Your SlideShare is downloading. ×
0
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Capitulo X CNBV
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Capitulo X CNBV

6,031

Published on

Published in: Technology
3 Comments
3 Likes
Statistics
Notes
  • Envienme un correo electronico a juan.carrillo@sm4rt y con gusto se las comparto
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Juan , recibe un cordial saludo.

    Disculpa como puedo obtenr esta presentación.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • hola que tal, podria tener disponible esta presentacion para descargarla? me gustaria imprimirla y estudiarla, gracias! =)
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
6,031
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
52
Comments
3
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CAPITULO X CNBV<br />julio de 2010<br />
  • 2. Controles Regulatorios<br />Circular Única de Bancos (Capítulo X):<br />2º Factor de autenticación <br />Registro de cuentas <br />Notificaciones <br />Limites de operación<br />Prevención de fraudes <br />Registro de bitácoras <br />Seguridad: datos y comunicaciones <br />Contratos <br />Clientes<br />Back Office<br />Aceptación del Cliente<br />
  • 3. Cuatro categorías de Autenticación <br />Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario<br />Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP)<br />Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso<br />Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras<br />Según el articulo 310<br />
  • 4. Autenticación de las Instituciones<br />Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente:<br />Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión<br />Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información:<br />Fecha y hora del ingreso a su última Sesión, y<br />Nombre y apellido del Usuario<br />Según el articulo 311<br />
  • 5. Protección de las sesiones<br />Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero.<br />Terminar las sesiones por inactividad<br />Impedir el acceso en forma simultánea con la misma cuenta<br />Según el articulo 316 B2<br />
  • 6. manejo de Contraseñas <br />Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación<br />Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios<br />No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación<br />Según el articulo 316 B4<br />
  • 7. equipos electrónicos (POS)<br />Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios<br />Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes <br />Según el articulo 316 B6<br />
  • 8. centros de atención telefónica<br />Controles de seguridad física y lógica en la infraestructura tecnológica <br />Delimitar las funciones de los operadores telefónicos<br />Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios <br />Según el articulo 316 B7<br />
  • 9. CHIP en las Tarjetas<br />1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo.<br />El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo.<br />El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo.<br />Según el articulo 316 B8<br />
  • 10. Cifrado<br />Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario<br />Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos<br />Administración de las llaves criptográficas<br />Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado<br />Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación<br />Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado <br />La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática<br />El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module),<br />Según el articulo 316 B10<br />
  • 11. controles de acceso<br />Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos<br />Definir las personas que pueden acceder a la información<br />Dejar constancia de los permisos y señalar los propósitos <br />Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado <br />Procedimientos seguros de destrucción de los medios de almacenamiento<br />Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados<br />Según el articulo 316 B11<br />
  • 12. Extravio de Información<br />En caso de extravio de información se debe notificar a la CNBV<br />Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados<br />Según el articulo 316 B12<br />
  • 13. Registro de incidencias<br />En caso de alguna incidencia se debe registrar<br />Fecha del suceso, <br />Duración, <br />Servicio de Banca Electrónica afectado y <br />Clientes afectados<br />Registrar operaciones no reconocidas por los Usuarios <br />Mantener en la Institución durante un periodo no menor a cinco años<br />Según el articulo 316 B14<br />
  • 14. Generación de Bitacoras<br />Las bitácoras deberán registrar<br />Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, <br />Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica<br />Según el articulo 316 B15<br />
  • 15. Reporte de Robo de parte del Cliente<br />Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación<br />Políticas que definan las responsabilidades tanto del Usuario como de la Institución<br />Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios<br />Según el articulo 316 B16<br />
  • 16. revisiones de seguridad a la infraestructura de cómputo <br />Deberán realizarse al menos en forma anual y se revisara<br />Mecanismos de Autenticación <br />Controles de acceso a la infraestructura <br />Actualizaciones de sistemas operativos y software<br />Análisis de vulnerabilidades<br />Identificación de posibles modificaciones no autorizadas al software original;<br />Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y<br />El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica<br />Según el articulo 316 B17<br />
  • 17. Respuesta a Incidentes<br />Medidas preventivas, de detección, disuasivas y procedimientos de respuesta<br />Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna<br />Según el articulo 316 B20<br />
  • 18. HIGHLIGHTS capítulo X<br />Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas.<br />Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado.<br />Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros.<br />Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.<br />
  • 19. HIGHLIGHTS capítulo X<br />Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro.<br />Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.<br />
  • 20. Gracias<br />juan.carlos@sm4rt.com<br />@juan_carrillo<br />Sm4rt Security Services<br />Paseos de Tamarindos400A 5º Piso<br />Col. Bosques de las Lomas<br />México D. F. C.P. 05120<br />

×