2006062599 - Superintendencia Financiera de Colombia

Anuncio
CAJERO AUTOMÁTICO, DATAFONO, FUNCIONAMIENTO
ENCRIPTADOS
Concepto 2006062599-001 del 29 de noviembre de 2006.
-
MENSAJES
Síntesis: Aspectos generales sobre la forma como operan los cajeros automáticos y datáfonos
para la realización de transacciones en un establecimiento de comercio; corresponderá al
banco efectuar precisiones técnicas en la medida en que cada institución financiera es la
responsable de la prestación de los servicios a sus clientes, con independencia de los medios a
través de los cuales opere. Mensajes encriptados, definición y finalidad.
«(…) solicita informe o designe un perito para que verifique y conceptúe sobre las inquietudes
formuladas, en relación con el proceso ordinario promovido por (…) contra el Banco (…), nos
permitimos efectuar las siguientes consideraciones:
(…)
(…) a título informativo nos permitimos resolver las inquietudes formuladas en el mismo
orden en que fueron presentadas, a saber:
“Como (sic) opera o como (sic) se realiza una transacción a través de cajeros automáticos
y/o una transacción de un establecimiento de comercio”:
En términos generales nos permitimos ilustrarlo sobre la forma como opera un cajero
automático, así como los datáfonos para la realización de transacciones en un establecimiento
de comercio, sin entrar en los detalles técnicos, cuyas precisiones corresponderá efectuar al
banco (…), en la medida en que cada institución financiera es la responsable de la prestación
de los servicios a sus clientes, con independencia de los medios a través de los cuales opere,
esto es, cajeros, datáfonos, internet, call center, IVR, propios o de terceros. Ahora, dicho
servicio debe prestarse en condiciones de seguridad, transparencia y eficiencia y, para ello,
esta Superintendencia ha impartido instrucciones como las contenidas en el numeral 8 capítulo
1 Título II de la Circular Básica Jurídica 007 de 1996, en la que se establecieron reglas
mínimas de seguridad para la realización de transacciones a través de tarjetas de crédito y
débito, terminales, cajeros automáticos, puntos de servicio en oficinas y establecimientos
comerciales (numeral 8), entre otros.
Ahora bien, en punto al funcionamiento de un cajero automático, nos permitirnos ilustrar la
forma general como opera sin perder de vista que cada institución financiera, dentro de su
autonomía pueda establecer variantes operativas acordes a sus políticas. Con esta premisa,
digamos que un cajero automático funciona de la siguiente manera:
• Requiere la autenticación o identificación del cliente a través de mecanismos tales como la
tarjeta y su correspondiente clave o la huella en aquellos que cuentan con el dispositivo
biométrico que permite su captura. Esta identificación se puede realizar al inicio o al finalizar
la operación, dependiendo de las políticas de seguridad de la institución financiera.
• La información leída de la banda magnética de la tarjeta y la clave de identificación personal
digitada o la huella, se cifran (encriptan) y se transmiten al servidor (computador autorizador)
de la institución financiera para surtir el correspondiente proceso de validación, esto es, que la
cuenta esté vigente y activa, que la tarjeta no esté bloqueada, que la clave personal
corresponda a la respectiva tarjeta, entre otras.
• En caso de que el resultado de la validación sea exitoso el cajero desplegará las
correspondientes opciones que le permitirán al cliente realizar la transacción deseada (consulta
de saldo, retiro en efectivo, transferencias, pagos, entre otros).
• De toda operación queda un registro interno (log de transacciones) para control de la
institución financiera y se debe generar el respectivo comprobante para el cliente.
En cuanto a las operaciones realizadas desde un establecimiento de comercio a través de
datáfonos, el proceso de autenticación, en tratándose de tarjetas débito, es similar al descrito
para el cajero automático. Tratándose de tarjeta de crédito, el proceso de autenticación se
limita a la lectura de la información registrada en la banda magnética del respectivo plástico.
Surtido este trámite se procede a debitar la cuenta del cliente por el valor de la transacción y
acreditar posteriormente dicho valor en la cuenta del establecimiento de comercio. De igual
forma, el establecimiento de comercio debe generar el comprobante respectivo al término de
cada operación.
“Si un retiro por cajero automático y/o una transacción en un establecimiento de comercio
tiene éxito con la inserción de una clave distinta a la clave que corresponde al titular de la
cuenta debitada”.
De acuerdo a lo explicado al resolver la inquietud anterior, para la realización de una
transacción sea por un cajero automático o una compra en un establecimiento de comercio, se
requiere necesariamente de la clave y la tarjeta respectiva.
“Si un retiro por cajero automático y/o una transacción en un establecimiento de comercio
tiene éxito sin la inserción del plástico o tarjeta debido (sic)”
Reiterando el procedimiento señalado en precedencia, debemos señalar que, salvo para los
casos diferentes a aquellos en los que el cajero automático cuenta con un dispositivo
biométrico que permite capturar la huella, en los demás se hace necesario el uso del plástico y
la clave respectiva.
“Que (sic) es un mensaje encriptado en materia de operaciones electrónicas.”
De acuerdo con la definición que trae la página Web:
http://es.wikipedia.orq/wiki/Portada “La criptografía (del griego kryptos, “ocultar’, y grafos,
“escribir”, literalmente “escritura oculta’) es el arte o ciencia de cifrar y descifrar
información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de
manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería
hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía propiamente
dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los métodos que se
utilizan para romper textos cifrados con objeto de recuperar la información original en
ausencia de la clave.
La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación
entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la
información que se envía es auténtica en un doble sentido:
que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado,
habitualmente denominado criptograma, no haya sido modificado en su tránsito.
En la actualidad, la criptografía no sólo se utiliza para comunicar información de forma
segura ocultando su contenido a posibles fisgones. Una de las ramas de la criptografía que
más ha revolucionado el panorama actual de las tecnologías informáticas es el de la firma
digital: tecnología que busca asociar al emisor de un mensaje con su contenido de forma que
aquel no pueda posteriormente repudiarlo.”
(…).»
Descargar