Your SlideShare is downloading. ×
Regulación Bancaria en México - Capitulo X CNBV
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Regulación Bancaria en México - Capitulo X CNBV

1,647
views

Published on

Regulación Bancaria en México - Capitulo X CNBV …

Regulación Bancaria en México - Capitulo X CNBV

Published in: Economy & Finance

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,647
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Regulaciones y cumplimiento en México 23-Apr-14
  • 2. 2 EL MAYOR RIESGO DE FRAUDE ESTA EN LA BANCA FUGAS DE INFORMACION EN EL SECTOR FINANCIERO FUGAS PO R INTERNOS FRAUDE Y INTERNOS, HACKERS Y NUEVAS REGULACIONES • TARJETAS DE PAGO (CREDITO / DEBITO) • CREDENCIALES • CUENTAS BANCARIAS • FRAUDE EN TRADING • LAVADO DE DINERO • PCI-DSS • BASEL • CNBV • SOX • CNSF • ISO27001 37% 14% • FATCA • LFPDPPP • LFPIORPI • …
  • 3. 3 LA CONFIANZA EN LOS ESTA DISMINUYENDO
  • 4. 4 Ciertas tienen mayores costos de fugas de Certain industries have higher data breach costs. Figure 4 reports the per capita costs for the consolidated sample by industry classification. Heavily regulated industries such as healthcare, financial, pharmaceuticals, transportation and communications had a per capita data breach cost substantially above the overall mean of $136. Retailers and public sector organizations had a per capita cost well below the overall mean value. Figure 4. Per capita cost by industry classification Consolidated view (n=277). Measured in US$ 125 125 129 134 150 169 207 215 233 Energy Research Technology Services Communications Transportation Pharmaceuticals Financial Healthcare
  • 5. 5 CAPITULO X CNBV Estrategia de cumplimiento
  • 6. 6Copyright © 2013, Oracle and/or its affiliates. All right Circular Única de Bancos (Capítulo X): 1) 2º Factor de autenticación 2) Registro de cuentas 3) Notificaciones 4) Limites de operación 1) Prevención de fraudes 2) Registro de bitácoras 3) Seguridad: datos y comunicaciones 4) Contratos Controles Regulatorios Clientes Back Office Aceptación del Cliente
  • 7. 7Copyright © 2013, Oracle and/or its affiliates. All right Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Cuatro categorías de Autenticación Según el articulo 310
  • 8. 8Copyright © 2013, Oracle and/or its affiliates. All right Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de Identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión Nombre y apellido del Usuario Autenticación de las Instituciones Según el articulo 311
  • 9. 9Copyright © 2013, Oracle and/or its affiliates. All right Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate: La Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Protección de las sesiones Según el articulo 316 B2
  • 10. 10Copyright © 2013, Oracle and/or its affiliates. All right Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Manejo de Contraseñas Según el articulo 316 B4
  • 11. 11Copyright © 2013, Oracle and/or its affiliates. All right Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Controles de acceso Según el articulo 316 B11
  • 12. 12 Access Management 11gR2 Context and Risk Aware DMZ & Web Tier WEB SSO Application Tier Application Portal Service Tier Web Services EJBs Databases Directories Identity Federation SOA Service Bus Risk / Adaptive Authentication 2. Publish, Propagate & Evaluate attributes across Oracle’s Fusion Middleware stack 1.CollectAttributes Devic e Tier Smartphone Tablet Laptop Server Enterprise / Work Social / Life Mobile / Presence Cloud / Services OES Authorization OES Authorization Real-time context collection, propagation for risk analysis, authentication and authorization API Gateway OES Authorization Context
  • 13. 13Copyright © 2013, Oracle and/or its affiliates. All right • Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario • Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos • Administración de las llaves criptográficas • Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado • Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación • Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado • La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática • El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Cifrado Según el articulo 316 B10
  • 14. 14 • Transparent data encryption • Prevents access to data at rest • Requires no application changes • Built-in two-tier key management • “Near Zero” overhead with hardware • Integrations with Oracle technologies • e.g. Exadata, Advanced Compression, ASM, GoldenGate, DataPump, etc. Oracle Advanced Security Encryption is the Foundation Preventive Control for Oracle Databases Disk Backups Exports Off-Site Facilities Applications
  • 15. 15Copyright © 2013, Oracle and/or its affiliates. All right Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Generación de Bitacoras Según el articulo 316 B15
  • 16. 16 Built-in Reports Alerts Custom Reports ! Oracle Audit Vault and Database Firewall New Solution for Oracle and Non-Oracle Databases Firewall Events Users Applications Database Firewall Allow Log Alert Substitute Block Audit Data Audit Vault OS, Directory, File System & Custom Audit Logs Policies Security Analyst Auditor SOC
  • 17. 17Copyright © 2013, Oracle and/or its affiliates. All right Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Revisiones de seguridad a la infraestructura de cómputo Según el articulo 316 B17
  • 18. Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 1618
  • 19. 19
  • 20. Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 1620