ANTECEDENTES NORMATIVOS DE LA CIRCULAR EXTERNA 042 DE 4 DE OCTUBRE DE 2012 Y NOVEDADES AGENDA 1.ANTECEDENTES 2.GENERALIDADES 3.PRINCIPALES MODIFICACIONES CIRCULAR EXTERNA 042 DE 4 DE OCTUBRE DE 2012 1. ANTECEDENTES 25 de octubre de 2007- SFC expide la CE 052, objetivo: instruir a las entidades sometidas a inspección y vigilancia sobre los requerimientos mínimos de seguridad y calidad para el manejo de la información a través de los diferentes medios y canales utilizados para la distribución de los productos y servicios que se ofrecen a los clientes y usuarios. 30 de julio de 2010 la SFC expide la CE 022, necesidad: realizar algunas precisiones respecto de los requerimientos de seguridad y calidad para la realización de operaciones. 30 de junio de 2011 la SFC expide la CE 026, necesidad: impartir instrucciones relacionadas con la prestación de servicios de los establecimientos de crédito, las sociedades comisionistas de bolsa de valores y las sociedades de intermediación cambiaria y servicios financieros especiales a través de corresponsales. 4 de octubre de 2012 la SFC expide la CE 042, necesidad: impartir nuevas instrucciones relacionadas con los requerimientos de seguridad y calidad para la realización de operaciones. 2. GENERALIDADES 1. Ámbito de aplicación 2. Definiciones y criterios de seguridad y calidad de la información 3. Obligaciones Generales 4. Obligaciones adicionales por tipo de canal 5. Reglas sobre actualización de software 6. Obligaciones específicas para tarjetas débito y crédito 7. Análisis de vulnerabilidades 2.1. ÁMBITO DE APLICACIÓN (CE 026/2011) Todas las entidades sometidas a la inspección y vigilancia de la SFC Excepto: 1. FOGAFIN 2. FOGACOOP 3. FNG 4. FONADE 5. Almacenes General de depósito 6. Fondos de garantía que se constituyan en el mercado público de valores, mutuos de inversión, ganaderos. 7. Sociedades calificadoras de valores y/o riesgo 8. Oficinas de representación de instituciones financieras y de reaseguros del exterior 9. Corredores de seguros y de reaseguros 10. Comisionistas Independientes de valores 11. Sociedades Comisionistas de bolsa agropecuarias 12. Organismos de autorregulación 2.2 DEFINICIONES Y CRITERIOS DE SEGURIDAD Y CALIDAD DE LA INFORMACIÓN Criterios de seguridad de la información 1. Confidencialidad 2. Integridad 3. Disponibilidad Criterios de Calidad de la información 1. Efectividad 2. Eficiencia 3. Confiabilidad Canales de distribución de servicios financieros 1. 2. 3. 4. 5. 6. 7. Oficinas Cajeros automáticos (ATM) Receptores de cheques Receptores de dinero en efectivo POS (incluye PIN Pad) Sistemas de Audio Respuesta (IVR) Centro de atención telefónica (Call center, contact center) 8. Sistemas de acceso remoto para clientes (RAS) 9. Internet 10. Banca Móvil Instrumentos para la realización de operaciones: Son los elementos con los que se imparten las órdenes para la realización de operaciones a través de los canales de distribución, los cuales son, entre otros, los siguientes: a. Tarjetas débito. b. Tarjetas crédito. c. Dispositivos móviles d. Órdenes electrónicas para la transferencia de fondos. * Vulnerabilidad informática *Cifrado fuerte * Sistema de Acceso Remoto (RAS) * Operaciones No monetarias * Operaciones Monetarias * Información Confidencial * Cliente * Usuario * Producto * Servicio * Dispositivo 3. PRINCIPALES MODIFICACIONES Nuevo numeral: Banca Móvil Definiciones Autenticación: conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es. Mecanismos fuertes de autenticación: 1. Biometría 2. Certificados de firma digital 3. OTP en combinación con un segundo factor de autenticación 4. Tarjetas que cumplan el estándar EMV en combinación con un segundo factor de autenticación. 5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación Banca Móvil: Canal de banca electrónica en el cual el dispositivo móvil es utilizado para realizar operaciones y su número de línea es asociado al servicio. Los servicios que se presten a través de dispositivos móviles y utilicen navegadores Web, son considerados banca por Internet. Proveedores de redes y servicios de telecomunicaciones: Empresas reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros (de acuerdo a lo establecido en la resolución 202 de 2010 art.1). OBLIGACIÓN POR TIPO DE CANAL FECHA DE CUMPLIMIENTO CAJEROS AUTOMÁTICOS Estar en capacidad de operar con las tarjetas descritas en la Circular (mecanismos fuertes de autenticación) 1º de octubre de 2013 SISTEMAS DE AUDIO RESPUESTA (IVR) Las entidades que permitan realizar operaciones monetarias por este canal, deben ofrecer a sus clientes mecanismos fuertes de autenticación. INTERNET Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa. Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación. 1º de octubre de 2013 1º de abril de 2013 1º de julio de 2013 OBLIGACIÓN POR TIPO DE CANAL FECHA DE CUMPLIMIENTO Banca Móvil: El canal de Banca Móvil deberá cumplir con los siguientes requerimientos: Contar con mecanismos de autenticación de dos factores para la realización de operaciones monetarias y no monetarias. Mas de 2smmlv Menos de 2smmlv 1º de julio de 2013 Mecanismos de cifrado fuerte Medidas para mitigar riesgo • Contar con medidas que garanticen la atomicidad de las operaciones y eviten su duplicidad debido a fallas en la comunicación. • Los servicios que se presten para la realización de operaciones a través de Internet, en sesiones originadas desde el dispositivo móvil: REQUERIMIENTOS INTERNET. OBLIGACIONES ESPECÍFICAS PARA TARJETAS DÉBITO Y CRÉDITO FECHA DE CUMPLIMIENTO Entregar a sus clientes tarjetas débito que manejen 1º de abril de 2013 todas las internamente mecanismos fuertes de autenticación. tarjetas débito y crédito que se entreguen a los clientes deberán cumplir con las características de descritas. Cajeros automáticos (ATM) y en puntos de pago (POS). 1º de octubre de 2014 todas las Entregar a sus clientes tarjetas de crédito que tarjetas débito y crédito activas cumplir con los manejen internamente mecanismos fuertes de deberán autenticación siempre que los cupos aprobados requerimientos establecidos. superen dos (2) SMMLV. Para la realización de pagos no será necesario el uso de la clave. Gracias Claudia Elena Escobar R. Directora de Canales y Alianzas Certicámara S.A Claudia.escobar@certicamara.com