Normativa 2011 04 28

REPBLICA BOLIVARIANA DE VENEZUELA SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS
NORMATIVA
de Tecnologa de la Infor ac!"n# Ser$!c!o% F!nanc!ero% De% a&er!al!'ado%# Banca Elec&r"n!ca# V!r&(al ) en Lnea *ara lo% En&e% So e&!do% al Con&rol# Reg(lac!"n ) S(*er$!%!"n de la S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%
Caracas, marzo 2007
Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%
-erenc!a de -e%&!"n Organ!'ac!onal
TABLA DE CONTENIDO A continuacin normati a! se detalla el contenido de cada una de la presente "#$%
I%& 'o(a de Apro)acin
*nidad solicitante% +ec,a de ela)oracin% +ec,a de i$encia% -ersin% +irmas autorizadas%
. . . . . 3 3 3
II%& Introduccin
O)(eti o% /esponsa)le 0 1odi2icaciones% *)icacin% Titulo I
III%& Normati a Disposiciones 4enerales Titulo II "laneacin Estrat6$ica 0 Or$anizacin de los /ecursos de In2ormacin Titulo III Operaciones de los 8istemas de In2ormacin Titulo IContratacin de los "ro eedores E:ternos Titulo 8e$uridad de la In2ormacin TIT*LO -I "lan de Contin$encia Tecnol$ica TIT*LO -II 1antenimiento e Implantacin de los 8istemas de In2ormacin TIT*LO -III /edes TIT*LO I< In2raestructura de las Telecomunicaciones TIT*LO < Banca -irtual TIT*LO <I Disposiciones +inales 5 7 99 9. 9; 97 29 2; 27 .9 .5
1806-2006 BICENTENARIO DE LA LLEGADA DE FRANCISCO DE MIRANDA A LA VELA DE CORO 2006 AO DE LA PARTICIPACIN PROTAGNICA Y PARTICIPATIVA DEL PUEBLO
Normativa de Tecnologa de la Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y en nea !ara los Entes Sometidos al "ontrol, #egulacin y Su!ervisin de la Su!erintendencia de Bancos y $tras Instituciones Financieras
I%& 'O=A DE A"/OBACI>N *nidad *suaria! ?reas de Tecnolo$@a, 8istemas, In2orm#tica de los su(etos sometidos al control, super isin del Or$anismo +ec,a de Ela)oracin! +ec,a de -i$encia! -ersin! 9%9 ma0o de 200.
El presente documento ser# un instrumento #lido para esta)lecer los lineamientos )#sicos Aue de)er#n cumplir los su(etos sometidos a la super isin, control 0 re$ulacin de la 8uperintendencia de Bancos 0 Otras Instituciones +inancieras B8*DEBANC en la implantacin 0 uso de Tecnolo$@a de la In2ormacin, as@ como, en la prestacin de ser icios 2inancieros desmaterializados, )anca en l@nea, electrnica 0 irtual% DiseDado 0 /e isado Coordinacin de 4estin Or$anizacional Ed$ar *zc#te$ui Coordinador +irma! +ec,a! Ela)orado 4erencia de /ies$o Tecnol$ico +ranEi 1edina 4erente BEC +irma! +ec,a! /e isado Consultor@a =ur@dica 1ar@a 4arc@a Consultor =ur@dico +irma! +ec,a! Le$alizado por! Trino A% D@az 8uperintendente +irma! +ec,a!
4erencia de "lani2icacin =anette 8alomn 1% 4erente +irma! +ec,a! /e isado 4erencia 4eneral de Tecnolo$@a Eduardo 1onasterio 4erente 4eneral +irma! +ec,a! Con2ormado Intendencia Operati a Filliam 4rillet Intendente +irma! +ec,a!
II%&Introduccin O)(eti o La presente Norma tiene como o)(eti o esta)lecer los lineamientos )#sicos Aue de)er#n cumplir los su(etos sometidos a la super isin, control 0 re$ulacin de la 8uperintendencia de Bancos 0 Otras Instituciones +inancieras B8*DEBANC en la implantacin 0 uso de Tecnolo$@a de la In2ormacin, as@ como, en la prestacin de ser icios 2inancieros desmaterializados, )anca en l@nea, electrnica 0 irtual% Las modi2icaciones 0Go actualizaciones de la presente normati a de)er#n contar con el isto )ueno de la 4erencia 4eneral de Tecnolo$@a 0 la 4erencia de /ies$o Tecnol$ico, o@da la opinin del >r$ano Consultor de este Or$anismo% El presente documento normati o de)er# estar en un lu$ar accesi)le, para ser consultado por los interesados%
/esponsa)le 0 1odi2icaciones
*)icacin
El 8uperintendente de Bancos 0 Otras Instituciones +inancieras, en uso de las 2acultades Aue le con2iere los art@culos 22., numeral 2 en concordancia con el 2.5 numeral 7 del Decreto con +uerza de Le0 de /e2orma de la Le0 4eneral de Bancos 0 Otras Instituciones +inancieras, dicta la presente normati a! NO/1ATI-A DE TECNOLO4HA DE LA IN+O/1ACI>N, 8E/-ICIO8 +INANCIE/O8 DE81ATE/IALIIADO8, BANCA ELECT/>NICA, -I/T*AL J EN LHNEA "A/A LO8 ENTE8 8O1ETIDO8 AL CONT/OL, /E4*LACI>N J 8*"E/-I8I>N DE LA 8*"E/INTENDENCIA DE BANCO8 J OT/A8 IN8TIT*CIONE8 +INANCIE/A8 TIT*LO I DI8"O8ICIONE8 4ENE/ALE8 CA"IT*LO I OB=ETO J ?1BITO DE A"LICACI>N Art@culo 9! La presente Norma tiene por o)(eto re$ular la implantacin 0 uso de Tecnolo$@a de la In2ormacin de los su(etos sometidos a la super isin, control 0 re$ulacin de la 8*DEBAN, as@ como, de la prestacin de ser icios 2inancieros desmaterializados, )anca en l@nea, electrnica 0 irtual, con el 2in de coad0u ar a minimizar las )rec,as entre los ries$os de ne$ocio, las necesidades de control 0 aspectos t6cnicos orientados a ase$urar los ser icios de atencin al cliente interno 0 e:ternoK o)li$#ndolos a cumplir con los reAuerimientos de con2ia)ilidad, e2ecti idad, e2iciencia, con2idencialidad, inte$ridad, disponi)ilidad 0 cumplimiento de la in2ormacin% Art@culo 2! Las disposiciones de la presente normati a se aplicar#n a los su(etos sometidos a la super isin, control 0 re$ulacin de la 8*DEBAN, en lo adelante Entes super isados, a sa)er! Bancos *ni ersales, Bancos de Desarrollo, Bancos Comerciales, Bancos de In ersin, Bancos 'ipotecarios, Arrendadoras +inancieras, +ondos del 1ercado 1onetario, Casas de Cam)io, Entidades de A,orro 0 "r6stamo 0 Bancos Estatales, Empresas Emisoras 0 Operadoras de Tar(etas de Cr6dito, e:ceptuando aAuellas Instituciones esta)lecidas o por esta)lecerse por el Estado Aue ten$an por o)(eto crear, estimular, promo er 0 desarrollar el sistema micro2inanciero del pa@s para atender la econom@a popular 0 alternati a, tal como est# pre isto en el Decreto con +uerza de Le0 de /e2orma de la Le0 4eneral de Bancos 0 Otras Instituciones +inancieras% CA"IT*LO II DE LA8 DE+INICIONE8 Art@culo .! A los e2ectos de la presente normati a, se entiende por!
a.
Administracin Inte$ral de /ies$o! Con(unto de o)(eti os, pol@ticas, procedimientos 0 acciones Aue se implementan para identi2icar, medir, monitorear, limitar, controlar, in2ormar 0 re elar los distintos tipos de ries$os a Aue se encuentran e:puestas las Instituciones +inancieras% Administrador de Base de Datos! /esponsa)le del mantenimiento 0 control de las )ases de datos, as@ como, de la administracin del diccionario de datos, la aplicacin, el m6todo de acceso a las )ases 0 estructuras de datos 0 de cualAuier otra acti idad asociadas a 6stas% Amenaza! "osi)les e entos Aue pueden desencadenar un incidente en la Institucin +inanciera, produciendo daDos materiales o p6rdidas inmateriales en sus acti os 0 en las operaciones normales del ne$ocio, interrumpiendo en al$unos casos los ser icios Aue prestan% ArAuitectura de In2ormacin! Disciplina Aue or$aniza con(untos de in2ormacin, permitiendo Aue cualAuier persona los entienda 0 los inte$re a su propio conocimiento, de manera simple%
b.
c.
d.
e.
Autenticacin! "roceso de compro)acin de la identidad de una persona, de un usuario emisor o receptor de in2ormacin% Banca en l@nea! Inclu0e todos los sistemas, eAuipos, ser icios 0 productos Aue son o2recidos a los usuarios de las Instituciones +inancieras a ni el de sus a$encias, o2icinas 0 sucursales% Banca Electrnica! 8istemas, eAuipos, productos 0 ser icios o2recidos por las Instituciones +inancieras a tra 6s del uso de Internet BanEin$, ca(eros autom#ticos BAT1C, puntos de entas B"O8C, dispensadoras de c,eAuera, sistemas de atencin de reclamos 0 otros ser icios Aue se encuentren automatizados a tra 6s de plata2ormas de cmputo% Banca -irtual BLInternet BanEin$MC! Con(unto de productos 0 ser icios o2recidos por los )ancos, entidades de a,orro 0 pr6stamo 0 dem#s Instituciones +inancieras, para realizar por medios electrnicos, ma$n6ticos o mecanismos similares, de manera directa 0 en tiempo real las operaciones Aue tradicionalmente suponen la realizacin de llamadas tele2nicas o mo ilizaciones de los usuarios a las o2icinas, sucursales o a$encias% Base de Datos! 8istema 2ormado por un con(unto de datos almacenados en discos o cualAuier otro medio ma$n6tico Aue permite el acceso directo a ellos, encontr#ndose estructurados de manera 2ia)le 0 ,omo$6nea, or$anizados independientemente, accesi)les en tiempo real, compartidos por usuarios concurrentes Aue tienen necesidades de in2ormacin di2erentes 0 no predeci)le en el tiempo% Ca)leado Estructurado! In2raestructura de ca)le Nnica 0 completa destinada a transportar, a lo lar$o 0 anc,o de un edi2icio, las seDales Aue emite un emisor de al$Nn tipo de seDal ,asta el correspondiente receptor% Con2i$uracin Base! Adaptacin )#sica de una aplicacin, sistemas o eAuipos al resto de los elementos del entorno 0 a las necesidades espec@2icas del usuario% Control de Acceso! Con(unto de procedimientos usados para limitar el acceso de los usuarios a los di2erentes recursos de un sistema o eAuipos% planes, m6todos, principios 0 mecanismos de eri2icacin 0 e aluacin adoptados por la Institucin para e aluar en 2orma pre enti a, detecti a 0 correcti a las acti idades, operaciones 0 actuaciones, as@ como, la administracin de la in2ormacin 0 los recursos, a 2in de Aue se realicen de acuerdo con las normas constitucionales 0 le$ales i$entes dentro de las pol@ticas trazadas por la direccin 0 en atencin a las metas u o)(eti os pre istos% Corta2ue$o BL2ireOallMC! EAuipo o )loAue de instrucciones de pro$ramacin interpuesto como )arrera en un sistema in2orm#tico o una red local con el propsito de pre enir o aminorar los $ra es daDos Aue podr@an deri arse de su uso errneo o malintencionado% Diccionario de Datos! Descripciones de los arc,i os, campos 0 aria)les usados en un sistema de administracin de datos% Encriptacin! T6cnica usada para trans2ormar los datos 0 de2ormar su contenido mediante la aplicacin de un cdi$o secreto con el o)(eto de e itar Aue sean conocidos por personas no autorizadas durante su transmisin por canales de comunicaciones o en su almacenamiento en soportes de acceso pN)lico%
f.
g.
h.
i.
j.
k.
l.
m. Control Interno! Con(unto de pol@ticas, normas, procedimientos,
n.
o.
p.
q.
Componentes +@sicos BL,ardOareMC! 8on todos los componentes materiales de los computadores 0 sus peri26ricos Bdiscos, memoria, impresoras, entre otrosC% In2raestructura de Comunicaciones! Con(unto de dispositi os empleados para transmitir seDales en la 2orma de un mensa(e entre un remitente 0 un destinatario% "ara alcanzar el destino 2inal se usan componentes de transmisin 0 t6cnicas de conmutacin o distri)ucin de mensa(es% Los componentes de transmisin de2inen el medio real de la transmisin 0 las t6cnicas de codi2icacin o de canalizacin de los datos% Internet! /ed in2orm#tica $lo)al Aue permite la cone:in entre s@ de dos o mas computadores situados en cualAuier lu$ar del mundo a tra 6s de los canales 0 l@neas tele2nicas% Len$ua(e de "ro$ramacin! EsAuema de notacin normalizada utilizada para la escritura de pro$ramas in2orm#ticos% 1isin Cr@tica! AAuellas aplicaciones, sistemas, procesos, operaciones, eAuipos 0 ca)leado Aue en caso de 2alla o paralizacin parcial o total pueden ocasionar p6rdidas incalcula)les o se eras Aue a2ecten la continuidad operati a del ne$ocio% Ni eles de Escalamiento! Distintas etapas Aue de)er#n ser de2inidas por el personal de Tecnolo$@a de In2ormacin para mane(ar 0 resol er los pro)lemas, incidencias o e entos Aue puedan a2ectar el ni el de ser icio 0Go la operati idad de las aplicaciones, sistemas o eAuipos de misin cr@tica de la Institucin% En cada ni el Aue se de2ina, de)er#n esta)lecerse las acciones a e(ecutar, el personal in olucrado en cada etapa 0 los mecanismos Aue ,an sido de2inidos para contactarlos% las acti idades realizadas en las #reas de plani2icacin, produccin 0 operaciones del #rea de Tecnolo$@a de la In2ormacin%
r.
s.
t.
u.
v.
w. Operaciones de los 8istemas de In2ormacin! Comprende la administracin, control 0 monitoreo de
x.
"lata2orma Tecnol$ica! A$rupacin de eAuipos, aplicaciones 0 sistemas destinados a o2recer productos 0 ser icios a tra 6s del uso de los recursos tecnol$icos disponi)les, a una comunidad de usuarios, pN)licos 0 pri ados, tanto a ni el local, re$ional como nacional% "aneles de "atc,eo BLpatc, panelsMC! Dispositi os empleados para interconectar di2erentes puntos de una red% "er@metro de 8e$uridad! Delimitacin de un espacio 2@sico por medio de una )arrera Bpared, puerta de acceso controlado, entre otros%C% El emplazamiento 0 la 2ortaleza de cada )arrera depender# de los resultados de la e aluacin de ries$o realizada% Aue ase$uran la continuidad estrat6$ica de la plata2orma tecnol$ica ante interrupciones $ra es del ser icio%
!.
aa. "lan de Contin$encias Tecnol$icas! Con(unto de operaciones, procesos 0 procedimientos pro)ados
bb. "rocedimientos de /ecuperacin! In olucra el con(unto de acti idades Aue a$rupadas a tra 6s de un
plan son necesarias para restaurar los ser icios de2inidos por la Institucin como cr@ticos, as@ como, las comunicaciones 0 la capacidad normal de procesamiento 0 almacenamiento%
cc. "ro eedor de Tecnolo$@a! "ersona natural o (ur@dica Aue o2rece a un tercero los ser icios de asesor@a,
soporte, mantenimiento, almacena(e, procesamiento, comunicacin, pro$ramacin, diseDo 0 cualAuier otra acti idad relacionada con Tecnolo$@a de la In2ormacin%
"
dd. /ed! 8istema de comunicacin de datos Aue enlaza dos o m#s computadores 0 dispositi os
peri26ricos%
ee. /ed de ?rea Local BLANC! 8e$mento de red Aue tiene conectada estaciones de tra)a(o 0 ser idores,
$eneralmente dentro de la misma zona%

ff. /ed de ?rea 1etropolitana B1ANC! /ed Aue se e:pande por ciudades o pro incias 0 se interconecta
mediante di ersas instalaciones pN)licas o pri adas%

gg. /ed de ?rea E:tensa BFANC! /edes Aue se e:tienden so)repasando las 2ronteras de las ciudades,
pro incias o naciones% Los enlaces se realizan con instalaciones de telecomunicaciones pN)licas o pri adas, microondas 0 sat6lites%
hh. /ed Inal#m)rica BOirelessC! 8istema de comunicacin de datos 2le:i)le Aue emplea la transmisin de
radio 2recuencia 0 la luz in2rarro(a para transmitir datos en 2orma inal#m)rica%

ii.
/e$istros o Trazas de Auditoria! Arc,i o prote$ido contra escritura Aue almacena in2ormacin en 2orma secuencial de las transacciones u operaciones Aue son e(ecutadas por los usuarios de los sistemas de in2ormacin% resultado de las operaciones 0 acti idades Aue desarrollen las Instituciones +inancieras%
jj. /ies$o! "osi)ilidad de Aue se produzca un acontecimiento Aue conlle e a p6rdidas materiales en el
kk. /ies$o Tecnol$ico! 8e de2ine como la posi)le p6rdida potencial por daDos, interrupcin, alteracin o
2allas deri adas del uso o dependencia en los eAuipos, sistemas, aplicaciones, redes 0 cualAuier otro canal de distri)ucin de in2ormacin en la prestacin de ser icios )ancarios o 2inancieros con los clientes%
ll.
8e$mento de /ed o 8u)red! Con(unto de dispositi os o eAuipos Aue comparten un medio 2@sico de transmisin 0 utilizan t6cnicas de comunicacin comunes% acceso a los datos 0 Aue $aranticen Aue slo permita a las personas autorizadas acceder a ellos, manteniendo re$istros Aue lo e idencien%
mm.8e$uridad L$ica! Consiste en la aplicacin de )arreras 0 controles internos Aue res$uarden el
nn. 8er icios Desmaterializados! Los ser icios al pN)lico Aue presten las Instituciones +inancieras a
tra 6s de medios en los cuales el soporte documental sea sustentado a tra 6s de transacciones electrnicas%
oo. 8o2tOare! es un con(unto de pro$ramas,
documentos, procedimientos 0 rutinas asociados con la
operacin de un sistema de cmputo% Art@culo 3! 8e consideran como criterios )#sicos de calidad de la in2ormacin aAuellos asociados a los si$uientes aspectos!
a. b. c.
Con2ia)ilidad! Ni el de eracidad 0 e:actitud de los datos contenidos en los sistemas de in2ormacin% Con2idencialidad! "roteccin de la in2ormacin sensi)le contra la di ul$acin no autorizada% Disponi)ilidad! Accesi)ilidad a la in2ormacin en el tiempo 0 la 2orma cuando esta sea reAuerida%
d.
E2ecti idad! In2ormacin rele ante 0 pertinente para los procesos del ne$ocio Aue se presenta en 2orma correcta, co,erente, completa 0 oportuna% E2iciencia! O)tencin de la in2ormacin a tra 6s del uso de los recursos de 2orma m#s producti a 0 menos costosa% Inte$ridad! "recisin 0 su2iciencia de la in2ormacin, as@ como, su alidez acorde con las pautas 2i(adas por la Institucin 0 re$ulaciones e:ternas% Cumplimiento! se re2iere al acatamiento de las le0es 0 re$lamentaciones a las Aue est#n su(etas las Instituciones sometidas a la super isin, control, 2iscalizacin 0 re$ulacin de esta 8uperintendencia% TIT*LO II "LANEACI>N E8T/ATP4ICA J O/4ANIIACI>N DE LO8 /EC*/8O8 DE IN+O/1ACI>N CA"IT*LO I DE"ENDENCIA +*NCIONAL E IN+/AE8T/*CT*/A DEL ?/EA DE TECNOLO4HA DE LA IN+O/1ACI>N
e.
f.
g.
Art@culo 5! La Alta 4erencia del Ente super isado, de)e $arantizar Aue el #rea de Tecnolo$@a de la In2ormacin posea independencia 2uncional de las #reas usuarias% Art@culo ;! La in2raestructura del #rea de Tecnolo$@a de la In2ormacin de)e ser consistente con la naturaleza 0 comple(idad de las operaciones Aue realiza el Ente super isado% CA"IT*LO II "OLHTICA8, NO/1A8 J "/OCEDI1IENTO8 Art@culo 7! Las pol@ticas, normas 0 procedimientos del #rea de Tecnolo$@a de la In2ormacin de)en documentarse, 2ormalizarse 0 circularizarse, ase$urando Aue estas se manten$an adecuadamente actualizadas% CA"IT*LO III CO1ITP DE DI/ECCI>N J "LANI+ICACI>N DE LO8 8E/-ICIO8 DE TECNOLO4HA DE LA IN+O/1ACI>N Art@culo Q! El Ente super isado de)e con2ormar un Comit6 de Direccin 0 "lani2icacin de los 8er icios de Tecnolo$@a de la In2ormacin, Aue coordine todo lo concerniente a la planeacin 0 e(ecucin de las acti idades relacionadas con el #rea tecnol$ica% "ar#$ra2o Rnico! El Comit6 de Direccin 0 "lani2icacin de los 8er icios de Tecnolo$@a, de)e incluir entre sus miem)ros a representantes de las #reas de Tecnolo$@a, Administracin Inte$ral de /ies$os, Auditor@a de 8istemas 0 4erentes de las unidades usuarias% Durante la creacin de dic,o comit6 de)er#n de2inirse sus 2unciones 0 acti idades, as@ como, la periodicidad de las reuniones de tra)a(o en las cuales se documentar#n las decisiones 0 acuerdos esta)lecidos, mediante actas Aue se mantendr#n arc,i adas durante un periodo no menor a dos B2C aDos%
CA"IT*LO I"LANI+ICACI>N E8T/ATP4ICA DE TECNOLO4HA DE LA IN+O/1ACI>N Art@culo 7! El Ente super isado de)er# esta)lecer un proceso de plani2icacin de Tecnolo$@a de la In2ormacin acorde con los o)(eti os del ne$ocio, destacando Aue su ela)oracin ser# a tra 6s del uso de una metodolo$@a 2ormal 0 consistente con la realidad de la Institucin% En este sentido, la Alta 4erencia de los ser icios de Tecnolo$@a de la In2ormacin de)e e2ectuar un se$uimiento continuo de las tendencias tecnol$icas, as@ como, a las re$ulaciones emitidas por esta 8uperintendencia Aue re$ulen su 2uncionamiento, de modo Aue estas sean consideradas al momento de ela)orar 0 actualizar la plani2icacin estrat6$ica de tecnolo$@a% Art@culo 90! El "lan Estrat6$ico de Tecnolo$@a de)e ser documentado, apro)ado 0 permitir una super isin continNa Aue ase$ure el lo$ro de las metas 0 acti idades del #rea tecnol$ica, clasi2icando los pro0ectos principales en planes a corto 0 lar$o plazo% "ara ello, de)er# incorporar los respecti os crono$ramas de implantacin% Art@culo 99! En el plan a corto plazo se incluir#n todos los pro0ectos cu0a e(ecucin 0 t6rmino a)arAue un periodo no ma0or a doce B92C meses, es decir, un B9C aDo% Art@culo 92! El plan a lar$o plazo comprende todos los e:tiendan en un plazo ma0or a un B9C aDo% pro0ectos cu0a e(ecucin 0 2inalizacin se
Art@culo 9.! En 2orma pre ia al desarrollo o modi2icacin del plan estrat6$ico de Tecnolo$@a de la In2ormacin, el Comit6 de Direccin 0 "lani2icacin de los 8er icios de Tecnolo$@a de la In2ormacin de)e coordinar la ela)oracin de un dia$nstico de los sistemas e:istentes Aue apo0en el proceso de toma de decisiones en t6rminos de! a% Ni el de automatizacin de ne$ocio% )% +uncionalidad% c% Esta)ilidad% d% Comple(idad% e% Costos operacionales% 2%
g.
+ortalezas 0 de)ilidades% An#lisis 2inanciero costoG)ene2icio CA"IT*LO DEL "E/8ONAL DEL ?/EA DE TECNOLO4HA DE IN+O/1ACI>N
Art@culo 93! El #rea de Tecnolo$@a de la In2ormacin en con(unto con /ecursos 'umanos de)e identi2icar, or$anizar, capacitar 0 desarrollar a los usuarios 2inales en el uso e2ecti o de la tecnolo$@a, se$uridad, ries$os 0 responsa)ilidades relacionadas con el desarrollo normal de sus acti idades% Art@culo 95! El #rea de /ecursos 'umanos del Ente super isado, de)e esta)lecer procedimientos 2ormales para la seleccin 0 reclutamiento del personal de tecnolo$@a, en los cuales de)en contemplar la
%&
participacin de la Alta 4erencia del #rea de Tecnolo$@a de la In2ormacin% Art@culo 9;! El #rea de /ecursos 'umanos del Ente super isado de)e documentar en un 1anual Descripti o de Car$os las 2unciones, acti idades 0 responsa)ilidades in,erentes del personal de Tecnolo$@a de In2ormacin, as@ como, la descripcin del per2il t6cnico 0 de las competencias Aue de)e tener el ocupante de cada car$o% TIT*LO III O"E/ACIONE8 DE LO8 8I8TE1A8 DE IN+O/1ACI>N CA"IT*LO I DOC*1ENTACI>N, "LANI+ICACI>N DE LA8 O"E/ACIONE8 J "/OCE8A1IENTO DE LA IN+O/1ACI>N Art@culo 97! Los su(etos Aue se encuentran )a(o la super isin de esta 8uperintendencia, de)en ela)orar 0 mantener actualizada la documentacin Aue sustente las acti idades Aue se realizan en el centro de procesamiento de datos% Art@culo 9Q! La Institucin +inanciera de)e esta)lecer procedimientos Aue ase$uren la continuidad del procesamiento durante los cam)ios de turno de los operadores, as@ como, $arantizar el re$istro cronol$ico de in2ormacin en las trazas de auditoria% Art@culo 97! El Ente super isado de)er# ase$urar Aue la pro$ramacin de tareas 0 procesos manten$an una secuencia e2iciente, ma:imizando el uso de los recursos 0 su utilizacin, con el 2in de alcanzar los o)(eti os esta)lecidos en los con enios de ni el de ser icio% Art@culo 20! La Institucin de)er# ase$urar la e:istencia de un re$istro cronol$ico 0 trimestral de los procesos e(ecutados en el centro de procesamiento de datos, Aue permita la re isin 0 e aluacin oportuna de la in2ormacin in,erente a los e entos de e:cepcin Aue a2ecten la plani2icacin diaria, mensual 0 semestral% Art@culo 29! La plani2icacin de los procesos 0 acti idades Aue se desarrollan dentro del centro de procesamiento de datos, de)en estar adecuadamente documentadas, contemplando como m@nimo, los si$uientes aspectos!
a.
"rocedimientos Aue contemplen los comandos o instrucciones Aue e(ecutan los operadores en el am)iente producti o de cada uno de los computadores 0 eAuipos peri26ricos e:istentes% /e$istros autom#ticos de la e(ecucin de los crono$ramas de tra)a(os, e entos de e:cepcin 0 la $eneracin de trazas de auditoria%
b.
c% "rocesos de mantenimiento 0 monitoreo so)re los re$istros automatizados de las operaciones%

d.
+uncionalidad de los pro$ramas o procesos Aue componen los crono$ramas de tra)a(o automatizados Ben l@nea o en lotesC% Controles Aue se aplican para ase$urar la correcta e(ecucin de los crono$ramas de tra)a(o pre iamente a$endados% 1ecanismos de2inidos para la adecuada compro)acin del cierre conta)le 0 la distri)ucin de la in2ormacin a los usuarios% "rocedimientos Aue ase$uren la continuidad del procesamiento en l@nea o en lotes%
e.
f.
g.
%%
h.
Ni eles de escalamiento, en caso de presentarse e entos de e:cepcin, 2allas o incidencias%
Art@culo 22! Las estrate$ias de procesamiento de in2ormacin de)er#n re isarse trimestralmente o cada ez Aue sur(an cam)ios en las plata2ormas tecnol$icas de misin cr@tica, para ase$urar Aue los nue os ser icios o modi2icaciones a los e:istentes, no ,an in alidado los procesos 0a de2inidos% CA"IT*LO II /E8"ALDO8 J /E84*A/DO DE LA IN+O/1ACI>N Art@culo 2.! El Ente super isado, de)er# realizar respaldos de arc,i os, )ases de datos, sistemas operati os 0 dem#s so2tOare necesario para el adecuado 2uncionamiento de los eAuipos 0 aplicaciones de misin cr@tica con una 2recuencia diaria, semanal 0 mensual% Art@culo 23! 8e de)en documentar las pol@ticas, normas 0 procedimientos Aue ase$uren la e(ecucin peridica de los respaldos de la in2ormacin 0 de los sistemas de misin cr@tica, con la 2inalidad de $arantizar la continuidad del ne$ocio% Los medios de almacenamiento masi o contenti o de las aplicaciones e in2ormacin de misin cr@tica de)en ser pro)ados peridicamente para $arantizar Aue cumplen con los reAuerimientos esta)lecidos en los planes de continuidad del ne$ocio% Adicionalmente, para el res$uardo de los respaldos se de)er#n considerar los si$uientes controles!
a.
La in2ormacin res$uardada de)er# poseer un ni el adecuado de proteccin 2@sica 0 am)iental, consistente con los est#ndares aplicados en el centro de procesamiento de datos principal% Los controles aplicados a los dispositi os en la cintoteca principal de)en e:tenderse para cu)rir el sitio de res$uardo% DiseDar, 2ormalizar 0 actualizar peridicamente los procedimientos de restauracin de los dispositi os de almacenamiento con la 2inalidad de $arantizar su )uen estado 0 2uncionamiento, as@ como, la e2icacia de los procesos respaldados%
b.
c% Los medios de respaldo de)en pro)arse peridicamente, a 2in de $arantizar la con2ia)ilidad de los mismos con relacin a su e entual uso en casos de emer$encia% d% Los procedimientos de restauracin de)en pro)arse al menos dos B2C eces al aDo para $arantizar su e2icacia e idoneidad%
e.
Los medios de almacenamiento masi o de)er#n encontrarse adecuadamente identi2icados, a tra 6s de una codi2icacin Aue mane(e como m@nimo la 2ec,a de $eneracin del respaldo, nom)re de la aplicacin, tipo de in2ormacin 0 periodo Aue se est# respaldando% El proceso de etiAuetado de)er# ser consistente con los procedimientos esta)lecidos para tal 2in, razn por la cual, de)er#n mantenerse actualizados%
Art@culo 25! La in2ormacin respaldada de)e ser res$uardada en un mo)iliario especializado Bcintoteca, discoteca o ) eda%C con adecuadas caracter@sticas de clasi2icacin 0 distri)ucin de los dispositi os de almacenamiento Aue permitan una )NsAueda e:pedita de la in2ormacin% Art@culo 2;! Disponer de centros de res$uardo interno 0 e:terno, destacando Aue este Nltimo de)e poseer una u)icacin remota, a una distancia su2iciente como para e itar daDos pro enientes de una situacin de emer$encia o desastre Bterremoto, inundacin o incendioC en la sede principal, todo ello para $arantizar la continuidad de las operaciones%
%2
El centro de res$uardo e:terno de)e retener al menos diez B90C $eneraciones o ciclos de la in2ormacin de misin cr@tica de la Institucin% Art@culo 27! Los centros de res$uardo de la in2ormacin, tanto interno como e:terno, de)en estar dotados de una adecuada se$uridad 2@sica 0 am)iental, Aue $arantice la proteccin de la in2ormacin 0 los sistemas de misin cr@tica de daDos, deterioro, ,urto o ro)os con el 2in de ase$urar Aue pueda recuperarse una ez ocurrido un desastre o 2alla en los eAuipos Aue los almacenan% Art@culo 2Q! El traslado de los dispositi os de almacenamiento entre los centros de res$uardo de)e e2ectuarse con adecuados controles de se$uridad Bprecintos, )it#coras de salida 0 entrada, personal autorizado, entre otros aspectosC Aue minimicen la e:posicin de la in2ormacin contenida en los mismos% TIT*LO ICONT/ATACI>N DE "/O-EEDO/E8 E<TE/NO8 CA"IT*LO I "/O-EEDO/E8 E<TE/NO8 8ECCI>N "/I1E/A E-AL*ACI>N J 8ELECCI>N DE LO8 "/O-EEDO/E8 E<TE/NO8 DE TECNOLO4HA DE IN+O/1ACI>N Art@culo 27! 8e de)e mantener un procedimiento documentado 0 2ormalizado para realizar la seleccin de los pro eedores e:ternos de Tecnolo$@a de In2ormacin 0 ase$urar Aue estos se encuentren adecuadamente cali2icados so)re la )ase de una e aluacin de su capacidad de prestacin del ser icio reAuerido, antes de proceder a la contratacin% En este sentido, de)er#n considerarse los aspectos Aue a continuacin se detallan! a% La naturaleza 0 especi2icaciones del ser icio contratado% )% Los reAuisitos 2uncionales 0 t6cnicos de los art@culos o ser icios a ser adAuiridos%
c.
Los costos totales de la adAuisicin, compra, implantacin, alAuiler o arriendo Binclu0endo el asociado a los ,onorarios de consultaC de los sistemas, aplicaciones o eAuipos adicionales%
d% El ni el de soporte 0 capacitacin a ser proporcionados por el pro eedor%

e.
La esta)ilidad 2inanciera del pro eedor, as@ como el producto o ser icio a ser proporcionado 0 el tiempo para la entre$a, terminacin o implantacin% 4arantizar Aue el pro eedor cuente con una adecuada solidez 2inanciera, la reputacin 0 ,a)ilidad para cumplir con las o)li$aciones adAuiridas, as@ como, las pol@ticas 0 los controles para el mane(o de los ries$os asociados al ser icio prestado%
f.
$% E:periencia 0 capacidad de la empresa pro eedora en el procesamiento de datos 0 ser icios )ancarios Aue respondan a las caracter@sticas del ser icio Aue se desea contratar%
h.
El diseDo de pol@ticas adecuadas para la asi$nacin de responsa)ilidades por moti o de irre$ularidades en la e(ecucin del ser icio contratado%
%3
8ECCI>N 8E4*NDA DEL CONT/ATO DE 8E/-ICIO8 TECNOL>4ICO8 Art@culo .0! El contrato con el pro eedor e:terno de tecnolo$@a de)er# contener como m@nimo las si$uientes cl#usulas!
a.
4arant@a de acceso a los pro$ramas 2uentes, en caso de Auie)ra del pro eedor o situaciones contin$entes Aue as@ lo reAuieran, las cuales de)er#n Auedar claramente e:presadas en el mencionado documento% Especi2icaciones so)re la propiedad de los acti os de in2ormacin empleados durante la contratacin del ser icio Baplicaciones o sistemas propietarios, eAuipos, licencias, entre otros aspectosC% Esta)lecer la proteccin, pri acidad 0 con2idencialidad de los acti os in2orm#ticos del Ente super isado Aue ser#n accedidos 0 mane(ados por el pro eedor de ser icios% Indicar en 2orma pormenorizada las caracter@sticas de la plata2orma de desarrollo Aue ser# utilizada por el pro eedor Btales como eAuipos, sistemas o aplicaciones, len$ua(e de pro$ramacin 0 motor de )ase de datosC, as@ como, las pol@ticas de se$uridad, respaldos 0 traslado de in2ormacin a otros am)ientes% Indicar el tiempo de desarrollo por cada etapa de2inida en 2orma detallada, inclu0endo las prue)as de los pro$ramas desarrollados% Esta)lecer cl#usulas de indemnizacin por daDos 0 per(uicios, en caso de 2raudes o sa)ota(es ci)ern6ticos% La responsa)ilidad Aue asume la empresa pro eedora para mantener pol@ticas, normas 0 procedimientos Aue $aranticen la se$uridad in2orm#tica, el secreto )ancario, la con2idencialidad de la in2ormacin, as@ como, aAuellas tendentes a pre enir p6rdidas, atrasos o deterioros de los datos, en con2ormidad con lo esta)lecido en la le$islacin enezolana% La 2acultad del Ente super isado para practicar e aluaciones peridicas directas de las acti idades e2ectuadas por la empresa pro eedora del ser icio, mediante auditor@as independientes, inclu0endo aAuellas reAueridas por esta 8uperintendencia% Sue la in2raestructura tecnol$ica, los sistemas operati os 0 las ,erramientas de desarrollo, Aue se utilizar#n est6n de)idamente licenciados por el 2a)ricante o representante de so2tOare, se$Nn sea el caso% Sue la in2raestructura tecnol$ica 0 los sistemas Aue se utilizar#n para la comunicacin, almacenamiento 0 procesamiento de datos, o2rezcan su2iciente se$uridad para ase$urar la continuidad operacional 0 la con2idencialidad, inte$ridad, e:actitud 0 calidad de la in2ormacin% De i$ual 2orma, de)er#n considerarse las condiciones Aue $arantizan la o)tencin directa 0 oportuna de cualAuier dato o in2ormacin Aue se necesite, sea para sus propios 2ines o para cumplir con los reAuerimientos de las autoridades competentes%
b.
c.
d.
e.
f.
g.
h.
i.
j.
Art@culo .9! El Ente super isado de)er# mantener los documentos 0 antecedentes de los contratos suscritos 0 i$entes con empresas pro eedoras de ser icios de tecnolo$@a de in2ormacin a disposicin de esta 8uperintendencia%
%4
Art@culo .2! Los contratos de)en esta)lecer claramente la Lno e:istenciaM de limitaciones para las actuaciones por parte esta 8uperintendencia para la isitar las instalaciones de los pro eedores de ser icios de tecnolo$@a de in2ormacin, acceder a la in2ormacin 0 a toda la documentacin t6cnica relacionada para la eri2icacin del cumplimiento de los aspectos contemplados en estas normas% Art@culo ..! La Alta 4erencia esta)lecido con la -icepresidencia o 4erencia de In2orm#tica, 8istemas o Tecnolo$@a del Ente super isado, son los principales responsa)les so)re el control de las acti idades Aue ,an sido dele$adas mediante el contrato esta)lecido con terceros% 8ECCI>N TE/CE/A CONT/OL J 8E4*I1IENTO DE LA8 ACTI-IDADE8 J "/OCE8O8 E=EC*TADO8 "O/ EL "/O-EEDO/% Art@culo .3! 8e de)e $arantizar Aue el recurso ,umano del Ente super isado est6 t6cnicamente capacitado, para e(ercer un control e2iciente so)re las acti idades Aue desarrolla el pro eedor e:terno% Art@culo .5! La -icepresidencia, Direccin o 4erencia de In2orm#tica, 8istemas o Tecnolo$@a del Ente super isado de)e monitorear a tra 6s de un proceso continuo, el adecuado cumplimiento de los contratos por parte de terceros para ase$urar Aue cumplan con los t6rminos 0 condiciones estipulados en el contrato% En este sentido, de)er#n documentar la e aluacin realizada, as@ como, el se$uimiento continuo de los ser icios prestados% Adicionalmente, de)er#n de2inir procedimientos e2ecti os Aue permitan la seleccin 0 el monitoreo de la calidad 0 cumplimiento de ser icio por parte de los pro eedores e implantar los mecanismos Aue ase$uren la inte$ridad 0 la con2idencialidad de la data o in2ormacin del Ente super isado 0 de sus clientes% 8ECCI>N C*A/TA TE/CE/IIACI>N DE 8E/-ICIO8 Art@culo .;! Cuando el Ente super isado contrate a una persona natural o (ur@dica residenciada 2uera del territorio de la /epN)lica Boli ariana de -enezuela para e2ectuar determinadas acti idades o ser icios, los reAuerimientos de se$uridad, administracin 0 el control de todos los acti os in2orm#ticos in olucrados en el ser icio de tercerizacin, de)en ser contemplados en un contrato cele)rado entre las partes% Este documento de)er# considerar en adicin a los 0a contemplados en el art@culo .9 de la presente normati a, los si$uientes aspectos!
a. b.
El cumplimiento a las re$ulaciones emanadas por los Entes u Or$anismos Contralores del Estado% Las disposiciones Aue ser#n implementadas para $arantizar Aue las partes in olucradas en la tercerizacin, cumplir#n las responsa)ilidades asociadas a la se$uridad de la in2ormacin%
c% Los mecanismos empleados para ase$urar 0 compro)ar la inte$ridad 0 con2idencialidad de la in2ormacin mane(ada por las partes in olucradas% d% Los controles 2@sicos 0 l$icos Aue se utilizar#n para restrin$ir 0 delimitar el acceso de los usuarios autorizados a la in2ormacin sensi)le% e% Las acti idades empleadas para $arantizar la disponi)ilidad de los ser icios contratados ante la ocurrencia de desastres%
%5
f. g. h.
Los ni eles de se$uridad 2@sica Aue se asi$nar#n al eAuipamiento tercearizado% El derec,o a la auditoria por parte del Ente super isado, auditores e:ternos 0 esta 8uperintendencia% La representacin le$al del pro eedor de ser icios u)icada o residenciada en el territorio nacional%
Art@culo .7! El almacenamiento de los datos 0 la administracin de la se$uridad l$ica de los recursos de Tecnolo$@a de la In2ormacin son responsa)ilidad a)soluta del Ente super isado, por tal razn, es competencia e:presa e ineludi)le de 6ste, es decir, indele$a)le dentro del ser icio de tercerizacin contratado% TIT*LO 8E4*/IDAD DE LA IN+O/1ACI>N CA"IT*LO I "OLHTICA8 DE 8E4*/IDAD DE LO8 ACTI-O8 IN+O/1?TICO8 Art@culo .Q! El Ente super isado de)e administrar adecuadamente la se$uridad l$ica de los recursos de Tecnolo$@a de la In2ormacin, incluso aAuellos Aue sean administrados o custodiados por terceros% En consecuencia de)er# esta)lecer, 2ormalizar e in2ormar las pol@ticas 0 procedimientos Aue permitan identi2icar, autenticar 0 autorizar el acceso a los sistemas de in2ormacin, operati os 0 de )ase de datos% De i$ual 2orma, de)er#n incluir entre sus pol@ticas 0 procedimientos aAuellos Aue permitan ,acer un se$uimiento a las transacciones operaciones Aue sean e(ecutadas so)re los acti os in2orm#ticos% Art@culo .7! En la estructura or$anizacional del Ente super isado, de)e e:istir un #rea de se$uridad de la in2ormacin independiente de las unidades de Tecnolo$@a de la In2ormacin, Auditoria de 8istemas 0 /ies$o, esta)leci6ndose como m@nimo las si$uientes 2unciones!
a.
De2inir 0 mantener actualizadas las pol@ticas de se$uridad de la in2ormacin%
)% Aplicar 0 ase$urar el cumplimiento de las pol@ticas de se$uridad de la in2ormacin de2inidas%

c.
Administrar el acceso a los sistemas operati os, )ases de datos, aplicaciones, corta2ue$o, enrutadores, pro:0s, eAuipos computacionales 0 de telecomunicaciones empleados por el Ente super isado, inclu0endo aAuellos administrados 0 custodiados por terceros% 1onitorear los procesos de control de cam)io 0 pases a produccin de los sistemas 0 aplicaciones producti as%
d.
e% /ealizar el control 0 se$uimiento continuo a los accesos e2ectuados a los acti os de in2ormacin%
f.
Esta)lecer pol@ticas, normas 0 procedimientos Aue re$ulen, controlen 0 ase$uren el se$uimiento continuo de la utilizacin del correo electrnico e Internet 0 todas aAuellas transacciones Aue son e(ecutadas a tra 6s de los di2erentes canales electrnicos empleados por los clientes% CA"IT*LO II CON+IDENCIALIDAD J 8E4*/IDAD DE LA IN+O/1ACI>N
Art@culo 30! Los empleados del Ente super isado de)en 2irmar un acuerdo de con2idencialidad 0 la no di ul$acin de la in2ormacin, como parte de sus t6rminos 0 condiciones iniciales de empleo%
%6
"ar#$ra2o Rnico! El personal temporal o contratado, as@ como los usuarios e:ternos de)en 2irmar el acuerdo de con2idencialidad 0 la no di ul$acin de la in2ormacin, antes de Aue se les otor$ue el acceso a las instalaciones de procesamiento de la in2ormacin% "or otra parte, no de)er#n tener acceso a las )ases de datos del Ente super isado, en procura de mantener la con2idencialidad de la in2ormacin del cliente Art@culo 39! El Ente 8uper isado de)er# esta)lecer un esAuema de re2erencia de clasi2icacin o cate$orizacin relati a a la con2idencialidad de los datos se$Nn su ni el de sensi)ilidad Bin2ormacin con2idencial, pN)lica, pri ada, entre otrosC% Art@culo 32! Los accesos a los sistemas, aplicaciones o )ases de datos de)en administrarse a tra 6s del uso de per2iles de2inidos 0 documentados, los cuales estar#n asociados a los car$os, roles o acti idades desempeDadas por los usuarios% Las normas 0 procedimientos esta)lecidos para la asi$nacin de los accesos de)en estar de)idamente documentados 0 2ormalizados% Art@culo 3.! La unidad de se$uridad de los acti os de in2ormacin de)er# $arantizar Aue los operadores de turno no ten$an acceso al am)iente de produccin de2inido en los computadores 0 ser idores de misin cr@tica del Ente super isado% Art@culo 33! El Ente super isado de)e esta)lecer pol@ticas 0 procedimientos para re$ular, controlar 0 monitorear la utilizacin 0 acceso al correo electrnico e Internet, as@ como, a los enrutadores, corta2ue$o B2ireOallC 0 pro:0s% De i$ual 2orma, de)er# $enerar reportes de auditoria so)re intentos de iolaciones a las redes o eAuipos, deteccin de posi)les delitos in2orm#ticos Aue atentan contra la con2idencialidad de los clientes, uso de utilitarios sensiti os 0 las acti idades de los usuarios con atri)utos de administracin 0 accesos especiales% Art@culo 35! De2inir mecanismos Aue permitan restrin$ir al personal no autorizado el tr#2ico de datos entrantes 0 salientes a los recursos tecnol$icos de la red% De i$ual 2orma, ser# necesario e2ectuar prue)as de penetracin, tanto internas como e:ternas, en periodos no ma0ores a un B9C aDo% Art@culo 3;! Esta)lecer dentro de su plata2orma de red, aplicaciones Aue 2aculten la pre encin, deteccin 0 eliminacin de irus in2orm#ticos% El Ente super isado, de)er# ase$urarse de la oportuna actualizacin de la )ase de datos de irus% Art@culo 37! /estrin$ir el acceso a utilitarios sensiti os Aue permitan modi2icar datos en el am)iente de produccin, para lo cual de)er#n documentar, sustanciar 0 (usti2icar cuando ocurra el e ento% Art@culo 3Q! La plata2orma tecnol$ica del Ente super isado, de)e ser auditada por medio de e aluaciones internas 0 e:ternas en per@odos no ma0ores a un B9C aDo% "ara ello, el #rea de auditoria de sistemas de)er# de2inir un plan de tra)a(o anual Aue sustente las acti idades Aue ser#n e2ectuadas para ase$urar el adecuado control interno asociado al uso de la Tecnolo$@a de In2ormacin% CA"IT*LO III 4ENE/ACI>N DE /E4I8T/O8 DE A*DITO/IA8 Art@culo 37! 8e de)en mantener acti os los re$istros o pistas de auditor@a $eneradas por las aplicaciones 0 sistemas de misin cr@tica, particularmente en aAuellos casos en los cuales e:ista modi2icacin o alteracin de la in2ormacin almacenada en las )ases de datos producti as% De i$ual 2orma, de)er#n
%"
ase$urar el almacenamiento de los mencionados re$istros por un periodo de un B9C aDo% "or otra parte, las pistas de auditoria de)er#n ser re isadas por el #rea de se$uridad de la in2ormacin 0 auditor@a de sistemas, para lo cual ser# necesario $enerar in2ormes Aue re2le(en posi)les )rec,as o ulnera)ilidades identi2icadas% Estos in2ormes de)er#n $enerarse anualmente 0 de)en ser entre$ados a esta 8uperintendencia, cuando as@ sea reAuerido% CA"IT*LO I8E4*/IDAD +H8ICA Art@culo 50! El Ente super isado de)e contar con una co)ertura o una pro isin de se$uros para los principales eAuipos de cmputo 0 telecomunicaciones Aue permita miti$ar los posi)les ries$os e:istentes Bincendio, ,uel$a, mot@n, impacto de ra0o, e:plosin, implosin, ,umo, $ases o l@Auidos corrosi os, corto circuito, ariaciones de olta(e, ro)o, asalto 0 2enmenos naturalesC% Art@culo 59! Los materiales de construccin del edi2icio en el cual se almacena el centro de datos, inclu0endo paredes, tec,o 0 pisos de)en ser de materiales no com)usti)les% Art@culo 52! Las paredes del centro de procesamiento de datos de)en e:tenderse desde la estructura del piso a la del tec,o del edi2icio 0 no desde pisos ele ados o tec,os 2alsos, con el 2in de impedir una entrada su)repticia a las #reas sensi)les de la citada instalacin% Art@culo 5.! Instalar como m@nimo un sistema de supresin de 2ue$o de contacto seco en el cuarto en el Aue se encuentra el computador central 0 especialmente dentro de la cinto o discoteca% Art@culo 53! 4arantizar el mantenimiento adecuado de los detectores 0 sistema de alarma contra incendio, as@ como de las salidas de emer$encia, paneles de distri)ucin el6ctrica 0 de potencia, aire acondicionado, suministros de potencia ininterrumpi)les B*"8C, plantas el6ctricas, entre otros aspectos% Art@culo 55! 8e de)e contar con un sistema de se$uridad el6ctrica Aue prote(a de las ariaciones de olta(e al computador central, sus peri26ricos 0 a los eAuipos de comunicacin de datos% "or otra parte, el cuarto de comunicaciones de)e mantener instalado supresores de corrientes, protectores de las l@neas de datos, )arras de tierras, entre otros aspectos% De i$ual 2orma, de)e estar li)re de contactos e instalaciones el6ctricas en mal estado% Art@culo 5;! 8e de)e u)icar el panel de distri)ucin del sistema el6ctrico en un #rea se$ura e inaccesi)le a personas no autorizadas% Art@culo 57! 4arantizar la redundancia de los eAuipos de aire acondicionado instalados en el centro de procesamiento de datos% Art@culo 5Q! Los centros de procesamiento de datos 0 telecomunicaciones tanto principales como alternos, de)en contar con mecanismos adecuados para la deteccin 0 e:tincin de incendios Aue ase$uren la inte$ridad del personal Aue reside dentro o cerca de estas instalaciones, as@ como, la de los acti os de in2ormacin% De i$ual 2orma, las mencionadas #reas de)en contar con dispositi os de control de la ,umedad 0 del clima, mantenerse li)res de material in2lama)le% En este sentido, se de)er#n realizar simulacros so)re los posi)les e entos de contin$encia Aue podr@an presentarse en estas instalaciones% "ar#$ra2o Rnico! El Ente 8uper isado de)e ase$urar la e:istencia de procedimientos Aue re$ulen las condiciones am)ientales de las instalaciones de los centros de procesamiento de datos 0 telecomunicaciones, tanto
%#
principales como alternos, a 2in de ase$urar Aue estos proporcionen un am)iente 2@sico con eniente para su 2uncionamiento 0 prote(an los acti os de in2ormacin 0 al personal adscrito al #rea de Tecnolo$@a de la In2ormacin contra peli$ros naturales o 2allas ,umanas% Art@culo 57! Los centros de procesamiento de datos 0 telecomunicaciones, de)en mantenerse separados 0 claramente de2inidos por per@metros 2@sicos% De i$ual 2orma, de)en mantenerse continuamente monitoreados cu)riendo para ello, todo el per@metro de sus instalaciones% Art@culo ;0! El ca)leado de comunicaciones de)e estar de)idamente prote$ido por canaletas, as@ como identi2icado o etiAuetado% "or otra parte de)e estar separado de los ca)les de electricidad% Art@culo ;9! Los centros de procesamiento de datos 0 telecomunicaciones, tanto principales como alternos, de)en ser res$uardados por adecuados controles de acceso, para lo cual se de)en considerar los si$uientes aspectos! a% *tilizar controles de autenticacin para el acceso de personal autorizado Btar(eta, nNmero de identi2icacin personal &"IN&, carnet, )iometr@a, entre otrosC% )% /estrin$ir el acceso a personal no autorizado a las mencionadas instalaciones% "or otra parte, las acti idades e(ecutadas por los isitantes de)en ser super isadas o inspeccionadas, as@ como encontrarse re$istradas en las )it#coras de2inidas para tal 2in%
c. /e isar 0 actualizar peridicamente los derec,os de acceso a las #reas prote$idas o restrin$idas%
Art@culo ;2! Las instalaciones internas o e:ternas en las cuales se $uardan, almacenan 0 custodian los respaldos de in2ormacin, de)en mantener ni eles de se$uridad similares a los de2inidos para los centros de datos% Art@culo ;.! Los listados 0 documentacin de datos, pro$ramas 0 sistemas de)en estar res$uardados con adecuadas medidas de se$uridad% 8e de)e de2inir un procedimiento para determinar la destruccin o desec,o de los reportes $enerados, una ez cumplido su periodo de retencin, i$encia o uso% TIT*LO -I "LAN DE CONTIN4ENCIA TECNOL>4ICA CA"IT*LO I ALCANCE J CONTENIDO DEL "LAN DE CONTIN4ENCIA Art@culo ;3! La Alta 4erencia del Ente 8uper isado de)e ase$urar la e:istencia de un plan de contin$encias tecnol$icas apro)ado, 2ormalizado, actualizado, implementado 0 pro)ado% El plan de)e incluir como m@nimo los si$uientes aspectos! a% O)(eti o 0 alcance del plan de2inido% )% 1etodolo$@a empleada para su diseDo% c% d%
e.
Identi2icacin de procesos cr@ticos% Clasi2icacin de los sistemas, aplicaciones, so2tOare 0 eAuipos Bcr@ticos, itales, sensiti os, etc%C% "rioridad 0 estrate$ia de recuperacin Aue in olucre cada plata2orma de Tecnolo$@a de In2ormacin en la cual se almacenan 0 procesan las aplicaciones o datos Aue soporten una 2uncin critica del ne$ocio%
%$
f.
Detalle de cada uno de los procedimientos de2inidos para la recuperacin de operaciones criticas% 8o)re este aspecto de)er# considerarse el mane(o de distintos escenarios para cada tipo de incidencia Aue pueda a2ectar el 2uncionamiento 0 operati idad del Ente super isado%
$% Localizacin de los medios de respaldos, as@ como, del personal autorizado para accederlos% ,% Identi2icacin del personal contacto por #rea 0 descripcin de sus responsa)ilidades%
i.
Ni eles de escalamiento para el mane(o 0 resolucin de las 2allas e:istentes o detectadas% /ecursos ,umanos, 2inancieros 0 tecnol$icos m@nimos 0 necesarios para la recuperacin de la operati idad el ne$ocio%
(%
E% Documentacin asociada a los contratos o con enios realizados con terceros o pro eedores e:ternos de tecnolo$@a de in2ormacin para apo0ar el proceso de recuperacin%
l.
Esta)lecimiento del per@odo de recuperacin critico para los recursos de in2ormacin, en el cual de)e resta)lecerse el procesamiento del ne$ocio, antes de Aue se e:perimenten perdidas si$ni2icati as o inacepta)les%
Art@culo ;5! El Ente super isado, de)e contar con procedimientos documentados de respaldos 0 recuperacin de la in2ormacin en instalaciones distintas a las del centro de procesamiento de datos ,a)itual% De i$ual 2orma, de)er# contar con una plani2icacin detallada de la cantidad, 2recuencia, lu$ares apropiados de almacenamiento tanto internos como e:ternos, in entarios detallados, responsa)les 0 la 2orma en la cual se administran los medios ma$n6ticos% Estos procedimientos de)en pre er, como m@nimo la $eneracin de dos B2C copias de res$uardo, manteniendo el almacenamiento de una B9C de ellas en un edi2icio u)icado a una distancia razona)le del centro de procesamiento de datos% Art@culo ;;! El Ente super isado de)e e2ectuar al menos un B9C simulacro anual del plan de contin$encias tecnol$icas, con resultado e:itoso en todas sus dimensiones% En caso contrario, de)e realizar las prue)as Aue sean necesarias ,asta cumplir con los o)(eti os esta)lecidos en el citado plan% Esta prue)a se realizar# de acuerdo al crono$rama Aue presente el Ente super isado a esta 8uperintendencia, destacando Aue una ez Aue el plan est6 implementado 2ormalmente, de)e participar el auditor interno del Ente super isado% Los resultados de estas prue)as de)er#n estar disponi)les para las inspecciones e2ectuadas por este Or$anismo% De acuerdo al $rado de comple(idad en las operaciones 0 uso de las Tecnolo$@as de In2ormacin en cada Ente super isado esta 8uperintendencia, reAuerir# el cumplimiento, desarrollo 0 especi2icacin ma0or de cada uno de los puntos descritos en el plan de contin$encias tecnol$icas% CA"IT*LO II 1ANTENI1IENTO J /EE-AL*ACI>N DEL "LAN DE CONTIN4ENCIA8 TECNOL>4ICA8 Art@culo ;7! "ara $arantizar el mantenimiento 0 actualizacin de los planes de contin$encias tecnol$icas los mismos de)en re isarse 0 actualizarse peridicamente para $arantizar su e2icacia permanente% 8e de)en incluir procedimientos en el pro$rama de administracin de cam)ios de la Or$anizacin para $arantizar Aue se a)orden adecuadamente los tpicos asociados a las contin$encias tecnol$icas% En este sentido, de)e asi$narse a las unidades responsa)les de la tecnolo$@a del Ente super isado la responsa)ilidad de las re isiones peridicas del plan de contin$encias tecnol$icas, la identi2icacin de
2&
cam)ios en las disposiciones relati as al ne$ocio aNn no re2le(adas en dic,o plan en aras de ase$urar la adecuada 0 oportuna actualizacin del mencionado plan% TIT*LO -II 1ANTENI1IENTO E I1"LANTACI>N DE LO8 8I8TE1A8 DE IN+O/1ACI>N CA"IT*LO I 1ODELO DE LA A/S*ITECT*/A DE IN+O/1ACI>N, DICCIONA/IO DE DATO8 J /E4LA8 DE 8INTA<I8 DE DATO8 Art@culo ;Q! La in2ormacin almacenada en los sistemas de in2ormacin de)er# ser consistente con las necesidades del Ente super isado 0 de)e ser identi2icada, capturada 0 comunicada en la 2orma 0 dentro de per@odos Aue permitan a los responsa)les lle ar a ca)o sus tareas% Asimismo, la 2uncin de sistemas de in2ormacin de)er# crear 0 actualizar re$ularmente un modelo de arAuitectura de in2ormacin, a)arcando los modelos de datos corporati os 0 los sistemas de in2ormacin asociados% El modelo de arAuitectura de in2ormacin de)er# ser consistente con el plan a lar$o plazo de2inido por el #rea de Tecnolo$@a de In2ormacin% Art@culo ;7! La 2uncin de ser icios de tecnolo$@a de la in2ormacin del Ente super isado, de)e ase$urar la creacin 0 la continua actualizacin de un diccionario de datos corporati o Aue incorpore las re$las de sinta:is de datos de la Institucin% Art@culo 70! El Ente super isado, de)e esta)lecer pol@ticas 0 procedimientos para el diseDo, desarrollo e implantacin de sistemas de in2ormacin e2icaces, se$uros 0 Aue impidan modi2icaciones no autorizadas% Asimismo, ser# necesario Aue estos se a(usten al cumplimiento de las le0es, re$lamentos 0 las normati as i$entes aplica)les% En este sentido, la Institucin de)e!
a.
Implementar una metodolo$@a para el ciclo de ida del desarrollo de sistemas de in2ormacin, Aue ase$ure su calidad 0 satis2a$a los reAuerimientos del usuario% "ara ello, ser# necesario ase$urar la 2uncionalidad del sistema desarrollado o modi2icado 0 $arantizar Aue este sea re isado 0 apro)ado por las unidades 2uncionales usuarias a2ectadas 0 la Alta 4erencia%
)% De2inir #reas 0 recursos Aue permitan una adecuada separacin de los am)ientes de tra)a(o computacionales, comNnmente denominados desarrollo, prue)as o calidad 0 produccin, as@ como, la restriccin de acceso al personal de desarrollo, mantenimiento de sistemas 0 operaciones al am)iente de produccin%
c.
Esta)lecer procedimientos de control de cam)ios de los pro$ramas asociados a los sistemas de in2ormacin producti os, Aue permitan su adecuada trans2erencia, as@ como la de arc,i os, estructuras de datos, de2iniciones de diccionario de datos, rdenes de e(ecucin de pro$ramas, entre otros aspectos%
Art@culo 79! La puesta en produccin de pro$ramas, arc,i os o estructuras de datos de)e ser realizada por personal Aue no ten$a inculacin al$una con el #rea de desarrollo 0 mantenimiento de sistemas% En este sentido, de)er#n de2inirse procedimientos automatizados Aue ase$uren la correspondencia entre los pro$ramas L2uentesM 0 Le(ecuta)lesM% 8e destaca Aue estos procedimientos de)en encontrarse de)idamente documentados 0 contar con los manuales correspondientes al #rea de operaciones% Art@culo 72! El Ente super isado de)e de2inir pol@ticas 0 procedimientos relacionados con la captura, actualizacin, procesamiento, almacenamiento 0 salida de los datos, de tal 2orma Aue sea posi)le ase$urar Aue permanezcan completos, precisos 0 #lidos
2%
Art@culo 7.! El Ente super isado de)e mantener actualizada la documentacin t6cnica Aue conten$a como m@nimo los si$uientes aspectos! o)(eti os, alcances, dia$rama del sistema, re$istro de modi2icaciones, len$ua(e de pro$ramacin, mane(ador de las )ases de datos empleados, descripcin del ,ardOare 0 so2tOare, su interrelacin, intercone:in o inter2ase con otras aplicaciones o rutinas, descripcin de las pantallas Aue permiten la modi2icacin directa de datos de produccin Bcam)ios de par#metros, 2rmulas, tasas, datos, entre otros aspectosC% CA"IT*LO II CONT/OL DE ACCE8O A LA8 BIBLIOTECA8 S*E AL1ACENAN LO8 "/O4/A1A8 +*ENTE8 Art@culo 73! El Ente super isado de)e mantener un control estricto so)re el acceso a las )i)liotecas Aue almacenan los pro$ramas 2uentes, considerando como m@nimo los si$uientes aspectos!
a.
Las )i)liotecas de pro$ramas 2uentes no de)en encontrarse almacenadas en el mismo am)iente en el cual residen los sistemas producti os de la Institucin% 8e de)er# desi$nar a un )i)liotecario Aue se responsa)ilice por la administracin de los pro$ramas 2uentes de las aplicaciones, destacando Aue este proceso podr# ser automatizado, para lo cual de)er#n $enerarse las pistas de auditoria pertinentes% El acceso a las )i)liotecas Aue almacenan los pro$ramas 2uentes por parte del personal de Tecnolo$@a de In2ormacin de)e ser limitado, destacando Aue de)er#n documentarse las acti idades Aue se e(ecutar#n so)re las citadas li)rer@as, as@ como, el car$o del personal Aue podr# acceder a ellas% Los pro$ramas en desarrollo o mantenimiento no de)en ser almacenados en las )i)liotecas de los pro$ramas 2uentes, mientras no son certi2icada 0 apro)ada su 2uncionalidad 0 operati idad% La actualizacin de las )i)liotecas de pro$ramas 2uentes 0 la distri)ucin de 6stos a los pro$ramadores, slo de)e ser e(ecutada por el )i)liotecario desi$nado, con la autorizacin de la m#:ima autoridad a la cual reporta la cual de)e estar adscrita a Tecnolo$@a de In2ormacin% Los listados de pro$ramas de)en ser almacenados en un am)iente se$uro, pre2eri)lemente en las )i)liotecas de2inidas para tal 2in% 1antener un re$istro de auditoria de todos los accesos a las )i)liotecas Aue almacenan los pro$ramas 2uentes% Las anti$uas ersiones de los pro$ramas 2uentes de)en ser arc,i adas con una clara indicacin de las 2ec,as en las cuales se encontra)an operati os, indicando adem#s el so2tOare de soporte, el control de tareas, las de2iniciones de datos, entre otros aspectos% El mantenimiento 0 la copia de las )i)liotecas de los pro$ramas 2uente de)en estar su(eta a estrictos procedimientos de control de cam)ios% CA"IT*LO III DE8A//OLLO E<TE/NO DE 8O+TFA/E%
b.
c.
d.
e.
2%
g.
h.
i.
Art@culo 75! Cuando se terceariza el desarrollo de so2tOare, se de)en considerar los si$uientes aspectos!
a.
Esta)lecer 2ormalmente los acuerdos asociados al uso de licencias, propiedad de cdi$os 0 derec,os de propiedad intelectual%
22
)% Certi2icacin de la calidad 0 precisin del tra)a(o e2ectuado%

c.
De2inicin de acuerdos de custodia de los pro$ramas 2uentes Aue permitan a la Institucin miti$ar los ries$os de dependencia o continuidad de operaciones, en caso de Auie)ra del pro eedor e:terno de tecnolo$@a de in2ormacin% Los derec,os por parte de la Institucin a realizar auditorias de la calidad 0 precisin del tra)a(o reAuerido 0 realizado% Esta)lecimiento de los reAuerimientos contractuales con respecto a la calidad del cdi$o% /ealizacin de prue)as pre ias a la instalacin para detectar cdi$os tro0anos, )om)as l$icas, entre otros% 8uministro de la documentacin del dia$rama de entidad G relacin, as@ como, manuales de especi2icaciones t6cnicas, de instalacin 0 de usuarios 2inales%
d.
e.
f.
g.
,% La restriccin de accesos al am)iente producti o por parte del pro eedor del so2tOare o cualAuier otro al cual se contraten sus ser icios% Art@culo 7;! De)e e:istir un comit6 t6cnico Aue super ise los procesos de control de cam)io e(ecutados en el Ente super isado% Pste de)er# estar con2ormado como m@nimo por el personal super isorio de las #reas de desarrollo o mantenimiento de sistemas, plani2icacin 0 produccin, as@ como, de auditoria 0 de se$uridad de la in2ormacin% "or otra parte, el re2erido comit6 de)er# ase$urar Aue los procesos de control de cam)io 0 pases de pro$ramas a produccin sean e(ecutados por un #rea distinta al Aue los desarroll% Este comit6 tendr# como o)(eti o principal la e aluacin de las solicitudes de incorporacin de nue os pro$ramas, procesos o eAuipos al am)iente producti o de la Institucin, as@ como, las implantaciones Aue demandan los pro0ectos 0 procesos de mantenimiento de la in2raestructura e:istente, destacando Aue ser# necesario medir el impacto Aue cada caso puede $enerar so)re la continuidad operati a del ne$ocio% Art@culo 77! La metodolo$@a del ciclo de ida de desarrollo de sistemas de)e incluir normas asociadas al estudio de 2acti)ilidad de los reAuerimientos realizados 0 contemplar la 2ormalidad en el procedimiento de respuesta al usuario respecto a la procedencia de su solicitud% Dic,o estudio de)e ser realizado por el comit6 t6cnico de control de cam)io, con la 2inalidad de determinar la ia)ilidad presupuestaria, tecnol$ica 0 si el mismo est# acorde con las necesidades del ne$ocio% Art@culo 7Q! 8i el reAuerimiento realizado a Tecnolo$@a de In2ormacin es procedente, se de)er#n 2ormalizar los detalles, de2inir su alcance, las etapas Aue de)er# contemplar 0 las 2ec,as de inicio 0 culminacin de cada una% Todos los acuerdos esta)lecidos de)en ser documentados 0 2irmados, tanto por el personal Aue inte$ra el comit6, como el usuario en seDal de aceptacin% Art@culo 77! La m#:ima autoridad de Tecnolo$@a de In2ormacin de)e ase$urar Aue todos los reAuerimientos de cam)ios, mantenimiento de sistemas internos 0 aAuellos pro istos por terceros, est#n su(etos a procedimientos 2ormales% Los cam)ios de)en clasi2icarse, priorizarse 0 contar con procedimientos espec@2icos para administrar ur$encias% Art@culo Q0! *na ez culminados los desarrollos reAueridos de)er#n e2ectuarse prue)as unitarias e inte$rales, en la cual de)en participar tanto el personal usuario como miem)ros del comit6 t6cnico de
23
control de cam)io, con la 2inalidad de $arantizar su adecuado 2uncionamiento 0 Aue se adaptan a los acuerdos esta)lecidos% +inalizadas dic,as prue)as en 2orma satis2actoria, las mismas de)en ser documentadas 0 2irmadas por los participantes en seDal de con2ormidad 0 certi2icacin% CA"IT*LO IAD1INI8T/ACI>N DE LA8 BA8E8 J E8T/*CT*/A8 DE DATO8 Art@culo Q9! Los administradores de )ases de datos son responsa)les de super isar el uso de las estructuras, la conser acin de los re$istros, la e(ecucin de 2unciones estad@sticas, el control de acceso a las estructuras de datos 0 pro$ramas Aue pueden accederlas 0 cualAuier otra 2uncin Aue in olucre su monitoreo permanente% Art@culo Q2! El administrador de )ase de datos de)e ase$urar el estricto cumplimiento de los reAuisitos de se$uridad $lo)ales del sistema administrati o de las )ases de datos, destacando Aue estos de)en ser consistentes con las pol@ticas esta)lecidas 0 monitoreadas por la unidad de se$uridad de los acti os de in2ormacin% Art@culo Q.! 8lo el administrador de )ase de datos tiene la autoridad para ,acer cam)ios a la )i)lioteca del sistema administrati o de )ases de datos% Art@culo Q3! El administrador de )ase de datos de)e restrin$ir la inclusin directa de datos en las estructuras sin la apro)acin del #rea usuaria de la aplicacin, auditor@a 0 la unidad de se$uridad de los acti os de in2ormacin, destacando Aue toda car$a con las mencionadas caracter@sticas, de)er# documentarse, (usti2icarse 0 autorizarse por las unidades competentes% Art@culo Q5! El administrador de )ase de datos de)er# esta)lecer procedimientos escritos para la recuperacin de las )ases 0 estructuras de datos, en caso de una destruccin total o parcial% "or otra parte, de)er# documentar los mecanismos de se$uridad de2inidos para las estructuras de datos, la proteccin contra la destruccin accidental o deli)erada, 0 de accesos no autorizados% Estos procedimientos de)en incluir los accesos concurrentes al sistema 0 la 2orma de solucionar aAuellos reAuerimientos con2licti os Aue causen incidentes ad ersos a los esperados% 8e destaca Aue los procedimientos de)er#n ser re isados 0 a alados por el personal de auditor@a de sistemas 0 la unidad de se$uridad de los acti os de in2ormacin 0 custodiados adecuadamente a 2in de e itar accesos irrestrictos% Art@culo Q;! El administrador de )ases de datos de)e apro)ar en con(unto con el comit6 de control de cam)ios todas las modi2icaciones ma0ores al so2tOare del sistema de administracin de )ase de datos, de i$ual 2orma, de)er# alidar cualAuier cam)io 0 aceptar 2ormalmente la incorporacin de nue as ersiones% Art@culo Q7! La Alta 4erencia de Tecnolo$@a de In2ormacin de)e ase$urar la e:istencia de controles 0 procedimientos especiales para pre enir el acceso a las )ases de datos cuando no est6n )a(o el control del so2tOare del sistema de administracin de )ase de datos% De i$ual 2orma, de)er# controlar el acceso a la )i)lioteca del re2erido sistema 0 a cualAuier otra documentacin de los pro$ramas de utiler@a, aplicacin de los usuarios u otro recurso% Art@culo QQ! 8e esta)lecen como controles m@nimos necesarios para ase$urar la inte$ridad de las )ases de datos, los si$uientes!
a.
De2inir normas para la de2inicin, control, actualizacin 0 monitoreo de las )ases 0 estructuras de datos, para lo cual de)er#n de2inirse mecanismos Aue ase$uren su continuo cumplimiento%
24
b.
Implementar con la 2recuencia del caso, copias de se$uridad de las estructuras 0 )ases de datos, as@ como, los procedimientos de recuperacin para ase$urar la disponi)ilidad de la )ase de datos% Esta)lecer di2erentes ni eles de control de acceso para los ru)ros de datos, ta)las 0 arc,i os a 2in de pre enir in$resos inad ertidos o no autorizados a las citadas estructuras% Ase$urar Aue slo el personal autorizado puede actualizar las )ases de datos% Esta)lecer los controles para mane(ar los pro)lemas de acceso concurrente% 4arantizar la correccin, inte$ridad 0 consistencia de los elementos de los datos 0 de las relaciones en la )ase de datos% *sar puntos de eri2icacin de las )ases de datos para reiniciar el procesamiento despu6s de una 2alla del sistema en el 2lu(o de tra)a(o Aue minimice la p6rdida de datos 0 los es2uerzos de recuperacin% E2ectuar la reor$anizacin de las estructuras 0 )ase de datos, a 2in de reducir el espacio de disco no usado 0 eri2icar las relaciones de2inidas% Ase$urar el cumplimiento de los procedimientos de2inidos para la reestructuracin de las )ase de datos cuando se ,a$an los cam)ios l$icos, 2@sicos 0 de procedimientos% Emplear ,erramientas de monitoreo de desempeDo de las estructuras 0 )ases de datos para $arantizar su e2iciencia%
c.
d. e. f.
g.
h.
i.
j.
Art@culo Q7! 8e de)en implantar 0 monitorear continuamente los controles del so2tOare Aue es utilizado para limitar el acceso a las estructuras 0 )ases de datos, espec@2icamente aAuellos asociados a!
a.
/e$istrar las solicitudes de acceso para identi2icar la estacin de tra)a(o, la ,ora 0 el operador o usuario Aue realiz la solicitud de in$reso% BloAueos de acceso de los usuarios a las estructuras 0 )ases de datos Aue no son necesarios para el desempeDo de sus 2unciones% Limitar se eramente los cam)ios 0 actualizaciones a los arc,i os de las )ases de datos con respecto a di ersos usuarios% /e$istrar las transacciones de accesos 0 cam)ios para control, auditoria 0 recuperacin% Controlar se eramente el acceso cuando se esta depurando o reor$anizando el contenido de una estructura o )ase de datos, o cuando se sintetizan los datos%
b.
c.
d. e.
a% Limitar la cantidad de personas Aue tienen acceso a las )ases de datos de prue)a% Art@culo 70! Ase$urar Aue las )it#coras de las )ases o estructuras de datos de las aplicaciones cr@ticas conten$an los si$uientes re$istros!
a. b.
Todos los datos )orrados de las )ases de datos% Ori$en Binterno o e:ternoC de todas las transacciones%
25
c.
*tilizacin de la )ase de datos por personas distintas a los usuarios Aue tienen accesos autorizados a la aplicacin% -iolaciones de se$uridad con respecto a las )ases de datos% /eor$anizaciones o sintetizaciones de las )ases de datos% *so de las utiler@as de las )ases de datos%
d. e. f.
$% Estado del sistema Aue pueda ser reAuerido para reinicio o cam)io de datos errneos% Art@culo 79! La Alta 4erencia de Tecnolo$@a de In2ormacin de)e ase$urar la e:istencia de manuales de procedimientos e instrucciones de operacin para todos los pro$ramas de aplicacin Aue acceden a las estructuras 0 )ases de datos% Art@culo 72! La Alta 4erencia de Tecnolo$@a de In2ormacin de)e ase$urar la e:istencia de documentacin escrita Aue detalle los est#ndares de documentacin para todos los pro$ramas de las aplicaciones desarrolladas Binternas o e:ternasC% La mencionada documentacin de)e ser re isada con el administrador de )ase de datos antes de la puesta en produccin del pro$rama% "or otra parte, de)er#n encontrarse documentados los est#ndares de prue)a de pro$ramas Aue especi2iAuen criterios para $enerar datos de prue)a para las )ases de datos% Adicionalmente, de)er#n ase$urar la re isin de los resultados $enerados 0 la retencin de los mismos% Art@culo 7.! El Ente super isado de)e $arantizar la e:istencia de procedimientos escritos Aue delineen los procesos de respaldo 0 recuperacin Aue de)en usarse si 2allan las )ases de datos o si estas son destruidas parcial o totalmente% Art@culo 73! 8lo el personal autorizado del #rea de Tecnolo$@a de In2ormacin de)e tener acceso al lu$ar en el cual se encuentran almacenados los arc,i os de las )ases de datos% En este sentido, de)er#n de2inirse 0 documentarse claramente los car$os, las 2unciones 0 acti idades Aue 6ste tendr# so)re las mencionadas estructuras% Art@culo 75! El diccionario de datos de)er# ser empleado para mantener un control e2ecti o so)re todas las de2iniciones, as@ como, el rastreo de los datos a tra 6s de las aplicaciones Aue lo emplean% "ar#$ra2o Rnico El administrador de )ase de datos es el responsa)le por el desarrollo 0 super isin continua del diccionario de datos% Art@culo 7;! El Ente super isado de)e ase$urar Aue los procedimientos de recuperacin 0 respaldo sean pro)ados en los pro$ramas de la aplicacin antes de su implementacin% Estos procedimientos de)en delinear la recuperacin de las )ases de datos 0 la de las transacciones, as@ como, el reinicio de los pro$ramas de la aplicacin, el so2tOare del sistema, el control de las transacciones, del sistema operati o, entre otros aspectos% Esto in olucra la recuperacin de las )ases de datos en sus interrelaciones con los pro$ramas espec@2icos de la aplicacin% TIT*LO -III /EDE8 CA"IT*LO I IN+/AE8T/*CT*/A DE LA8 /EDE8
26
Art@culo 77! La Alta 4erencia de Tecnolo$@a de la In2ormacin de)e ase$urarse Aue los planes de adAuisicin de ,ardOare 0 so2tOare re2le(en las necesidades identi2icadas en el plan estrat6$ico de Tecnolo$@a de la In2ormacin% Art@culo 7Q! Antes de la implantacin de un nue o ,ardOare o so2tOare, el Ente super isado de)e e aluar el impacto de la implantacin en los sistemas e:istentes para as@ minimizar cualAuier interrupcin de los sistemas de in2ormacin como resultado del proceso realizado% Art@culo 77! De)en esta)lecer procedimientos para la realizacin de prue)as al ,ardOare o so2tOare instalado% Estos procedimientos de)en incluir como m@nimo las si$uientes prue)as! a% *nitarias e inte$rales% )% De inter2az% c% De capacidad% d% De aceptacin del usuario% Art@culo 900! 8e de)en realizar en 2orma semestral estudios de capacidad 0 desempeDo del ,ardOare 0 las l@neas de comunicaciones Aue permitan determinar las necesidades de e:pansin de capacidades o actualizaciones de eAuipos en 2orma oportuna% Art@culo 909! 8e de)en esta)lecer pol@ticas 0 procedimientos para la instalacin 0 mantenimiento del ,ardOare 0 su con2i$uracin )ase, a 2in de ase$urar Aue proporcionen la plata2orma tecnol$ica apropiada para soportar las aplicaciones relacionadas con las redes 0 comunicaciones 0 minimicen la 2recuencia e impacto de las 2allas de desempeDo de las mismas% CA"IT*LO II AD1INI8T/ACI>N J CONT/OLE8 DE LA8 /EDE8 Art@culo 902! Los administradores de redes en con(unto con el #rea de unidad de se$uridad de los acti os de in2ormacin de)en implementar controles para $arantizar la proteccin de los ser icios conectados contra el acceso no autorizado, en este sentido se de)e considerar lo si$uiente! a% La responsa)ilidad operati a de las redes de)e estar separada de aAuellas asociadas a las operaciones del computador central% b. 8e de)en esta)lecer los procedimientos 0 responsa)ilidades para la administracin de eAuipos remotos, inclu0endo aAuellos u)icados en las #reas usuarias 0 )a(o custodia 0Go administracin de terceros o pro eedores% c. De2inir 0 documentar los controles tendentes a sal a$uardar la con2idencialidad e inte$ridad del procesamiento de los datos Aue pasan a tra 6s de redes pN)licas, as@ como, mantener la disponi)ilidad de los ser icios de red 0 computadoras conectadas% Art@culo 90.! Esta)lecer procedimientos de proteccin de los datos Aue se transmiten por la red de telecomunicaciones, mediante t6cnicas adecuadas de encriptacin a tra 6s de eAuipos o aplicaciones de2inidas para tal 2in% Art@culo 903! 8e de)e contar con un sistema o aplicacin Aue permita esta)lecer una adecuada se$uridad
2"
para los accesos a las redes, los cam)ios a su sistema operati o 0 el monitoreo de las acti idades Aue se desarrollan en ellas% Art@culo 905! Administrar adecuadamente las redes 0 las l@neas de comunicaciones% En este sentido, se de)en esta)lecer los procedimientos Aue ase$uren Aue las redes instaladas de oz 0Go datos cumplan con los reAuerimientos m@nimos i$entes del ca)leado estructurado% CA"IT*LO III /E4I8T/O DE *8*A/IO8 J "OLHTICA DE *TILIIACI>N DE LO8 8E/-ICIO8 DE /ED% Art@culo 90;! Ase$urar la e:istencia de un procedimiento 2ormal de re$istro 0 eliminacin de usuarios para otor$ar accesos a todos los sistemas 0 ser icios de in2ormacin multi&usuario e:istentes, el cual de)e incluir los si$uientes aspectos!
a.
*tilizar identi2icaciones de usuario Nnicos de 2orma tal Aue se sea posi)le responsa)les a estos por sus acciones%
incularlos 0 ,acer
b. c.
-eri2icar Aue el usuario ten$a la autorizacin del propietario del sistema para su uso% Ase$urar Aue el ni el de acceso otor$ado es adecuado para el propsito del ne$ocio, es co,erente con la pol@tica de se$uridad de la or$anizacin 0 consistente con las 2unciones asociadas al car$o Aue desempeDa%
d% Entre$ar a los usuarios un detalle escrito de sus derec,os de acceso% e% /eAuerir Aue los usuarios 2irmen declaraciones seDalando Aue comprenden las condiciones para el acceso% 2% 4arantizar Aue a los pro eedores de ser icios no se otor$an accesos a aplicaciones, sistemas o eAuipos cr@ticos ,asta Aue se ,a0an completado los procedimientos de autorizacin de2inidos para tal 2in% 1antener un re$istro 2ormal de todas las personas autorizadas para utilizar el ser icio%
$%
,% Cancelar inmediatamente los derec,os de acceso de los usuarios Aue cam)iaron sus tareas o se des incularon de la or$anizacin%
i.
-eri2icar peridicamente 0 cancelar las cuentas de usuarios redundantes o e$resados de la Institucin%
Art@culo 907! Limitar 0 controlar la asi$nacin 0 uso de pri ile$ios especiales o cualAuier ser icio de un sistema de in2ormacin multi&usuario Aue permita Aue el usuario pase por alto los controles de sistemas o aplicaciones% "ara ello, se estima necesario considerar los si$uientes aspectos!
a.
De)en identi2icarse los pri ile$ios asociados a cada producto del sistema 0 las cate$or@as o ni el de car$o del personal a los cuales de)en asi$narse los productos%
)% Los pri ile$ios de)en asi$narse a indi iduos so)re las )ases de la necesidad de uso% c% 1antener un proceso de autorizacin 0 un re$istro de todos los pri ile$ios asi$nados% Los pri ile$ios no de)en ser otor$ados ,asta Aue se ,a0a completado el proceso de autorizacin de2inido para tal 2in%
2#
d% "romo er el desarrollo 0 uso de rutinas del sistema para e itar la necesidad de otor$ar pri ile$ios a los usuarios% e% Los pri ile$ios de)en asi$narse a una identidad de usuario di2erente de aAuellas utilizadas en las acti idades comerciales normales% Art@culo 90Q! Los usuarios slo de)en contar con acceso directo a los ser icios para los cuales ,an sido e:presamente autorizados, para ello de)er# 2ormularse una pol@tica concerniente al uso de redes 0 ser icios de red% Esta de)e comprender como m@nimo!
a. b.
Las redes 0 ser icios de red a los cuales se permite el acceso% "rocedimientos de autorizacin para determinar las personas, las redes 0 los ser icios de red a los cuales tienen permitido el acceso%
c% Controles 0 procedimientos de $estin para prote$er el acceso a las cone:iones 0 ser icios de red% CA"IT*LO I"/OTECCI>N DE LO8 "*E/TO8 DE DIA4NO8TICO /E1OTO Art@culo 907! El acceso a los puertos de dia$nstico de)e ser controlado de manera se$ura por un mecanismo de se$uridad apropiado 0 un procedimiento Aue $arantice Aue slo son accesi)les mediante un acuerdo 2ormal 0 documentado Aue (usti2iAue el in$reso por parte del personal de soporte de ,ardOare 0 so2tOare% Art@culo 990! Los especialistas de redes en con(unto con el #rea de unidad de se$uridad de los acti os de in2ormacin, de)en esta)lecer las pol@ticas de control de acceso para redes compartidas, especialmente aAuellas Aue se e:tiendan m#s all# de los l@mites de la Institucin% Dic,os controles de)en implementarse mediante eAuipos o so2tOare de red Aue 2iltren el tr#2ico por medio de re$las o ta)las pre iamente de2inidas% Las restricciones aplicadas de)en )asarse en la pol@tica 0 los reAuerimientos de acceso de las aplicaciones del Ente super isado 0 de)en mantenerse 0 actualizarse de con2ormidad a lo e:presamente esta)lecido en la norma de2inida para tal 2in% En este sentido, de)en considerarse restricciones para! a% Correo electrnico%
b. c. d.
Trans2erencia unidireccional de arc,i os% Trans2erencia de arc,i os en am)as direcciones% Acceso interacti o%
e% Acceso de red inculado a ,ora o 2ec,a% TIT*LO I< IN+/AE8T/*CT*/A DE LA8 TELECO1*NICACIONE8 Art@culo 999! La administracin del sistema de ca)leado de telecomunicaciones inclu0e la documentacin, terminacin de los ca)les 0 certi2icacin, paneles de patc,eo, armarios de telecomunicaciones 0 otros espacios ocupados por el sistema% Art@culo 992! Con2orme a lo esta)lecido por la norma AN8IGEIAGTIA&;0;, se considera necesario marcar
2$
con el cdi$o de color Aue a continuacin se detalla, los ca)les de telecomunicaciones empleados para su de)ida identi2icacin!
a. b. c. d.
Color Naran(a! Terminacin central de o2icina% Color -erde! Cone:in de red G circuito au:iliar% Color pNrpura! Cone:in ma0or G eAuipo de datos% Color Blanco! Terminacin de ca)le 1C Bconector de cruzado principalC a IC Bconector de cruzado intermedioC% Color 4ris! Terminacin de ca)le IC Bconector de cruzado intermedioC a 1C Bconector de cruzado principalC% Color Azul! Terminacin de ca)le ,orizontal%
e.
f.
$% Color 1arrn! Terminacin del ca)le del campo% ,% Color Amarillo! 1antenimiento au:iliar, alarmas 0 se$uridad% i% Color /o(o! sistema tele2nico%
Art@culo 99.! El #rea o cuarto de telecomunicaciones de)e ser empleado Nnicamente para u)icar el eAuipo asociado con el sistema de ca)leado, destacando Aue no de)e ser compartido con instalaciones el6ctricas distintas al eAuipo de telecomunicaciones, terminaciones de ca)le 0 ca)leado de intercone:in asociado, destacando Aue esta zona de)e mantenerse li)re de contactos e instalaciones en mal estado% "ueden incorporarse otros sistemas de in2ormacin del edi2icio como alarmas, se$uridad audio 0 de telecomunicaciones% Art@culo 993! En los cuartos de telecomunicaciones ser# necesario el uso de paneles de patc,eo para terminar el ca)leado tele2nico 0 el ,orizontal, implementando las cruzadas de patc,eo Btam)i6n llamadas patc, cordsC% Art@culo 995! 8e de)e e itar el pol o 0 la electricidad est#tica, utilizando piso de concreto, terrazo, loza o similar en los cuartos de telecomunicaciones% La temperatura 0 la ,umedad relati a de)en ser las recomendadas para este tipo de instalaciones% "or otra parte, de)e e itarse el uso de cielos 2alsos estar li)res de amenazas de inundacin% Art@culo 99;! Los eAuipos acti os de la red como sOitc,es, concentradores, multiple:ores, puentes, enrrutadores, conmutadores 0 componentes del ca)leado estructurado de)er#n instalarse so)re los mue)les BracEC de comunicaciones% Art@culo 997! La documentacin t6cnica asociada a la in2raestructura de telecomunicaciones de)er# contemplar como m@nimo los si$uientes aspectos!
a. b. c.
Dia$rama l$ico de la red% Descripcin de los elementos de ca)leado% "lanos de tra0ectoria del ca)leado 0 u)icacin de puntos de salida%
3&
d% Dia$rama del sistema de parc,eo, distri)ucin de re$letas 0 salidas%

e.
In2orme de certi2icacin del ca)leado estructurado, con su respecti o dia$rama de conecti idad, ape$ado a lo esta)lecido en las normas TIAGEIAG5;QB%
Art@culo 99Q! En el sistema de ca)leado estructurado se de)er# considerar el uso de ca)les 0 conectores Aue o2rezcan prestaciones i$uales o superiores a las especi2icadas para la cate$or@a 5% "or otra parte, el ca)leado de)e estar de)idamente prote$ido por canaletas, as@ como, identi2icado o etiAuetado 0 separado de los ca)les de electricidad% Art@culo 997! La estructura del ca)leado estructurado de)e permitir un crecimiento continuo sin alterar los ni eles de ser icio o2recidos, es decir, Aue las salidas del sistema de ca)leado se de)en incrementar sin interrupciones en el ser icio% Art@culo 920! Los componentes de tu)er@a de)er#n ser $al anizados, con un di#metro Aue $arantice el cuarenta por ciento B30TC de espacio li)re en el interior del tu)o para instalaciones 2uturas% Dic,a tu)er@a de)e Auedar aterrizada el6ctricamente% Art@culo 929! Todo el sistema de tu)er@a de)er# Auedar acoplado, utilizando los componentes reAueridos para ello Bcur as, conectores, ca(as de paso, entre otrosC% Art@culo 922! 8e de)er#n emplear como m@nimo las ,erramientas Aue a continuacin se detallan para monitorear la red de telecomunicaciones!
a.
/eportes de Tiempo Improducti o BdoOntimeC! los cuales tienen como o)(eti o rastrear la disponi)ilidad de l@neas 0 circuitos de comunicacin% En este reporte se de)er#n identi2icar las interrupciones de)idas a 2alta de ener$@a, car$a e:cesi a del tr#2ico, error del operador o posi)le intercepcin de transmisiones% 1onitores en L@nea! son comNnmente empleados para medir las transmisiones de telecomunicaciones 0 determinan si esta se encuentran correctas 0 completas% Analizadores de protocolo! permiten dia$nosticar la acti idad de la red Aue monitorean 0 re$istran la in2ormacin de administracin de la red a partir de los paAuetes Aue ia(an en el enlace al cual esta conectado el analizador% TIT*LO < BANCA -I/T*AL CA"IT*LO I AD1INI8T/ACI>N J CONT/OL DEL 8E/-ICIO DE BANCA -I/T*AL
b.
c.
Art@culo 92.! El Ente super isado, pre ia noti2icacin a la 8uperintendencia de Bancos, podr# )rindar, a tra 6s de la )anca irtual, los si$uientes ser icios! a% "re$untas 0 consultas de cuentas, )alances 0 tari2as )ancarias% )% 'istorial de transacciones% c% En iar o reci)ir mensa(es del Banco%
3%
d% Acceso a in2ormacin personal del cliente, de tal manera Aue pueda ser modi2icada 0 actualizada% e% Consulta de las transacciones e2ectuadas en los di ersos productos mantenidos por la Institucin% 2% "a$os a cuentas de pr6stamos, cuentas de tar(etas de cr6dito 0 ser icios pN)licos%
$% /ealizar pa$os a ciertas entidades pri adas Aue sean desi$nadas por la Institucin, pre ia solicitud del cliente% ,% Traspaso de 2ondos entre cuentas de la propia Institucin 0 de otros )ancos o instituciones 2inancieras% i% (%
k.
/eportar p6rdida de tar(etas de cr6dito o d6)ito emitidas por la Institucin% 8olicitudes de apro)acin de "r6stamos% El ente super isado podr#, pre ia autorizacin de la 8*DEBAN, incorporar otros ser icios adicionales%
Art@culo 923! La =unta Directi a de)e ase$urarse de inte$rar al manual de operaciones del Ente super isado, los procedimientos, pol@ticas 0 controles internos Aue $arantice el mantenimiento de una estructura administrati a 0 operati a adecuada para o2recer el ser icio de )anca irtual, considerando los si$uientes aspectos! a% Naturaleza de las transacciones u operaciones )ancarias o2recidas% )% 8istema de re$istro de las transacciones u operaciones%
c.
1ecanismos de2inidos para la super isin de los ries$os asociados con las acti idades de la )anca irtual 0 el esta)lecimiento de pol@ticas 0 controles para administrar los ries$os asociados% "rocedimientos, eAuipos, sistemas, aplicaciones 0 dispositi os de se$uridad implementados para ase$urar la proteccin interna 0 e:terna, aplica)les en caso de amenazas potenciales% Acciones de monitoreo 0 i$ilancia de las relaciones e:ternas Binclu0endo terceros 0 pro eedoresC Aue )rinden ser icios al sistema de )anca irtual%
d.
e.
Art@culo 925! La unidad de administracin inte$ral de ries$os e:istente en la Institucin, de)er# tener entre sus 2unciones la identi2icacin, medicin, monitoreo 0 control de los ries$os asociados al ser icio de )anca irtual, considerando como m@nimo los si$uientes aspectos! a% La inte$racin de los planes de desarrollo de )anca irtual dentro de los o)(eti os estrat6$icos de la Institucin% )% La e:posicin mani2iesta de los ries$os cl#sicos relacionados con el am)iente de tecnolo$@a de la in2ormacin% c% "rocesos de planeacin e implementacin para el uso de la tecnolo$@a asociada al ser icio%
d.
Identi2icar 0 esta)lecer los ries$os e:istentes, as@ como, controlar su e olucin a medida Aue se incorporen a la Institucin aspectos tecnol$icos%
32
Art@culo 92;! La unidad de auditoria de sistemas del Ente super isado, de)er# e2ectuar re isiones peridicas para la e aluacin 0 se$uimiento permanente de la 2uncin 0 operacin de los ser icios de )anca irtual, razn por la cual de)er# contar con personal con su2iciente e:perticia t6cnica para e aluar las amenazas de se$uridad 0 controles asociados al am)iente, as@ como, pro$ramas actualizados para la e(ecucin de sus 2unciones% El Ente super isado, podr# contratar los ser icios de empresas para realizar e aluaciones t6cnicas o auditorias de las operaciones de la )anca irtual manteniendo la adecuada independencia entre los ser icios de 6sta 0 la Institucin% Art@culo 927! El Ente super isado de)er# in2ormar al cliente de la )anca irtual so)re las caracter@sticas, condiciones, costo 0 cualAuier otra estipulacin determinante Aue conlle e el uso del ser icio% Asimismo, el Ente de)er# remitir la con2irmacin de la e(ecucin de las operaciones e2ectuadas por el cliente a tra 6s del ser icio de )anca% En este sentido, se de)e incluir en su sitio de Internet en el Aue opera la Banca -irtual, as@ como en el contrato, por lo menos lo si$uientes aspectos! a% Identidad 0 direccin del Ente super isado% )% La descripcin de las principales caracter@sticas del ser icio% c% Las caracter@sticas especiales de cada producto% d% 1odalidades de e(ecucin de las transacciones, plazo de alidez de la o2erta% e% +orma de pa$o% 2% Costo de la prestacin de ser icio a tra 6s del medio electrnico%
$% Costo de la prestacin de ser icio a tra 6s del medio electrnico%

h.
"ol@ticas de se$uridad, pri acidad 0 responsa)ilidad del cliente en su uso Besto inclu0e acuerdos de se$uridadC% Constancia de la aceptacin del contrato de )anca irtual, sin Aue esto conlle e la 2irma con encional% Es imprescindi)le se incorpore un enlace destacado o LlinEM a las condiciones $enerales para Aue su e:istencia resulte mani2iesta 0 sean 2#cilmente accesi)les en la pantalla 0 puedan ser reproducidas a tra 6s de cualAuier mecanismo de impresin disponi)le por el cliente% CA"IT*LO II 1ECANI81O8 DE CONTABILIIACI>N J /E4I8T/O DE T/AN8ACCIONE8
i.
Art@culo 92Q! La Institucin Aue o2rezca el ser icio de )anca irtual mantendr# una )it#cora de acceso 0 de uso del sistema Aue permita re$istrar las transacciones )ancarias 0 autenticaciones Aue realiza el cliente, la cual estar# a disposicin de este Or$anismo 0 conser ar#, por cualAuier medio autorizado por Le0, por un per@odo de tiempo no in2erior a cinco B5C aDos, contados a partir de la 2ec,a de la transaccin% De i$ual manera, la Institucin de)e contar con mecanismos Aue $aranticen la custodia de dic,os datos 0 la recuperacin de la acti idad procesada por la aplicacin manteniendo una asociacin entre la transaccin de )anca irtual 0 la persona Aue la e(ecut%
33
CA"IT*LO III 8E4*/IDAD DEL 8E/-ICIO DE BANCA -I/T*AL Art@culo 927! La unidad de se$uridad de los acti os de in2ormacin del Ente super isado, de)er# esta)lecer mecanismos de control Aue permitan alertar las 2allas 0 minimizar las ulnera)ilidades Aue la plata2orma tecnol$ica Aue soporta los ser icios de )anca irtual pueda presentar, considerando como m@nimo!
a.
De2inicin de controles de acceso l$icos a datos, sistemas, aplicaciones, so2tOare, utilitarios, l@neas de comunicaciones, li)rer@as, entre otros% E:istencia de mecanismos corta2ue$os B2ireOallsC para mediar entre la red pN)lica, Internet 0 la red pri ada del Ente super isado, a 2in de $arantizar la no intromisin cuando estas se e idencien% "roteccin contra irus 0 monitoreo 0 acciones correcti as so)re cualAuier acti idad asociada a delitos in2orm#ticos en el am)iente de )anca irtual 0 sus redes pri adas de soporte Bdene$acin del ser icio, pla$io, usurpacin o adulteracin de identidad, captura de in2ormacin personal, 2inanciera 0 pri ada del cliente, entre otros aspectosC% In,a)ilitacin de ser icios innecesarios en el ser idor de aplicacin de la )anca irtual, tales como! "rotocolo de Trans2erencia de Arc,i o B+T" & +ile Trans2er "rotocolC, Telnet% *tilizacin de tecnolo$@as de se$uridad para implementar el ser icio de la )anca irtual, tales como! In2raestructura de Cla es "N)licas B"UI V "u)lic Ue0 In2raestructuraC, "rotocolos 88L B8ecure 8ocEets La0erC, TL8 BTransport La0er 8ecurit0C, I"8ec, 8ET% *so de ,erramientas Aue permitan el monitoreo de los sistemas 0 las redes para detectar intrusos o pre enir ataAues% 1ane(o de precauciones para emplear los enlaces de telecomunicacin a tra 6s de redes pri adas irtuales 0 t6cnicas de encriptacin relacionadas%
b.
c.
d.
e.
2%
g.
,% /e isin peridica de la in2raestructura 0 pol@ticas de se$uridad de la Institucin con el 2in de optimizar las mismas )asadas en la propia e:periencia de la Institucin 0 sus cam)ios tecnol$icos% i% (% /e2orzamiento de los controles de acceso 2@sico% In2raestructura apropiada para la e(ecucin de respaldos de la data, la cual de)e ser pro)ada peridicamente%
E% 1ecanismos Aue $aranticen la disponi)ilidad del ser icio%

l.
"lanes apropiados de respuesta a incidentes Aue inclu0an estrate$ias de comunicacin Aue ase$uren la continuidad del ser icio 0 responsa)ilidad limitada asociada con interrupciones del ser icio de )anca irtual inclu0endo aAuellos ori$inados desde sistemas e:ternos%
34
m% De2inicin e implantacin de procedimientos 0 controles Aue )rinden una adecuada se$uridad en las aplicaciones de )anca irtual! control de cam)ios 0Go modi2icaciones, separacin de am)ientes de prue)a% Art@culo 9.0! 8e de)e $arantizar la autenticidad, la inte$ridad, la con2idencialidad 0 el no repudio o rec,azo de las transaccionesK as@ como, ase$urar una adecuada se$re$acin de responsa)ilidades 0 controles de autorizacin% En este sentido, se de)en considerar como m@nimo los si$uientes aspectos! a% 16todos para la eri2icacin de la identidad 0 autorizacin de los nue os clientes o aAuellos 0a e:istentes Aue deseen iniciar transacciones a tra 6s de los ser icios de )anca irtual% )% Esta)lecimiento de medidas para preser ar la con2idencialidad 0 se$uridad de la in2ormacin rele ante de la Institucin, las cuales de)en estar acordes con la sensi)ilidad de la in2ormacin transmitida 0Go $uardada en sus )ases de datos% c% T6cnicas Aue a0uden a esta)lecer el no repudio o rec,azo de la transaccin% d% 8e$re$acin adecuada de responsa)ilidades 0 medidas de control interno Aue puedan reducir el ries$o de 2raude en procesos 0 sistemas operacionales 0 ase$urar Aue las transacciones est6n autorizadas, re$istradas 0 sal a$uardadas apropiadamente% e% Esta)lecimiento de medidas Aue ase$uren la e:actitud, culminacin 0 con2ianza de las transacciones, re$istros de in2ormacin asociados a )anca irtual Aue puedan ser transmitidas a tra 6s de Internet, 0a sea en )ases de datos internas de la Institucin o $uardadas por pro eedores e:ternos al ser icio del Banco% 2% *so de t6cnicas de control apropiadas, tales como cripto$ra2@a, protocolos espec@2icos u otros Aue permitan $arantizar la pri acidad 0 con2idencialidad de la in2ormacin del cliente
Art@culo 9.9! El Ente super isado de)e tomar las medidas apropiadas para in2ormar a los clientes del ser icio de )anca irtual so)re el mane(o de la se$uridad 0 pri acidad de la in2ormacin% "ara tal propsito se de)en aplicar, al menos, las si$uientes medidas! a% In2ormar a los clientes, en 2orma clara, las pol@ticas de se$uridad empleadas por la Institucin en su ser icio de )anca irtual% )% Instruir a los clientes so)re la necesidad de prote$er su cla e secreta, nNmero de identi2icacin personal 0 cualAuier in2ormacin )ancaria 0 personal% TIT*LO <I DI8"O8ICIONE8 +INALE8 CA"IT*LO I 8*1INI8T/O DE IN+O/1ACI>N A8OCIADA AL *8O DE LA TECNOLO4HA DE IN+O/1ACI>N Articulo 9.2! El Ente super isado de)er#, con2orme a lo esta)lecido en el articulo 259 del Decreto con +uerza de Le0 de /e2orma de la Le0 4eneral de Bancos 0 Otras Instituciones +inancieras, suministrar en la 2orma 0 plazo Aue este Or$anismo lo esta)lezca, la in2ormacin reAuerida 0 relacionada con las aplicaciones, sistemas de in2ormacin, in2raestructura de telecomunicaciones, se$uridad, pro$ramas 0 eAuipos empleados por las Instituciones sometidas a su control, 2iscalizacin 0 re$ulacin% CA"IT*LO II
35
+O/1ACI>N DE TALENTO '*1ANO, ACTI-IDADE8 DE IN-E8TI4ACI>N J DE8A//OLLO A8OCIADA8 A LA TECNOLO4HA DE IN+O/1ACI>N Articulo 9..! El Ente super isado de)er# de2inir mecanismos Aue ase$uren el cumplimiento de lo esta)lecido en el art@culo 2Q de la Le0 Or$#nica de Ciencia, Tecnolo$@a e Inno acin, destacando Aue este Or$anismo de2inir# los procedimientos Aue estime necesarios para $arantizar la 2ormacin de talento ,umano, acti idades de in esti$acin 0 desarrollo a ser realizadas en el pa@s, en #reas relacionadas con el o)(eto de su acti idad, considerando para ello el porcenta(e esta)lecido en la mencionada le0% CA"IT*LO III *8O DE 8I8TE1A8 DE /E4I8T/O, CONT/OL J 1ONITO/EO DE /ECLA1O8 E+ECT*ADO8 "O/ CLIENTE8 "O/ EL INADEC*ADO +*NCIONA1IENTO, DELITO8, +ALLA8 O DE8"E/+ECTO8 EN LO8 CANALE8 ELECT/>NICO8 Articulo 9.3! El Ente super isado de)er# mantener sistemas de in2ormacin Aue 2aculten el re$istro, control 0 se$uimiento electrnico de cada una de las instancias mane(adas por la Institucin para procesar e2ecti amente los reclamos realizados por los usuarios del 8istema Bancario Nacional por el inadecuado 2uncionamiento, delitos, 2allas o desper2ectos presentados en el 2uncionamiento u operati idad de los ser icios, sistemas o eAuipos Aue constitu0en los canales electrnicos% En este sentido, de)er#n ase$urar el cumplimiento de lo esta)lecido en el art@culo 3. del Decreto con +uerza de Le0 de /e2orma de Le0 4eneral de Bancos 0 Otras Instituciones +inancieras%
36

Normativa 2011 04 28

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Normativa 2011 04 28

Cargado por

Copyright:

Formatos disponibles

REPBLICA BOLIVARIANA DE VENEZUELA SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS

Caracas, marzo 2007

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

I%& 'o(a de Apro)acin

*nidad solicitante% +ec,a de ela)oracin% +ec,a de i$encia% -ersin% +irmas autorizadas%

O)(eti o% /esponsa)le 0 1odi2icaciones% *)icacin% Titulo I

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

m. Control Interno! Con(unto de pol@ticas, normas, procedimientos,

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

w. Operaciones de los 8istemas de In2ormacin! Comprende la administracin, control 0 monitoreo de

aa. "lan de Contin$encias Tecnol$icas! Con(unto de operaciones, procesos 0 procedimientos pro)ados

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

$eneralmente dentro de la misma zona%

mediante di ersas instalaciones pN)licas o pri adas%

radio 2recuencia 0 la luz in2rarro(a para transmitir datos en 2orma inal#m)rica%

mm.8e$uridad L$ica! Consiste en la aplicacin de )arreras 0 controles internos Aue res$uarden el

documentos, procedimientos 0 rutinas asociados con la

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

c% "rocesos de mantenimiento 0 monitoreo so)re los re$istros automatizados de las operaciones%

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Ni eles de escalamiento, en caso de presentarse e entos de e:cepcin, 2allas o incidencias%

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

d% El ni el de soporte 0 capacitacin a ser proporcionados por el pro eedor%

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

De2inir 0 mantener actualizadas las pol@ticas de se$uridad de la in2ormacin%

)% Aplicar 0 ase$urar el cumplimiento de las pol@ticas de se$uridad de la in2ormacin de2inidas%

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

Re*+,l!ca Bol!$ar!ana de Vene'(ela S(*er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

-erenc!a de -e%&!"n Organ!'ac!onal

)% Certi2icacin de la calidad 0 precisin del tra)a(o e2ectuado%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%

Re+,l!ca Bol!$ar!ana de Vene'(ela S(er!n&endenc!a de Banco% ) O&ra% In%&!&(c!one% F!nanc!era%