banco – Cliente - Banco

36

Se requiere utilizar un segundo Factor de Autenticación (FAC3 o FAC4) para los siguientes servicios:

Transferencias a cuentas de terceros u otros bancosPagos de créditos, de servicios e impuestosEstablecimiento e incremento de límites de montosRegistro de cuentas destino de terceros u otros bancosAlta y modificación del medio de notificaciónConsulta de estados de cuentaContratación de otros servicios de Banca ElectrónicaDesbloqueo del servicio y reactivaciónRetiro de efectivo en cajeros automáticos

Uso de un Segundo Factor de Autenticación

Es posible realizar transferencias con un solo factor de autenticación si la cuenta destino se dio de alta en sucursal mediante firma autógrafa del cliente.

37

Para la celebración de Operaciones Monetarias los Usuarios deberán registrar las Cuentas Destino previo a su uso, considerando lo siguiente:

Se permitirá el registro de cuentas destino en un servicio de Banca Electrónica para utilizarlas en dicho servicio o en otros

En el caso de servicios e impuestos, se considera como registro de cuentas destino el registros de los convenios, referencias o beneficiarios

Las cuentas deberán quedar habilitadas después de un período no menor a treinta minutos

Validar estructura de las cuentas destino

Las Instituciones no podrán registrar cuentas destino a través del servicio de Banca Telefónica Voz a Voz

Registro de cuentas

38

Las Instituciones podrán permitir a sus clientes realizar operaciones monetarias sinque para ello les requieran el registro previo de las cuentas destino, siempre que:

Las operaciones sean realizadas a través de Banca host to host, terminales punto de venta y cajeros automáticos

En operaciones de Banca Móvil y Pago Móvil cuando las operaciones no excedan el monto definido para las operaciones de Baja Cuantía

Excepciones para el Registro previo de cuentas destino

39

Límites de monto

Las Instituciones deberán proveer lo necesario para que sus usuarios establezcan límites de monto para las transferencias y pagos a cuentas de terceros u otros bancos para los servicios de Banca por Internet, Banca Telefónica Voz a Voz, Banca Telefónica Audio Respuesta y Banca Móvil :

En los servicios de Pago Móvil, el monto acumulado no podrá exceder del equivalente a las operaciones de Mediana Cuantía en un día ni 4,000 UDIs mensuales.

Tratándose de Micro Pagos, el saldo de la cuenta asociada no podrá ser mayor a 70 UDIs

El límite máximo para operaciones en ATM será de 1,500 UDIs diarias

40

Confirmaciones y comprobantes

Las Instituciones deberán solicitar confirmación del usuario antes de realizar operaciones monetarias con terceros u otros bancos.

Las Instituciones deberán generar comprobantes para todas las operaciones realizadas en un servicio de Banca Electrónica

41

NotificacionesSe deberá notificar a los usuarios a través de un medio diferente las siguientes operaciones:

Transferencias a cuentas de terceros u otros bancosPagos de créditos, servicios e impuestosModificación de límites de montosRegistro de cuentas destino de terceros u otros bancosAlta y modificación del medio de notificaciónContratación de otros servicios de Banca ElectrónicaDesbloqueo del servicio y reactivaciónCambios de contraseñasRetiro de efectivo en Cajeros Automáticos

Se exceptúan de notificación las operaciones de Pago Móvil, así como aquellas realizadas en ATM y TPV cuando el acumulado sea menor a 600 UDIs ó 250 UDIs en operaciones individuales si existen esquemas de prevención de fraudes.

42

Seguridad de la Información

La información sensible(1) debe ser protegida durante el uso

en Medios Electrónicos, cumpliendo con lo siguiente:

Siempre debe ser transmitida en forma cifrada, desde el dispositivo de acceso hasta la recepción en la Institución, así como para su almacenamiento, en su caso.

Para los servicios de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios

(1) Información personal del Usuario en conjunto con números de tarjetas de débito, crédito o prepagadas bancarias, números de cuenta, información de autenticación

43

Sesiones segurasLas Instituciones deberán asegurarse que una vez autenticado el usuario, la sesión no pueda ser utilizada por un tercero, estableciendo mecanismos para:

Terminar sesiones en forma automática por inactividad del usuario de veinte minutos como máximo, exceptuando:

Pago Móvil, ATM y TPV, un minuto máximo

Banca Telefónica Host to Host

Terminar sesiones en caso de detectar cambios en parámetros del enlace de comunicación en Banca por Internet

Evitar sesiones simultáneas

Informar del cierre de sesión en caso de ingresar a servicios de terceros ofrecidos por la misma Institución

44

Seguridad InformáticaEstablecer mecanismos de bloqueo automático de Factores de Autenticación en los siguientes casos:

Cuando se intente ingresar al servicio con información de autenticación incorrecta, en un número no mayor a 5 ocasiones

Cuando el usuario no utilice el servicio por un período que determine la Institución, no mayor a un año

Se podrán utilizar preguntas secretas para el desbloqueo, si éstas se almacenan en forma cifrada.

45

Las Instituciones deberán contar con los siguientes mecanismos para detectar y evitar operaciones irregulares:

Aplicativos y procedimientos para prevención de fraudes en las operaciones realizadas en Banca Electrónica

Registro detallado (bitácoras) de todos los eventos, servicios y operaciones realizados en Banca Electrónica, incluyendo grabaciones del servicio Voz a Voz, el cual debe ser revisado en forma periódica por la Institución y proporcionarse a los clientes en caso de requerirlo

Medios y procedimientos para que los clientes reporten el robo o extravío de los Factores de Autenticación

Prevención de operaciones irregulares

Mantener una base de datos centralizada, con todas las operaciones no reconocidas por los Usuarios

Las Instituciones deben realizar revisiones de seguridad a la Infraestructura de los servicios de Banca Electrónica, al menos una vez al año, incluyendo a los dispositivos dispuestos para su uso por los usuarios

La infraestructura para proporcionar los servicios de Banca Electrónica, debe incluir dispositivos y aplicativos de detección y prevención de eventos de seguridad

46

Monitoreo de incidentes

En caso de que la información sensible del usuario sea extraída, extraviada o las Instituciones supongan o sospechen de algún incidente que involucre accesos no autorizados a dicha información, las Instituciones deberán:

Enviar a la CNBV dentro de los cinco días naturales siguientes al evento un reporte de pérdida de información

Llevar a cabo una investigación inmediata para determinar la posibilidad de que la información ha sido o será mal utilizada, por lo que en este caso deberán notificar, tan pronto como sea posible, esta situación a los usuarios afectados, a fin de prevenirlos de los riesgos derivados del mal uso de la información que haya sido extraída, extraviada o comprometida, debiendo informarle de las medidas que deberán tomar.

Deberán enviar a la CNBV el resultado de la investigación