Académique Documents
Professionnel Documents
Culture Documents
NORMATIVA de Tecnologa de la Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y en Lnea para los Entes Sometidos al Control, Regulacin y Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras"
Superintendencia de Bancos y Otras Instituciones Financieras Gerencia de Gestin Organizacional 1806-2006 BICENTENARIO DE LA LLEGADA DE FRANCISCO DE MIRANDA A LA VELA DE CORO
Pg. 1 de 32
CAPITULO I - DEPENDENCIA FUNCIONAL E INFRAESTRUCTURA DEL REA DE TECNOLOGA DE LA INFORMACIN................................................... 8 CAPITULO II - POLTICAS, NORMAS Y PROCEDIMIENTOS .............................. 8 CAPITULO III - COMIT DE DIRECCIN Y PLANIFICACIN DE LOS SERVICIOS DE TECNOLOGA DE LA INFORMACIN......................................... 8 CAPITULO IV - PLANIFICACIN ESTRATGICA DE TECNOLOGA DE LA INFORMACIN ............................................................................................................ 8 CAPITULO V - DEL PERSONAL DEL REA DE TECNOLOGA DE INFORMACIN ............................................................................................................ 9
TITULO III - OPERACIONES DE LOS SISTEMAS DE INFORMACIN............................................... 9
CAPITULO I - DOCUMENTACIN, PLANIFICACIN DE LAS OPERACIONES Y PROCESAMIENTO DE LA INFORMACIN ......................................................... 9 CAPITULO II - RESPALDOS Y RESGUARDO DE LA INFORMACIN............. 10
TITULO IV - CONTRATACIN DE PROVEEDORES EXTERNOS ...................................................... 11
CAPITULO I - PROVEEDORES EXTERNOS.......................................................... 11 SECCIN PRIMERA - EVALUACIN Y SELECCIN DE LOS PROVEEDORES EXTERNOS DE TECNOLOGA DE INFORMACIN ........... 11 SECCIN SEGUNDA - DEL CONTRATO DE SERVICIOS TECNOLGICOS12 SECCIN TERCERA - CONTROL Y SEGUIMIENTO DE LAS ACTIVIDADES Y PROCESOS EJECUTADOS POR EL PROVEEDOR. ....................................... 13 SECCIN CUARTA - TERCERIZACIN DE SERVICIOS................................. 13
TITULO V - SEGURIDAD DE LA INFORMACIN................................................................................ 14
CAPITULO I - POLTICAS DE SEGURIDAD DE LOS ACTIVOS INFORMTICOS......................................................................................................... 14 CAPITULO II - CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIN ....................................................................................................................................... 15 CAPITULO III - GENERACIN DE REGISTROS DE AUDITORIAS................... 16 CAPITULO IV - SEGURIDAD FSICA ..................................................................... 16
TITULO VI - PLAN DE CONTINGENCIA TECNOLGICA ................................................................. 18
CAPITULO I - ALCANCE Y CONTENIDO DEL PLAN DE CONTINGENCIA ... 18 CAPITULO II - MANTENIMIENTO Y REEVALUACIN DEL PLAN DE CONTINGENCIAS TECNOLGICAS ...................................................................... 19
TITULO VII - MANTENIMIENTO E IMPLANTACIN DE LOS SISTEMAS DE INFORMACIN .. 19
Pg. 2 de 32
NORMATIVA de Tecnologa de la Informacin SUDEBAN CAPITULO II - CONTROL DE ACCESO A LAS BIBLIOTECAS QUE ALMACENAN LOS PROGRAMAS FUENTES ........................................................ 20 CAPITULO III - DESARROLLO EXTERNO DE SOFTWARE. .............................. 21 CAPITULO IV - ADMINISTRACIN DE LAS BASES Y ESTRUCTURAS DE DATOS ......................................................................................................................... 22
TITULO VIII - REDES................................................................................................................................ 24
CAPITULO I - INFRAESTRUCTURA DE LAS REDES ......................................... 24 CAPITULO II - ADMINISTRACIN Y CONTROLES DE LAS REDES............... 25 CAPITULO III - REGISTRO DE USUARIOS Y POLTICA DE UTILIZACIN DE LOS SERVICIOS DE RED. ......................................................................................... 25 CAPITULO IV - PROTECCIN DE LOS PUERTOS DE DIAGNOSTICO REMOTO ....................................................................................................................................... 26
TITULO IX - INFRAESTRUCTURA DE LAS TELECOMUNICACIONES........................................... 27 TITULO X - BANCA VIRTUAL ................................................................................................................ 28
CAPITULO I - ADMINISTRACIN Y CONTROL DEL SERVICIO DE BANCA VIRTUAL ..................................................................................................................... 28 CAPITULO II - MECANISMOS DE CONTABILIZACIN Y REGISTRO DE TRANSACCIONES ..................................................................................................... 30 CAPITULO III - SEGURIDAD DEL SERVICIO DE BANCA VIRTUAL .............. 30
TITULO XI - DISPOSICIONES FINALES ............................................................................................... 32
CAPITULO I - SUMINISTRO DE INFORMACIN ASOCIADA AL USO DE LA TECNOLOGA DE INFORMACIN ......................................................................... 32 CAPITULO II - FORMACIN DE TALENTO HUMANO, ACTIVIDADES DE INVESTIGACIN Y DESARROLLO ASOCIADAS A LA TECNOLOGA DE INFORMACIN .......................................................................................................... 32 CAPITULO III - USO DE SISTEMAS DE REGISTRO, CONTROL Y MONITOREO DE RECLAMOS EFECTUADOS POR CLIENTES POR EL INADECUADO FUNCIONAMIENTO, DELITOS, FALLAS O DESPERFECTOS EN LOS CANALES ELECTRNICOS ...................................................................... 32
Pg. 3 de 32
INTRODUCCIN Objetivo "La presente Norma tiene como objetivo establecer los lineamientos bsicos que debern cumplir los sujetos sometidos a la supervisin, control y regulacin de la Superintendencia de Bancos y Otras Instituciones Financieras (SUDEBAN) en la implantacin y uso de Tecnologa de la Informacin, as como, en la prestacin de servicios financieros desmaterializados, banca en lnea, electrnica y virtual." Responsable y Modificaciones Las modificaciones y/o actualizaciones de la presente normativa debern contar con el visto bueno de la Gerencia General de Tecnologa y la Gerencia de Riesgo Tecnolgico, oda la opinin del rgano Consultor de este Organismo. Ubicacin El presente documento normativo deber estar en un lugar accesible, para ser consultado por los interesados. El Superintendente de Bancos y Otras Instituciones Financieras, en uso de las facultades que le confiere los artculos 223, numeral 2 en concordancia con el 235 numeral 9 del Decreto con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras, dicta la presente normativa: NORMATIVA DE TECNOLOGA DE LA INFORMACIN, SERVICIOS FINANCIEROS DESMATERIALIZADOS, BANCA ELECTRNICA, VIRTUAL Y EN LNEA PARA LOS ENTES SOMETIDOS AL CONTROL, REGULACIN Y SUPERVISIN DE LA SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS TITULO I - DISPOSICIONES GENERALES CAPITULO I - OBJETO Y MBITO DE APLICACIN Artculo 1: La presente Norma tiene por objeto regular la implantacin y uso de Tecnologa de la Informacin de los sujetos sometidos a la supervisin, control y regulacin de la SUDEBAN, as como, de la prestacin de servicios financieros desmaterializados, banca en lnea, electrnica y virtual, con el fin de coadyuvar a minimizar las brechas entre los riesgos de negocio, las necesidades de control y aspectos tcnicos orientados a asegurar los servicios de atencin al cliente interno y externo; obligndolos a cumplir con los requerimientos de confiabilidad, efectividad, eficiencia, confidencialidad, integridad, disponibilidad y cumplimiento de la informacin. Artculo 2: Las disposiciones de la presente normativa se aplicarn a los sujetos sometidos a la supervisin, control y regulacin de la SUDEBAN, en lo adelante Entes supervisados, a saber: Bancos Universales, Bancos de Desarrollo, Bancos Comerciales, Bancos de Inversin, Bancos Hipotecarios, Arrendadoras Financieras, Fondos del Mercado Monetario, Casas de Cambio, Entidades de Ahorro y Prstamo y Bancos Estatales, Empresas Emisoras y Operadoras de Tarjetas de Crdito, exceptuando aquellas Instituciones establecidas o por establecerse por el Estado que tengan por objeto crear, estimular, promover y desarrollar el sistema microfinanciero del pas para atender la economa popular y alternativa, tal como est previsto en el Decreto con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras.
Pg. 4 de 32
CAPITULO II - DE LAS DEFINICIONES Artculo 3: A los efectos de la presente normativa, se entiende por: a. Administracin Integral de Riesgo: Conjunto de objetivos, polticas, procedimientos y acciones que se implementan para identificar, medir, monitorear, limitar, controlar, informar y revelar los distintos tipos de riesgos a que se encuentran expuestas las Instituciones Financieras. b. Administrador de Base de Datos: Responsable del mantenimiento y control de las bases de datos, as como, de la administracin del diccionario de datos, la aplicacin, el mtodo de acceso a las bases y estructuras de datos y de cualquier otra actividad asociadas a stas. c. Amenaza: Posibles eventos que pueden desencadenar un incidente en la Institucin Financiera, produciendo daos materiales o prdidas inmateriales en sus activos y en las operaciones normales del negocio, interrumpiendo en algunos casos los servicios que prestan. d. Arquitectura de Informacin: Disciplina que organiza conjuntos de informacin, permitiendo que cualquier persona los entienda y los integre a su propio conocimiento, de manera simple. e. Autenticacin: Proceso de comprobacin de la identidad de una persona, de un usuario emisor o receptor de informacin. f. Banca en lnea: Incluye todos los sistemas, equipos, servicios y productos que son ofrecidos a los usuarios de las Instituciones Financieras a nivel de sus agencias, oficinas y sucursales. g. Banca Electrnica: Sistemas, equipos, productos y servicios ofrecidos por las Instituciones Financieras a travs del uso de Internet Banking, cajeros automticos (ATM), puntos de ventas (POS), dispensadoras de chequera, sistemas de atencin de reclamos y otros servicios que se encuentren automatizados a travs de plataformas de cmputo. h. Banca Virtual (Internet Banking): Conjunto de productos y servicios ofrecidos por los bancos, entidades de ahorro y prstamo y dems Instituciones Financieras, para realizar por medios electrnicos, magnticos o mecanismos similares, de manera directa y en tiempo real las operaciones que tradicionalmente suponen la realizacin de llamadas telefnicas o movilizaciones de los usuarios a las oficinas, sucursales o agencias. i. Base de Datos: Sistema formado por un conjunto de datos almacenados en discos o cualquier otro medio magntico que permite el acceso directo a ellos, encontrndose estructurados de manera fiable y homognea, organizados independientemente, accesibles en tiempo real, compartidos por usuarios concurrentes que tienen necesidades de informacin diferentes y no predecible en el tiempo. j. Cableado Estructurado: Infraestructura de cable nica y completa destinada a transportar, a lo largo y ancho de un edificio, las seales que emite un emisor de algn tipo de seal hasta el correspondiente receptor. k. Configuracin Base: Adaptacin bsica de una aplicacin, sistemas o equipos al resto de los elementos del entorno y a las necesidades especficas del usuario. l. Control de Acceso: Conjunto de procedimientos usados para limitar el acceso de los usuarios a los diferentes recursos de un sistema o equipos. m. Control Interno: Conjunto de polticas, normas, procedimientos, planes, mtodos, principios y mecanismos de verificacin y evaluacin adoptados por la Institucin para evaluar en forma preventiva, detectiva y correctiva las actividades, operaciones y actuaciones, as como, la administracin de la informacin y los recursos, a fin de que se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las polticas trazadas por la direccin y en atencin a las metas u objetivos previstos. n. Cortafuego (firewall): Equipo o bloque de instrucciones de programacin interpuesto como barrera en un sistema informtico o una red local con el propsito de prevenir o aminorar los graves daos que podran derivarse de su uso errneo o malintencionado.
Pg. 5 de 32
Pg. 6 de 32
Pg. 7 de 32
CAPITULO I - DEPENDENCIA FUNCIONAL E INFRAESTRUCTURA DEL REA DE TECNOLOGA DE LA INFORMACIN Artculo 5: La Alta Gerencia del Ente supervisado, debe garantizar que el rea de Tecnologa de la Informacin posea independencia funcional de las reas usuarias. Artculo 6: La infraestructura del rea de Tecnologa de la Informacin debe ser consistente con la naturaleza y complejidad de las operaciones que realiza el Ente supervisado.
CAPITULO II - POLTICAS, NORMAS Y PROCEDIMIENTOS Artculo 7: Las polticas, normas y procedimientos del rea de Tecnologa de la Informacin deben documentarse, formalizarse y circularizarse, asegurando que estas se mantengan adecuadamente actualizadas.
CAPITULO III - COMIT DE DIRECCIN Y PLANIFICACIN DE LOS SERVICIOS DE TECNOLOGA DE LA INFORMACIN Artculo 8: El Ente supervisado debe conformar un Comit de Direccin y Planificacin de los Servicios de Tecnologa de la Informacin, que coordine todo lo concerniente a la planeacin y ejecucin de las actividades relacionadas con el rea tecnolgica. Pargrafo nico: El Comit de Direccin y Planificacin de los Servicios de Tecnologa, debe incluir entre sus miembros a representantes de las reas de Tecnologa, Administracin Integral de Riesgos, Auditora de Sistemas y Gerentes de las unidades usuarias. Durante la creacin de dicho comit debern definirse sus funciones y actividades, as como, la periodicidad de las reuniones de trabajo en las cuales se documentarn las decisiones y acuerdos establecidos, mediante actas que se mantendrn archivadas durante un periodo no menor a dos (2) aos.
CAPITULO IV - PLANIFICACIN ESTRATGICA DE TECNOLOGA DE LA INFORMACIN Artculo 9: El Ente supervisado deber establecer un proceso de planificacin de Tecnologa de la Informacin acorde con los objetivos del negocio, destacando que su elaboracin ser a travs del uso de una metodologa formal y consistente con la realidad de la Institucin. En este sentido, la Alta Gerencia de los servicios de Tecnologa de la Informacin debe efectuar un seguimiento continuo de las tendencias tecnolgicas, as como, a las regulaciones emitidas por esta Superintendencia que regulen su funcionamiento, de modo que estas sean consideradas al momento de elaborar y actualizar la planificacin estratgica de tecnologa.
Pg. 8 de 32
CAPITULO V - DEL PERSONAL DEL REA DE TECNOLOGA DE INFORMACIN Artculo 14: El rea de Tecnologa de la Informacin en conjunto con Recursos Humanos debe identificar, organizar, capacitar y desarrollar a los usuarios finales en el uso efectivo de la tecnologa, seguridad, riesgos y responsabilidades relacionadas con el desarrollo normal de sus actividades. Artculo 15: El rea de Recursos Humanos del Ente supervisado, debe establecer procedimientos formales para la seleccin y reclutamiento del personal de tecnologa, en los cuales deben contemplar la participacin de la Alta Gerencia del rea de Tecnologa de la Informacin. Artculo 16: El rea de Recursos Humanos del Ente supervisado debe documentar en un Manual Descriptivo de Cargos las funciones, actividades y responsabilidades inherentes del personal de Tecnologa de Informacin, as como, la descripcin del perfil tcnico y de las competencias que debe tener el ocupante de cada cargo. TITULO III - OPERACIONES DE LOS SISTEMAS DE INFORMACIN CAPITULO I - DOCUMENTACIN, PLANIFICACIN DE LAS OPERACIONES Y PROCESAMIENTO DE LA INFORMACIN Artculo 17: Los sujetos que se encuentran bajo la supervisin de esta Superintendencia, deben elaborar y mantener actualizada la documentacin que sustente las actividades que se realizan en el centro de procesamiento de datos.
Pg. 9 de 32
CAPITULO II - RESPALDOS Y RESGUARDO DE LA INFORMACIN Artculo 23: El Ente supervisado, deber realizar respaldos de archivos, bases de datos, sistemas operativos y dems software necesario para el adecuado funcionamiento de los equipos y aplicaciones de misin crtica con una frecuencia diaria, semanal y mensual. Artculo 24: Se deben documentar las polticas, normas y procedimientos que aseguren la ejecucin peridica de los respaldos de la informacin y de los sistemas de misin crtica, con la finalidad de garantizar la continuidad del negocio. Los medios de almacenamiento masivo contentivo de las aplicaciones e informacin de misin crtica deben ser probados peridicamente para garantizar que cumplen con los requerimientos establecidos en los planes de continuidad del negocio. Adicionalmente, para el resguardo de los respaldos se debern considerar los siguientes controles:
Pg. 10 de 32
TITULO IV - CONTRATACIN DE PROVEEDORES EXTERNOS CAPITULO I - PROVEEDORES EXTERNOS SECCIN PRIMERA - EVALUACIN Y SELECCIN DE LOS PROVEEDORES EXTERNOS DE TECNOLOGA DE INFORMACIN "Artculo 29: Se debe mantener un procedimiento documentado y formalizado para realizar la seleccin de los proveedores externos de Tecnologa de Informacin y asegurar que estos se encuentren adecuadamente calificados sobre la base de una evaluacin de su capacidad de prestacin del servicio requerido, antes de proceder a la contratacin.
Pg. 11 de 32
SECCIN SEGUNDA - DEL CONTRATO DE SERVICIOS TECNOLGICOS Artculo 30: El contrato con el proveedor externo de tecnologa deber contener como mnimo las siguientes clusulas: a. Garanta de acceso a los programas fuentes, en caso de quiebra del proveedor o situaciones contingentes que as lo requieran, las cuales debern quedar claramente expresadas en el mencionado documento. b. Especificaciones sobre la propiedad de los activos de informacin empleados durante la contratacin del servicio (aplicaciones o sistemas propietarios, equipos, licencias, entre otros aspectos). c. Establecer la proteccin, privacidad y confidencialidad de los activos informticos del Ente supervisado que sern accedidos y manejados por el proveedor de servicios. d. Indicar en forma pormenorizada las caractersticas de la plataforma de desarrollo que ser utilizada por el proveedor (tales como equipos, sistemas o aplicaciones, lenguaje de programacin y motor de base de datos), as como, las polticas de seguridad, respaldos y traslado de informacin a otros ambientes. e. Indicar el tiempo de desarrollo por cada etapa definida en forma detallada, incluyendo las pruebas de los programas desarrollados. f. Establecer clusulas de indemnizacin por daos y perjuicios, en caso de fraudes o sabotajes cibernticos. g. La responsabilidad que asume la empresa proveedora para mantener polticas, normas y procedimientos que garanticen la seguridad informtica, el secreto bancario, la confidencialidad de la informacin, as como, aquellas tendentes a prevenir prdidas, atrasos o deterioros de los datos, en conformidad con lo establecido en la legislacin venezolana. h. La facultad del Ente supervisado para practicar evaluaciones peridicas directas de las actividades efectuadas por la empresa proveedora del servicio, mediante auditoras independientes, incluyendo aquellas requeridas por esta Superintendencia. i. Que la infraestructura tecnolgica, los sistemas operativos y las herramientas de desarrollo, que se utilizarn estn debidamente licenciados por el fabricante o representante de software, segn sea el caso. j. Que la infraestructura tecnolgica y los sistemas que se utilizarn para la comunicacin, almacenamiento y procesamiento de datos, ofrezcan suficiente seguridad para asegurar la
Pg. 12 de 32
Pg. 13 de 32
CAPITULO I - POLTICAS DE SEGURIDAD DE LOS ACTIVOS INFORMTICOS Artculo 38: El Ente supervisado debe administrar adecuadamente la seguridad lgica de los recursos de Tecnologa de la Informacin, incluso aquellos que sean administrados o custodiados por terceros. En consecuencia deber establecer, formalizar e informar las polticas y procedimientos que permitan identificar, autenticar y autorizar el acceso a los sistemas de informacin, operativos y de base de datos. De igual forma, debern incluir entre sus polticas y procedimientos aquellos que permitan hacer un seguimiento a las transacciones operaciones que sean ejecutadas sobre los activos informticos. Artculo 39: En la estructura organizacional del Ente supervisado, debe existir un rea de seguridad de la informacin independiente de las unidades de Tecnologa de la Informacin, Auditoria de Sistemas y Riesgo, establecindose como mnimo las siguientes funciones: a. Definir y mantener actualizadas las polticas de seguridad de la informacin. b. Aplicar y asegurar el cumplimiento de las polticas de seguridad de la informacin definidas. c. Administrar el acceso a los sistemas operativos, bases de datos, aplicaciones, cortafuego, enrutadores, proxys, equipos computacionales y de telecomunicaciones empleados por el Ente supervisado, incluyendo aquellos administrados y custodiados por terceros. d. Monitorear los procesos de control de cambio y pases a produccin de los sistemas y aplicaciones productivas. e. Realizar el control y seguimiento continuo a los accesos efectuados a los activos de informacin. f. Establecer polticas, normas y procedimientos que regulen, controlen y aseguren el seguimiento continuo de la utilizacin del correo electrnico e Internet y todas aquellas transacciones que son ejecutadas a travs de los diferentes canales electrnicos empleados por los clientes.
Pg. 14 de 32
CAPITULO II - CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIN "Artculo 40: Los empleados del Ente supervisado deben firmar un acuerdo de confidencialidad y la no divulgacin de la informacin, como parte de sus trminos y condiciones iniciales de empleo. " Pargrafo nico: El personal temporal o contratado, as como los usuarios externos deben firmar el acuerdo de confidencialidad y la no divulgacin de la informacin, antes de que se les otorgue el acceso a las instalaciones de procesamiento de la informacin. Por otra parte, no debern tener acceso a las bases de datos del Ente supervisado, en procura de mantener la confidencialidad de la informacin del cliente Artculo 41: El Ente Supervisado deber establecer un esquema de referencia de clasificacin o categorizacin relativa a la confidencialidad de los datos segn su nivel de sensibilidad (informacin confidencial, pblica, privada, entre otros). Artculo 42: Los accesos a los sistemas, aplicaciones o bases de datos deben administrarse a travs del uso de perfiles definidos y documentados, los cuales estarn asociados a los cargos, roles o actividades desempeadas por los usuarios. Las normas y procedimientos establecidos para la asignacin de los accesos deben estar debidamente documentados y formalizados. Artculo 43: La unidad de seguridad de los activos de informacin deber garantizar que los operadores de turno no tengan acceso al ambiente de produccin definido en los computadores y servidores de misin crtica del Ente supervisado. Artculo 44: El Ente supervisado debe establecer polticas y procedimientos para regular, controlar y monitorear la utilizacin y acceso al correo electrnico e Internet, as como, a los enrutadores, cortafuego (firewall) y proxys. De igual forma, deber generar reportes de auditoria sobre intentos de violaciones a las redes o equipos, deteccin de posibles delitos informticos que atentan contra la confidencialidad de los clientes, uso de utilitarios sensitivos y las actividades de los usuarios con atributos de administracin y accesos especiales. Artculo 45: Definir mecanismos que permitan restringir al personal no autorizado el trfico de datos entrantes y salientes a los recursos tecnolgicos de la red. De igual forma, ser necesario efectuar pruebas de penetracin, tanto internas como externas, en periodos no mayores a un (1) ao. Artculo 46: Establecer dentro de su plataforma de red, aplicaciones que faculten la prevencin, deteccin y eliminacin de virus informticos. El Ente supervisado, deber asegurarse de la oportuna actualizacin de la base de datos de virus. Artculo 47: Restringir el acceso a utilitarios sensitivos que permitan modificar datos en el ambiente de produccin, para lo cual debern documentar, sustanciar y justificar cuando ocurra el evento. Artculo 48: La plataforma tecnolgica del Ente supervisado, debe ser auditada por medio de evaluaciones internas y externas en perodos no mayores a un (1) ao. Para ello, el rea de
Pg. 15 de 32
CAPITULO IV - SEGURIDAD FSICA Artculo 50: El Ente supervisado debe contar con una cobertura o una provisin de seguros para los principales equipos de cmputo y telecomunicaciones que permita mitigar los posibles riesgos existentes (incendio, huelga, motn, impacto de rayo, explosin, implosin, humo, gases o lquidos corrosivos, corto circuito, variaciones de voltaje, robo, asalto y fenmenos naturales). Artculo 51: Los materiales de construccin del edificio en el cual se almacena el centro de datos, incluyendo paredes, techo y pisos deben ser de materiales no combustibles. Artculo 52: Las paredes del centro de procesamiento de datos deben extenderse desde la estructura del piso a la del techo del edificio y no desde pisos elevados o techos falsos, con el fin de impedir una entrada subrepticia a las reas sensibles de la citada instalacin. Artculo 53: Instalar como mnimo un sistema de supresin de fuego de contacto seco en el cuarto en el que se encuentra el computador central y especialmente dentro de la cinto o discoteca. Artculo 54: Garantizar el mantenimiento adecuado de los detectores y sistema de alarma contra incendio, as como de las salidas de emergencia, paneles de distribucin elctrica y de potencia, aire acondicionado, suministros de potencia ininterrumpibles (UPS), plantas elctricas, entre otros aspectos. Artculo 55: Se debe contar con un sistema de seguridad elctrica que proteja de las variaciones de voltaje al computador central, sus perifricos y a los equipos de comunicacin de datos. Por otra parte, el cuarto de comunicaciones debe mantener instalado supresores de corrientes, protectores de las lneas de datos, barras de tierras, entre otros aspectos. De igual forma, debe estar libre de contactos e instalaciones elctricas en mal estado. Artculo 56: Se debe ubicar el panel de distribucin del sistema elctrico en un rea segura e inaccesible a personas no autorizadas.
Pg. 16 de 32
Pg. 17 de 32
Pg. 18 de 32
CAPITULO I - MODELO DE LA ARQUITECTURA DE INFORMACIN, DICCIONARIO DE DATOS Y REGLAS DE SINTAXIS DE DATOS Artculo 68: La informacin almacenada en los sistemas de informacin deber ser consistente con las necesidades del Ente supervisado y debe ser identificada, capturada y comunicada en la forma y dentro de perodos que permitan a los responsables llevar a cabo sus tareas. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente un modelo de arquitectura de informacin, abarcando los modelos de datos corporativos y los sistemas de informacin asociados. El modelo de arquitectura de informacin deber ser consistente con el plan a largo plazo definido por el rea de Tecnologa de Informacin. Artculo 69: La funcin de servicios de tecnologa de la informacin del Ente supervisado, debe asegurar la creacin y la continua actualizacin de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la Institucin. Artculo 70: El Ente supervisado, debe establecer polticas y procedimientos para el diseo, desarrollo e implantacin de sistemas de informacin eficaces, seguros y que impidan modificaciones no autorizadas. Asimismo, ser necesario que estos se ajusten al cumplimiento de las leyes, reglamentos y las normativas vigentes aplicables. En este sentido, la Institucin debe: a. Implementar una metodologa para el ciclo de vida del desarrollo de sistemas de informacin, que asegure su calidad y satisfaga los requerimientos del usuario. Para ello, ser necesario asegurar la funcionalidad del sistema desarrollado o modificado y garantizar que este sea revisado y aprobado por las unidades funcionales usuarias afectadas y la Alta Gerencia. b. Definir reas y recursos que permitan una adecuada separacin de los ambientes de trabajo computacionales, comnmente denominados desarrollo, pruebas o calidad y produccin, as como, la restriccin de acceso al personal de desarrollo, mantenimiento de sistemas y operaciones al ambiente de produccin. c. Establecer procedimientos de control de cambios de los programas asociados a los sistemas de informacin productivos, que permitan su adecuada transferencia, as como la de archivos, estructuras de datos, definiciones de diccionario de datos, rdenes de ejecucin de programas, entre otros aspectos.
Pg. 19 de 32
Artculo 73: El Ente supervisado debe mantener actualizada la documentacin tcnica que contenga como mnimo los siguientes aspectos: objetivos, alcances, diagrama del sistema, registro de modificaciones, lenguaje de programacin, manejador de las bases de datos empleados, descripcin del hardware y software, su interrelacin, interconexin o interfase con otras aplicaciones o rutinas, descripcin de las pantallas que permiten la modificacin directa de datos de produccin (cambios de parmetros, frmulas, tasas, datos, entre otros aspectos). CAPITULO II - CONTROL DE ACCESO A LAS BIBLIOTECAS QUE ALMACENAN LOS PROGRAMAS FUENTES Artculo 74: El Ente supervisado debe mantener un control estricto sobre el acceso a las bibliotecas que almacenan los programas fuentes, considerando como mnimo los siguientes aspectos: a. Las bibliotecas de programas fuentes no deben encontrarse almacenadas en el mismo ambiente en el cual residen los sistemas productivos de la Institucin. b. Se deber designar a un bibliotecario que se responsabilice por la administracin de los programas fuentes de las aplicaciones, destacando que este proceso podr ser automatizado, para lo cual debern generarse las pistas de auditoria pertinentes. c. El acceso a las bibliotecas que almacenan los programas fuentes por parte del personal de Tecnologa de Informacin debe ser limitado, destacando que debern documentarse las actividades que se ejecutarn sobre las citadas libreras, as como, el cargo del personal que podr acceder a ellas. d. Los programas en desarrollo o mantenimiento no deben ser almacenados en las bibliotecas de los programas fuentes, mientras no son certificada y aprobada su funcionalidad y operatividad. e. La actualizacin de las bibliotecas de programas fuentes y la distribucin de stos a los programadores, slo debe ser ejecutada por el bibliotecario designado, con la autorizacin de la mxima autoridad a la cual reporta la cual debe estar adscrita a Tecnologa de Informacin. f. Los listados de programas deben ser almacenados en un ambiente seguro, preferiblemente en las bibliotecas definidas para tal fin. g. Mantener un registro de auditoria de todos los accesos a las bibliotecas que almacenan los programas fuentes. h. Las antiguas versiones de los programas fuentes deben ser archivadas con una clara indicacin de las fechas en las cuales se encontraban operativos, indicando adems el software de soporte, el control de tareas, las definiciones de datos, entre otros aspectos. i. El mantenimiento y la copia de las bibliotecas de los programas fuente deben estar sujeta a estrictos procedimientos de control de cambios.
Pg. 20 de 32
Pg. 21 de 32
CAPITULO IV - ADMINISTRACIN DE LAS BASES Y ESTRUCTURAS DE DATOS Artculo 81: Los administradores de bases de datos son responsables de supervisar el uso de las estructuras, la conservacin de los registros, la ejecucin de funciones estadsticas, el control de acceso a las estructuras de datos y programas que pueden accederlas y cualquier otra funcin que involucre su monitoreo permanente. Artculo 82: El administrador de base de datos debe asegurar el estricto cumplimiento de los requisitos de seguridad globales del sistema administrativo de las bases de datos, destacando que estos deben ser consistentes con las polticas establecidas y monitoreadas por la unidad de seguridad de los activos de informacin. Artculo 83: Slo el administrador de base de datos tiene la autoridad para hacer cambios a la biblioteca del sistema administrativo de bases de datos. Artculo 84: El administrador de base de datos debe restringir la inclusin directa de datos en las estructuras sin la aprobacin del rea usuaria de la aplicacin, auditora y la unidad de seguridad de los activos de informacin, destacando que toda carga con las mencionadas caractersticas, deber documentarse, justificarse y autorizarse por las unidades competentes. Artculo 85: El administrador de base de datos deber establecer procedimientos escritos para la recuperacin de las bases y estructuras de datos, en caso de una destruccin total o parcial. Por otra parte, deber documentar los mecanismos de seguridad definidos para las estructuras de datos, la proteccin contra la destruccin accidental o deliberada, y de accesos no autorizados. Estos procedimientos deben incluir los accesos concurrentes al sistema y la forma de solucionar aquellos requerimientos conflictivos que causen incidentes adversos a los esperados. Se destaca que los procedimientos debern ser revisados y avalados por el personal de auditora de sistemas y la unidad de seguridad de los activos de informacin y custodiados adecuadamente a fin de evitar accesos irrestrictos. Artculo 86: El administrador de bases de datos debe aprobar en conjunto con el comit de control de cambios todas las modificaciones mayores al software del sistema de administracin de base de datos, de igual forma, deber validar cualquier cambio y aceptar formalmente la incorporacin de nuevas versiones. Artculo 87: La Alta Gerencia de Tecnologa de Informacin debe asegurar la existencia de controles y procedimientos especiales para prevenir el acceso a las bases de datos cuando no estn bajo el control del software del sistema de administracin de base de datos. De igual forma, deber controlar el acceso a la biblioteca del referido sistema y a cualquier otra documentacin de los programas de utilera, aplicacin de los usuarios u otro recurso. Artculo 88: Se establecen como controles mnimos necesarios para asegurar la integridad de las bases de datos, los siguientes:
Pg. 22 de 32
Pg. 23 de 32
CAPITULO I - INFRAESTRUCTURA DE LAS REDES Artculo 97: La Alta Gerencia de Tecnologa de la Informacin debe asegurarse que los planes de adquisicin de hardware y software reflejen las necesidades identificadas en el plan estratgico de Tecnologa de la Informacin. Artculo 98: Antes de la implantacin de un nuevo hardware o software, el Ente supervisado debe evaluar el impacto de la implantacin en los sistemas existentes para as minimizar cualquier interrupcin de los sistemas de informacin como resultado del proceso realizado. Artculo 99: Deben establecer procedimientos para la realizacin de pruebas al hardware o software instalado. Estos procedimientos deben incluir como mnimo las siguientes pruebas: a. Unitarias e integrales. b. De interfaz. c. De capacidad. d. De aceptacin del usuario.
Pg. 24 de 32
CAPITULO III - REGISTRO DE USUARIOS Y POLTICA DE UTILIZACIN DE LOS SERVICIOS DE RED. Artculo 106: Asegurar la existencia de un procedimiento formal de registro y eliminacin de usuarios para otorgar accesos a todos los sistemas y servicios de informacin multi-usuario existentes, el cual debe incluir los siguientes aspectos: a. Utilizar identificaciones de usuario nicos de forma tal que se sea posible vincularlos y hacer responsables a estos por sus acciones. b. Verificar que el usuario tenga la autorizacin del propietario del sistema para su uso. c. Asegurar que el nivel de acceso otorgado es adecuado para el propsito del negocio, es coherente con la poltica de seguridad de la organizacin y consistente con las funciones asociadas al cargo que desempea. d. Entregar a los usuarios un detalle escrito de sus derechos de acceso.
Pg. 25 de 32
CAPITULO IV - PROTECCIN DE LOS PUERTOS DE DIAGNOSTICO REMOTO Artculo 109: El acceso a los puertos de diagnstico debe ser controlado de manera segura por un mecanismo de seguridad apropiado y un procedimiento que garantice que slo son accesibles mediante un acuerdo formal y documentado que justifique el ingreso por parte del personal de soporte de hardware y software. Artculo 110: Los especialistas de redes en conjunto con el rea de unidad de seguridad de los activos de informacin, deben establecer las polticas de control de acceso para redes compartidas, especialmente aquellas que se extiendan ms all de los lmites de la Institucin. Dichos controles deben implementarse mediante equipos o software de red que filtren el trfico por medio de reglas o tablas previamente definidas. Las restricciones aplicadas deben basarse en la poltica y los requerimientos de acceso de las aplicaciones del Ente supervisado y deben mantenerse y actualizarse de conformidad a lo expresamente establecido en la norma definida para tal fin. En este sentido, deben considerarse restricciones para:
Pg. 26 de 32
TITULO IX - INFRAESTRUCTURA DE LAS TELECOMUNICACIONES Artculo 111: La administracin del sistema de cableado de telecomunicaciones incluye la documentacin, terminacin de los cables y certificacin, paneles de patcheo, armarios de telecomunicaciones y otros espacios ocupados por el sistema. Artculo 112: Conforme a lo establecido por la norma ANSI/EIA/TIA-606, se considera necesario marcar con el cdigo de color que a continuacin se detalla, los cables de telecomunicaciones empleados para su debida identificacin: a. Color Naranja: Terminacin central de oficina. b. Color Verde: Conexin de red / circuito auxiliar. c. Color prpura: Conexin mayor / equipo de datos. d. Color Blanco: Terminacin de cable MC (conector de cruzado principal) a IC (conector de cruzado intermedio). e. Color Gris: Terminacin de cable IC (conector de cruzado intermedio) a MC (conector de cruzado principal). f. Color Azul: Terminacin de cable horizontal. g. Color Marrn: Terminacin del cable del campo. h. Color Amarillo: Mantenimiento auxiliar, alarmas y seguridad. i. Color Rojo: sistema telefnico. Artculo 113: El rea o cuarto de telecomunicaciones debe ser empleado nicamente para ubicar el equipo asociado con el sistema de cableado, destacando que no debe ser compartido con instalaciones elctricas distintas al equipo de telecomunicaciones, terminaciones de cable y cableado de interconexin asociado, destacando que esta zona debe mantenerse libre de contactos e instalaciones en mal estado. Pueden incorporarse otros sistemas de informacin del edificio como alarmas, seguridad audio y de telecomunicaciones. Artculo 114: En los cuartos de telecomunicaciones ser necesario el uso de paneles de patcheo para terminar el cableado telefnico y el horizontal, implementando las cruzadas de patcheo (tambin llamadas patch cords). Artculo 115: Se debe evitar el polvo y la electricidad esttica, utilizando piso de concreto, terrazo, loza o similar en los cuartos de telecomunicaciones. La temperatura y la humedad relativa deben ser las recomendadas para este tipo de instalaciones. Por otra parte, debe evitarse el uso de cielos falsos estar libres de amenazas de inundacin. Artculo 116: Los equipos activos de la red como switches, concentradores, multiplexores, puentes, enrrutadores, conmutadores y componentes del cableado estructurado debern instalarse sobre los muebles (rack) de comunicaciones. Artculo 117: La documentacin tcnica asociada a la infraestructura de telecomunicaciones deber contemplar como mnimo los siguientes aspectos: a. Diagrama lgico de la red.
Pg. 27 de 32
CAPITULO I - ADMINISTRACIN Y CONTROL DEL SERVICIO DE BANCA VIRTUAL Artculo 123: El Ente supervisado, previa notificacin a la Superintendencia de Bancos, podr brindar, a travs de la banca virtual, los siguientes servicios: a. Preguntas y consultas de cuentas, balances y tarifas bancarias. b. Historial de transacciones. c. Enviar o recibir mensajes del Banco. d. Acceso a informacin personal del cliente, de tal manera que pueda ser modificada y actualizada. e. Consulta de las transacciones efectuadas en los diversos productos mantenidos por la Institucin.
Pg. 28 de 32
Pg. 29 de 32
CAPITULO II - MECANISMOS DE CONTABILIZACIN Y REGISTRO DE TRANSACCIONES Artculo 128: La Institucin que ofrezca el servicio de banca virtual mantendr una bitcora de acceso y de uso del sistema que permita registrar las transacciones bancarias y autenticaciones que realiza el cliente, la cual estar a disposicin de este Organismo y conservar, por cualquier medio autorizado por Ley, por un perodo de tiempo no inferior a cinco (5) aos, contados a partir de la fecha de la transaccin. De igual manera, la Institucin debe contar con mecanismos que garanticen la custodia de dichos datos y la recuperacin de la actividad procesada por la aplicacin manteniendo una asociacin entre la transaccin de banca virtual y la persona que la ejecut.
CAPITULO III - SEGURIDAD DEL SERVICIO DE BANCA VIRTUAL Artculo 129: La unidad de seguridad de los activos de informacin del Ente supervisado, deber establecer mecanismos de control que permitan alertar las fallas y minimizar las vulnerabilidades que la plataforma tecnolgica que soporta los servicios de banca virtual pueda presentar, considerando como mnimo: a. Definicin de controles de acceso lgicos a datos, sistemas, aplicaciones, software, utilitarios, lneas de comunicaciones, libreras, entre otros. b. Existencia de mecanismos cortafuegos (firewalls) para mediar entre la red pblica, Internet y la red privada del Ente supervisado, a fin de garantizar la no intromisin cuando estas se evidencien. c. Proteccin contra virus y monitoreo y acciones correctivas sobre cualquier actividad asociada a delitos informticos en el ambiente de banca virtual y sus redes privadas de soporte (denegacin del servicio, plagio, usurpacin o adulteracin de identidad, captura de informacin personal, financiera y privada del cliente, entre otros aspectos). d. Inhabilitacin de servicios innecesarios en el servidor de aplicacin de la banca virtual, tales como: Protocolo de Transferencia de Archivo (FTP - File Transfer Protocol), Telnet. e. Utilizacin de tecnologas de seguridad para implementar el servicio de la banca virtual, tales como: Infraestructura de Claves Pblicas (PKI Public Key Infraestructura), Protocolos SSL (Secure Sockets Layer), TLS (Transport Layer Security), IPSec, SET. f. Uso de herramientas que permitan el monitoreo de los sistemas y las redes para detectar intrusos o prevenir ataques. g. Manejo de precauciones para emplear los enlaces de telecomunicacin a travs de redes privadas virtuales y tcnicas de encriptacin relacionadas.
Pg. 30 de 32
Pg. 31 de 32
CAPITULO I - SUMINISTRO DE INFORMACIN ASOCIADA AL USO DE LA TECNOLOGA DE INFORMACIN Articulo 132: El Ente supervisado deber, conforme a lo establecido en el articulo 251 del Decreto con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras, suministrar en la forma y plazo que este Organismo lo establezca, la informacin requerida y relacionada con las aplicaciones, sistemas de informacin, infraestructura de telecomunicaciones, seguridad, programas y equipos empleados por las Instituciones sometidas a su control, fiscalizacin y regulacin.
CAPITULO II - FORMACIN DE TALENTO HUMANO, ACTIVIDADES DE INVESTIGACIN Y DESARROLLO ASOCIADAS A LA TECNOLOGA DE INFORMACIN Articulo 133: El Ente supervisado deber definir mecanismos que aseguren el cumplimiento de lo establecido en el artculo 28 de la Ley Orgnica de Ciencia, Tecnologa e Innovacin, destacando que este Organismo definir los procedimientos que estime necesarios para garantizar la formacin de talento humano, actividades de investigacin y desarrollo a ser realizadas en el pas, en reas relacionadas con el objeto de su actividad, considerando para ello el porcentaje establecido en la mencionada ley.
CAPITULO III - USO DE SISTEMAS DE REGISTRO, CONTROL Y MONITOREO DE RECLAMOS EFECTUADOS POR CLIENTES POR EL INADECUADO FUNCIONAMIENTO, DELITOS, FALLAS O DESPERFECTOS EN LOS CANALES ELECTRNICOS Articulo 134: El Ente supervisado deber mantener sistemas de informacin que faculten el registro, control y seguimiento electrnico de cada una de las instancias manejadas por la Institucin para procesar efectivamente los reclamos realizados por los usuarios del Sistema Bancario Nacional por el inadecuado funcionamiento, delitos, fallas o desperfectos presentados en el funcionamiento u operatividad de los servicios, sistemas o equipos que constituyen los canales electrnicos. En este sentido, debern asegurar el cumplimiento de lo establecido en el artculo 43 del Decreto con Fuerza de Ley de Reforma de Ley General de Bancos y Otras Instituciones Financieras.
Pg. 32 de 32