Reglas Carácter General Art. 52 LIC Banca – Electrónica

Propuesta

Datos a tomar en cuenta

• Beneficios de la Banca Electrónica (costo por transacción menor, ubicuidad del servicio, flexibilidad)

• Acelerado incremento en el número de conexiones a Internet, sofisticación tecnológica y masificación del uso.

• Impulso por el pago de impuestos

• Incremento importante en el número de Fraudes en el último año. – Mayor sofisticación– Más clientes afectados

• Phishing. Entre 75 millones y 150 millones de “phishing mails” son enviados cada día en la Red*

– Nuevas técnicas de defraudación

• Transferencias de responsabilidades Banco - Cliente

Riesgos Banca Electrónica

*Fuente: Antiphising Working Group y ABM

Problemática

• Anonimato para el uso de la banca electrónica

– Facilidad de cometer un fraude remotamente

• Falta de cultura de seguridad en Usuarios

• Repudiación de operaciones (No reconocerlas)

– Pérdida de patrimonio para los clientes

– Quebrantos para las instituciones

• Robo de información confidencial de los clientes

– Exposición de clientes (los delincuentes pueden saber domicilios, patrimonio, ingresos, co titulares, beneficiarios, hábitos de consumo)

– Robo de identidad

• Violación del Secreto Bancario

– Accesos no autorizados debido a controles débiles

Riesgos Banca Electrónica

Factores de Riesgo

• Contraseñas desde un carácter, composición de usuarios evidentes, frágiles o fáciles de deducir

• Alta de contratos y servicios sin consentimiento explícito del cliente. Alta del servicio en línea, bajo control para autenticación de usuarios

• Acceso a bases de datos por personal no autorizado, manipulación de bitácoras, utilización y modificación de información, extracción de información de las bases de datos, cambio de contraseñas

• Escaso o poco monitoreo de transacciones vs. Perfil transaccional. (Prevención de fraudes)

• Ingeniería Social / Robo de Identidad (Se pueden hacer pasar por el cliente y realizar operaciones en su nombre)

• Diversos modos y técnicas de operación por defraudadores: Phishing, Keyloggers, Mouseloggers, Spyware, Pharming, Sniffers, skimming, libanese loop, fake atm, eavesdropping, entre otros

Riesgos Banca Electrónica

Bancos conscientes de mayores controles

Preocupación: ventaja competitiva vs. controles efectivos

Banca ElectrónicaBanca por Internet, Cajeros Automáticos, Banca Telefónica, Kioskos,

Banca Empresarial o tesorerías empresariales remotas, Terminales Punto de Venta

Controles Propuestos

Reglas del Artículo 52 de la Ley de Instituciones de Crédito para Prestación de servicios bancarios al público,

mediante el uso de medios electrónicos y equipos automatizados:

Condiciones del servicio, no repudiación

• No otorgar el servicio por omisión

• Señalar en el contrato los riesgos inherentes y las recomendaciones para prevenir la realización de operaciones irregulares o ilegales

• Responsabilidades correspondientes, tanto para las instituciones de crédito como para los usuarios

• Mecanismos la creación, transmisión, modificación o extinción de derechos y obligaciones inherentes a las operaciones y servicios de que se trate

• Métodos de autenticación y supuestos en que no podrán repudiarse u objetarse las operaciones realizadas, por parte de las instituciones de crédito y los usuarios

• Mecanismos de confirmación de las operaciones celebradas a través de los equipos y medios automatizados

Reglas del Artículo 52 de la L.I.C.

Seguridad de la información

• Medidas que aseguren que la información transmitida, almacenada o procesada, únicamente pueda ser accedida por parte de los usuarios y por personal expresamente autorizado

• Utilizar medios de comunicación cifrada para la transmisión de información

• Almacenamiento cifrado de claves de acceso e imposibilidad de conocerlas

• Revisiones periódicas sobre la seguridad de las claves de acceso

Reglas del Artículo 52 de la L.I.C.

Manejo y composición segura de claves de acceso

• Proceso seguro de generación, entrega y desbloqueo de contraseñas o claves de acceso

• Características de composición de claves (longitud, caracteres, datos personales)

• Protección en el despliegue de claves

• Terminación de sesiones por inactividad

• Bloqueo de claves por intentos fallidos y por falta de uso

Reglas del Artículo 52 de la L.I.C.

Autenticación más segura

• Para la realización de pagos, inversiones, transferencias de recursos y demás operaciones y servicios bancarios que impliquen transferencias de fondos deberán utilizar un segundo factor de autenticación que cumpla lo siguiente:

Que posea el usuario

Tales como generadores de claves de acceso o contraseñas de un solo uso, tarjetas con banda magnética, tablas aleatorias de contraseñas con propiedades especiales, entre otros.

Reglas del Artículo 52 de la L.I.C.

Alta segura de cuentas beneficiarias

• Registro previo de cuentas de terceros destino (periodo no menor a un día)

– Periodo menor cuando el cliente lo solicite expresamente y por escrito

• Validaciones sobre el número de la cuenta destino

Reglas del Artículo 52 de la L.I.C.

Información al usuario

• Informar al usuario de eventos de seguridad (acceso simultáneo con su cuenta, alta de terceros, cambio de parámetros, bitácora de accesos) por un medio de notificación alterno

• Soporte técnico y operacional al cliente

• Mecanismos para el servicio continuo de la infraestructura de servicio

• Campañas de difusión respecto a los riesgos y recomendaciones para la realización de operaciones a través de medios electrónicos y equipos automatizados

Reglas del Artículo 52 de la L.I.C.

Prevención de Fraudes

• Detección y prevención de eventos que se aparten de los parámetros de uso habitual de cada usuario

• Conocimiento del cliente para definir los parámetros de referencia

• Permitir a los usuarios establecer sus límites de operación en forma segura

Reglas del Artículo 52 de la L.I.C.

Pistas de Auditoría

• Bitácoras de los accesos tanto de los usuarios como del personal de la institución de crédito a los medios electrónicos y equipos automatizados con el detalle suficiente

• Manejo y almacenamiento seguro de sólo lectura de dichos registros

Reglas del Artículo 52 de la L.I.C.

Resumen

• Mayor seguridad en la realización de transacciones por Banca Electrónica

• Mejores elementos para la no repudiación de operaciones

• Eliminar riesgos reputacionales por reclamaciones

• Mantener la propiedad de movilidad y flexibilidad en el uso de estos medios

• Generar confianza en el público que propicie un mayor uso de la banca electrónica

• Incrementar la integridad de los recursos de clientes usuarios

Reglas del Artículo 52 de la L.I.C.