Seguridad de Informacin Poltica General

Revisin Enero/2012 Vigencia Marzo/2012

Poltica General de Seguridad de Informacin

PGSI
Establecer e implantar Polticas de Seguridad de la Informacin que permita controlar el entorno lgico y fsico de la informacin estratgica de BANCARD, teniendo en cuenta los criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad y no repudio de la informacin.

1. Poltica General
Introduccin
La informacin es un activo importante de nuestra organizacin. Bancard tiene como uno de los objetivos principales asegurar los recursos informticos incluyendo los sistemas de computacin, las redes de computadoras, las comunicaciones y sobre todo los datos en cualquier medio en que estn almacenados ya que son parte integral de los servicios y gestin de la empresa. Para la adecuada gestin de la seguridad de la informacin, la Direccin de Bancard ha decido implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. El sistema de administracin de la seguridad est basado en los siguientes estndares: PCI DSS Payment Card Industry Data Security Standard: estndar desarrollado por un comit conformado por las compaas de tarjetas medios de pago ms importantes, como una gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago. ISO 27001: estndar para la seguridad de la informacin aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI). MCIIEF: Manual de Control Interno Informtico constituye una norma de cumplimiento obligatorio, en el cual se indican los requisitos mnimos de Control Interno Informtico a implementar en las entidades Financieras fiscalizadas por la Superintendencia de Bancos del Banco Central del Paraguay.

A travs de las medidas de proteccin definidas en el cuerpo normativo de seguridad de informacin, la compaa pretende garantizar la proteccin de los activos de informacin propios o en su custodia.

Objetivo
Establecer las directivas generales relacionadas con la Seguridad de Informacin que junto con las dems polticas por asunto, las normas y los procedimientos que sean aprobados como tales, constituyen el cuerpo normativo para la seguridad de informacin de BANCARD. Las polticas, normas y procedimientos han sido establecidos con el fin de garantizar: 1. 2. 3. La confidencialidad de la informacin La integridad de la informacin La disponibilidad de la informacin

Alcance
Esta poltica se aplica en todo el mbito de la organizacin, a sus recursos tecnolgicos y humanos, a la totalidad de los procesos internos o externos, a los proveedores y prestadores de servicios, otros, terceros, que de alguna forma pudieran tener alguna manera habitual u ocasionalmente interacten informacin o con los equipos y dispositivos que la almacenen, transmitan y/o procesen.

Administracin
Estas polticas debern ser revisadas para su actualizacin por lo menos una vez al ao o cuando algn

Vigencia Marzo/2012

Pgina 1

Poltica General de Seguridad de Informacin

cambio en el entorno funcional lo requiera.

Responsables del Cumplimiento

Todo el personal de Bancard y los terceros, que interactan de manera habitual u ocasional con los activos de informacin, son responsables de informarse del contenido del cuerpo normativo de seguridad de informacin, cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales. La Poltica de Seguridad de la Informacin es aplicable en forma obligatoria para todo el personal de Bancard, sin interesar su relacin con la empresa, el rea al cual se encuentra afectado o el nivel de tareas que desempee. El incumplimiento de la Poltica de Seguridad de la Informacin tendr como resultado la aplicacin de diversas sanciones, conforme a la magnitud y caracterstica del aspecto no cumplido.

Sanciones Previstas por Incumplimiento

Empleados y Personal Contratado El empleado o personal contratado que no cumpla con lo expresado en esta Poltica de Seguridad de la Informacin, ser sancionado conforme a lo dispuesto por el Reglamento Interno Bancard S.A., especficamente en los NUMERALES 21 al 25. Prestadores de Servicios y Proveedores Se sancionar al prestador de servicio o proveedor que incumpla lo dispuesto en la presente Poltica, con la cancelacin inmediata del contrato vigente siendo motivo de causa justificada y sin que esto represente alguna obligacin de indemnizacin por parte de Bancard al prestador o proveedor. En General Adems de las sanciones disciplinarias o administrativas el empleado, el proveedor o prestador afectado, que no da debido cumplimiento a sus obligaciones con respecto a estas polticas podrn incurrir en responsabilidad civil o patrimonial - cuando ocasione un dao que debe ser indemnizado- y/o en responsabilidad penal -cuando su conducta constituye un comportamiento considerado delito por el Cdigo Penal y las leyes vigentes de la Repblica.

2. Seguridad Fsica
El acceso fsico a cualquier activo de informacin tangible tales como Servidores de Datos, elementos de red, servidores en general, documentos y otros elementos crticos de la infraestructura como transformadores, antenas, paneles elctricos, debe estar correctamente restringido. Esto se aplica sin excepcin a los activos de informacin del segmento de red que alojan, procesan o transportan datos del tarjetahabiente y/o los datos de autenticacin del tarjetahabiente. 2.1. Zonas Protegidas
Se define 3 tipos de zonas segn el nivel de proteccin que se le da a la misma: rea Alta Seguridad: Comprende lugares donde se administra informacin confidencial o superior (PAN, PIN, Banda Magnetica, llaves de cifrados, etc.). Data Center, Centro de Embozados, Sala de Monitoreo de Seguridad. Area Crtica: Donde se administra informacin resultante del proceso de datos, donde estn instalados o almacenados equipos e insumos crticos. Area Restringida: Donde se administra informacin de difusin limitada o pblica. Todos los pisos del edificio Bancard, con excepcin de la Planta Baja, estn en esta categoria, como as tambin areas administrativas de las sucursales y otros edificios utilizados.

2.2. Control de acceso fsico

El acceso a dependencias que se considere crticas, sern controlado por medio sistemas que controlen

Vigencia Marzo/2012

Pgina 2

Poltica General de Seguridad de Informacin

el acceso. Las zonas de Alta Seguridad y las Zonas Crticas deben contar con sistemas de control de acceso con tarjetas de proximidad y/o sistemas biomtricos que limite la entrada/salida, adems de cmaras de CCTV, detectores de intrusin y otros medios de vigilancia que permita alertar intentos de accesos no autorizados. Los registros de estos controles deben ser almacenados por lo menos por un ao o en conformidad a lo estipulado por la ley. Estos lugares debern contar con carteles externos que indiquen la restriccin aplicada y en su interior contar con carteles y avisos que enfaticen temas de Seguridad. Las puertas tendrn sistemas de control de tiempo de apertura con alarmas.

2.3. Personas
Todo visitante ser registrado en los accesos principales del edificio. El Guardia de Seguridad de turno gestionar la autorizacin de ingreso con la persona visitada. El visitante recibir una tarjeta de visitante identificada por colores que indica el piso al cual acceder en forma exclusiva. Los visitantes, funcionarios y proveedores deben portar la tarjeta de identificacin en lugar visible y en forma permanente dentro de las instalaciones de Bancard. El ingreso de una persona no autorizada a reas crticas, deber ser solo con el acompaamiento, en todo momento, de alguna persona responsable del rea. Los medios utilizados para accesos de empleados y Proveedores, como ejemplo tarjetas, perfiles de usuarios, etc. sern desactivados o eliminados una vez que terminen vnculos laborales. La tarjeta de acceso ser recuperada y las cuentas bloqueadas y/o eliminadas. En caso de prdida de una tarjeta de acceso se comunicar inmediatamente a RR.HH. o Seguridad de la Informacin para desactivarla. Se debe mantener un registro de movimiento de las tarjetas de accesos para casos de necesidad de investigacin. Los sistemas de control de acceso sern monitoreados permanentemente por el rea de Seguridad. Todos los empleados deben tener especial cuidado de no permitir el paso a personas no autorizadas a reas restringidas. Como mecanismo de prevencin se prohbe comer, beber o fumar dentro del centro de cmputo o instalaciones con equipos tecnolgicos. Todo maletn, caja o bolso deber ser revisado por personal de seguridad en el ingreso o salida de las instalaciones.

2.4. Equipos, Puestos de Trabajo y Otros Recursos

Todo equipo informtico, sean propios o de terceros, que procesen informacin o posean alguna conectividad con los sistemas de Bancard, deben cumplir con normas de seguridad fsica que eviten el acceso a los mismos de personas no autorizadas. Los computadores, notebooks, equipos de comunicaciones, telfonos, etc. no deben moverse, reubicarse o ser sacados de las instalaciones sin autorizacin de la Gerencia de Produccin e Infraestructura. Los servidores de datos, de aplicaciones y equipos de comunicaciones estarn ubicados en lugares seguros de acuerdo a lo que definen las mejores prcticas de la industria y las normas en las cuales se basan nuestras polticas. Los documentos relacionados a direcciones IPs internas, configuraciones y cualquier otra informacin de sistemas de comunicacin y cmputo son de carcter Las salas tcnicas de distribucin de cableados, la sala de resguardo de cintas, discos, documentos relacionados a redes sern con acceso restringido y controlado. Ninguna estacin de trabajo o notebook podr ser conectada a la red sin antes ser verificadas y autorizada por la Gerencia de Produccin e Infraestructura. Las tomas de redes no utilizadas estarn desactivadas. No se proveer informacin en carteles o sealeticas sobre ubicacin de Sitios de Alta Seguridad (Data Center, Embossing, HSR, Salas Tcnicas, etc.)

Vigencia Marzo/2012

Pgina 3

Poltica General de Seguridad de Informacin

No se instalarn lneas telefnicas, canales de transmisin de datos, mdems, o cambiar configuracin de instalados sin autorizacin correspondiente de la Gerencia de Produccin e Infraestructura.

2.5. Proteccin fsica de la informacin (Datos)

Todas las personas que trabajan para BANCARD y/o aquellas designadas para trabajar en actividades dentro de sus instalaciones (consultores y contratistas) son responsables del adecuado uso de la informacin suministrada para tal fin por lo cual se debe velar por su integridad, confidencialidad, disponibilidad y auditabilidad. Toda informacin crtica secreta, confidencial y privada en cualquiera de sus formas (impresos, magnticos, electrnicos, etc.) deben estar resguardadas debe estar provista de la seguridad necesaria por quien la maneja para evitar el uso indebido por parte de personal no autorizado. Para resguardar la informacin critica de Bancard, no se habilitan dispositivos de grabacin en medios magnticos como grabadores de CDs, DVDs, tampoco se habilitan los puertos USB para dispositivos de almacenamiento masivo como Pen Drive, disco externos, cmaras fotogrficas, etc.

3. Permetro (Comunicaciones y acceso a la red interna)

Los sistemas de comunicaciones como la red interna, deben estar adecuadamente limitados y protegidas por elementos de red tales como firewalls, routers, u otra tecnologa que realice un control de acceso a las mismas. Toda informacin crtica que trafica por las redes de comunicacin de BANCARD deber estar cifrada. 3.1. Control del permetro Componentes de Red
Se debe instalar y mantener firewalls o componentes de red con funciones equivalentes para proteger a los segmentos de red con datos crticos contra accesos no autorizados desde el exterior, desde una zona desmilitariza (DMZ), o el interior de la red. Estos debern estar configurados conforme a las normas que rigen estas Polticas (PCI DSS, GVCP, MCIIEF, ISO 27001). Deben guardarse registros de auditoria de conformidad a los requerimientos de normas vigentes que rigen estas Polticas.

3.2. Conexiones con redes pblicas e Internet.

Para limitar el acceso a segmentos de datos crticos se establecern zonas desmilitarizadas (DMZ). Las conexiones a los segmentos de redes de servidores crticos, estar restringido a lo estrictamente necesario. Las redes inalmbricas se consideran no confiables por lo tanto no se permite el acceso a la red interna utilizando conexiones WiFi. No est permitido conexiones a travs de mdems (dial-up y/o USB u otro dispositivo de conexin) conectados a estaciones de trabajo y que estn simultneamente conectadas a una red de rea local o a otra red de comunicacin interna. No est permitido establecer conexiones va mdem u otra va hacia la red interna o desde ella hacia el exterior. El acceso a salas de chat y mensajera instantneas solo ser habilitado a funcionario o proveedor de servicio que justifique plenamente su utilizacin previa autorizacin de la Gerencia General. No se utilizar computadores y herramientas de comunicacin de Bancard como el correo, los boletines electrnicos, salas de chat, entre otros, para discutir o comentar temas relacionados al negocio. Todo funcionario, prestador de servicios o proveedor, deber adecuarse a las normas de seguridad definidas para compartir sus recursos informticos.

3.3. Conexiones a redes amplias y locales.

Vigencia Marzo/2012

Pgina 4

Poltica General de Seguridad de Informacin

Las redes amplias (frame relay, fibra ptica, etc.) debern estar divididas en forma lgica y contar con mecanismos de control perimetral y de control de acceso. Las redes de comunicacin local sern segmentadas, siempre que sea posible, de tal forma de mantener independencia entre las mismas.

3.4. Internet
Todos los empleados y prestadores de servicios de Bancard debern adecuarse a las leyes vigentes en el pas, sobre derechos de reproduccin, patentes, marcas registradas y todo lo relacionado con derechos de autor que se aplican en Internet. Los empleados y prestadores de servicios de Bancard no podrn participar o publicar mensajes en grupos de discusin de Internet, foros, boletines electrnicos, o cualquier otro sistema de informacin pblico, temas relacionados a la empresa sin expresa autorizacin. No est permitida la instalacin de software o archivos obtenidos de Internet. Los empleados y prestadores de Bancard deben conocer las implicancias legales que acarrea la instalacin de software no autorizado. No est permitido el uso de los equipos de Bancard para el acceso a Internet con fines personales. Se cuenta con aplicaciones que monitorean las actividades en internet como accesos a web mail, salas de chat y mensajera instantnea de los empleados y prestadores. Los empleados son informados de esta situacin por la misma aplicacin. Los empleados que accidentalmente se conecten a pginas de Internet que tengan contenidos sexuales, racistas o cualquier otro tipo de material ofensivo debern desconectarse inmediatamente por el riesgo que estas representan y debern informar a su superior, para que los sitios sean bloqueados.

3.5. Conexiones con terceros

La conexin entre sistemas internos de BANCARD y otros sistemas (de terceros) debe ser aprobada y certificada por el rea de seguridad informtica con el fin de no comprometer la seguridad de la informacin interna. Se llevarn a cabo inspecciones a los sistemas de comunicacin y de aplicaciones de terceros con el fin de verificar que informacin se est manejando con las normas de seguridad acordadas.

3.6. Aspectos Generales sobre redes internas

Toda informacin crtica que trafica por las redes de comunicacin deber estar cifrada, para lo cual se deben utilizar protocolos y criptografa solidas. Las direcciones internas, configuraciones e informacin relacionada con el diseo de los sistemas de comunicacin y cmputo de la entidad debern ser tratadas como informacin confidencial. Se deber propiciar la segmentacin las redes de comunicaciones de tal forma que los usuarios mantengan una independencia sobre las mismas. Los componentes de red deben guardar registros de auditoria de conformidad a los requerimientos indicados en el capitulo "Registro de Auditoria".

3.7. Servicios Internos Intranet

La informacin que se publique en la Intranet, debe contar con la aprobacin de la Gerencia General y del propietario de la informacin involucrada. El material que se publique en la Intranet debe ser revisado previamente para confirmar la actualidad, oportunidad e importancia de la informacin y evitar que los programas incluyan virus y/o troyanos. La informacin de Intranet debe ser nicamente utilizada por personal autorizado. Los empleados no deben redireccionar informacin que aparezca en Intranet a terceros sin autorizacin.

Vigencia Marzo/2012

Pgina 5

Poltica General de Seguridad de Informacin

Correo Electrnico

Se establecer normas para proteger la confidencialidad y privacidad de la informacin que circule a travs de servicios de correo electrnico. El correo electrnico no debe ser utilizado por terceros (clientes o proveedores) sin previa autorizacin. Los contratados que no forman parte de la nomina de empleados de Bancard, solo podrn contar con una direccin de correo del dominio @bancard, previa solicitud y justificacin del Gerente a cargo. El envo de mensajes masivos a travs del correo electrnico corporativo debe ser realizado solo con aprobacin de la Gerencia de Administracin y RR.HH. Informacin confidencial, no debe ser transmitida por correo electrnico a no ser que este en formato protegido. Se establece como informacin confidencial el PAN o nmero de la tarjeta, los cdigos de seguridad de las tarjetas, las llaves que cifran datos confidenciales, etc. Los usuarios del correo corporativo no deben utilizar cuentas de correo electrnico corporativo que pertenezcan a otros usuarios. Los usuarios del correo corporativo no deben enviar mensajes de correo electrnico con contendidos hostiles que molesten a los receptores del mismo, como comentarios sobre sexo, raza, religin o preferencias sexuales. As mismo, cuando un empleado reciba este tipo de mensajes debe comunicarlo a su jefe inmediato y al rea de RR.HH. Ningn empleado esta autorizado a monitorear mensajes de correo electrnico. Seguridad de la Informacin y/o Auditora Informtica eventualmente podran tener acceso, previa autorizacin de la Gerencia General. La empresa informar al empleado involucrado, pero no est obligada a obtener su autorizacin. El sistema de correo electrnico debe ser usado nicamente para propsitos de trabajo. BANCARD se reserva el derecho de acceder y revelar los mensajes enviados y/o recibidos en su dominio @Bancard, bajo las mismas condiciones que el punto anterior. Se debe establecer procedimientos para el manejo seguro de archivos adjuntos enviados en los mensajes Se recomienda la utilizacin de firma digital.

4. Hardware (Estaciones de trabajo y Servidores)

Los servidores y las estaciones de trabajo deben estar convenientemente protegidos considerando la configuracin de los sistemas operativos, el acceso no autorizado a los mismos, malware (virus, worns, troyanos, etc.) y actualizaciones de seguridad.
4.1.

Aspectos Generales de Instalacin

Los servidores implementarn una funcin principal nica. Todos los servicios y protocolos innecesarios e inseguros de cada servidor deber ser deshabilitad. Todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios sern eliminadas. Los parmetros de seguridad de cada servidor deben estar configurados adecuadamente de acuerdo a los manuales de polticas definidas, deben estar activos y actualizados. Todo acceso administrativo que no sea de consola local, deber estar cifrado. Se debe utilizar tecnologas como SSH, VPN o SSL/TLS o semejantes en seguridad en los casos que corresponda.

4.2.

Herramientas contra Software Malicioso (Antivirus)

Los programas de proteccin contra software malicioso (antivirus) deben estar instalados y actualizados las estaciones de trabajo y servidores. Estos programas deben estar activos, actualizados y deben generar registros de auditoria. Las actualizaciones de los antivirus deben estar al da y deben incluir el software, las definiciones (firmas) y/o otros elementos necesarios para la correcta proteccin del host.

Vigencia Marzo/2012

Pgina 6

Poltica General de Seguridad de Informacin

Los servidores de actualizaciones del antivirus deben tener activados la actualizacin automtica y la exploracin periodica. Los componentes del sistema que incluyan sistemas operativos comunmente afectados por software malicioso (virus) deben tener activados la actualizacin automtica y la exploracin periodica. El software de firewall local debe estar instalado, activado y actualizado en todas las estaciones de trabajo, en particular en los dispositivos moviles o de propiedad de los empleados con conectividad directa a internet mediante las cuales se accede a la red de Bancard.

4.3.

Parches de Seguridad

Todos los componentes del sistema y el software deben contar con los ltimos parches de seguridad proporcionado por los proveedores que sean compatibles para el buen funcionamiento del sistema. Los parches importantes de seguridad deben instalarse dentro del plazo mximo de 3 (tres) de su lanzamiento. Los visitantes, consultores o proveedores que necesiten utilizar servicios de red debern tener los ltimos parches y actualizaciones de anti virus. Los equipos que no estn adecuados a esta exigencia irn a una red de cuarentena con servicios restringidos.

4.3.1.Evaluaciones

de Seguridad - Deteccin de Vulnerabilidades

Se debe contar con un procedimiento para detectar nuevas vulnerabilidades, principalmente consultando fuentes externas a la empresa. Debern ejecutarse trimestralmente evaluaciones internas de vulnerabilidades por medio de herramientas especializadas para ayuden a mantener un estado saludable de la red, las aplicaciones y los servidores. Deber realizarse por lo menos una (1) vez al ao la revisin de vulnerabilidades de la red, servidores, aplicaciones externas y aplicaciones internas. Esta tarea deber ser ejecutada por una empresa especializada en este tipo de servicio.

4.4.

Registro de Eventos - Logs

Los componentes del sistema relacionados con los hosts, guardarn registros de auditora de acuerdo a los requerimientos indicados en el capitulo "Registro de Auditoria".

4.5.

Administracin, mantenimiento y adquisicin de hardware

La administracin, mantenimiento, modernizacin y adquisicin de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger seguridad de informacin de la institucin.

Cambios al Hardware

Los equipos computacionales o de procesamiento de datos no sern alterados sin el consentimiento, evaluacin tcnica y autorizacin de la Gerencia de Produccin e Infraestructura Tecnolgica. Los empleados deben reportar a la Gerencia de Produccin e Infraestructura Tecnolgica, sobre daos o prdidas de equipos a su cuidado y que sean propiedad de la empresa. La intervencin directa para reparar el equipo est expresamente prohibida. Se proporcionar el soporte interno o externo necesario para la solucin del problema reportado. Todos los equipos deben estar relacionados en un inventario que incluya la informacin de sus caractersticas, configuracin, ubicacin, responsable. Todo el hardware ser solamente adquirido de los canales de compra estndares y proveedores conocidos. Todos los productos de hardware deben ser registrados en inventarios ordenados por proveedor y contar con el respectivo contrato de mantenimiento. Para todos los equipos y sistemas de comunicacin utilizados en procesos de produccin, se debe aplicar un procedimiento formal de control de cambios que garantice que solo se realicen cambios autorizados.

Vigencia Marzo/2012

Pgina 7

Poltica General de Seguridad de Informacin

Control de Cambios

El procedimiento de control de cambios debe ser administrado por la Gerencia de Produccin e Infraestructura Tecnolgica y debe incluir la documentacin del proceso con las respectivas propuestas revisadas, la aprobacin de las reas correspondientes y la manera de como el cambio fue realizado. Seguridad de la Informacin, debe formar parte del proceso de control de cambio solicitado para garantizar que no afecte a la seguridad establecida en la compaa.

4.6.

Acceso lgico y fsico

Todas las conexiones con los sistemas y redes deben ser realizadas por medio de dispositivos probados y aprobados y que debe contar con mecanismos de autenticacin de usuario. Los equipos con mdems instalados como notebooks, solo podrn ser utilizados cuando no estn conectados a la red de Bancard. Los equipos de computacin que pueden ser accedidos por terceros a travs de diversos canales - como lneas conmutadas, redes de fibras pticas, frame realy, Wireless, Internet y otros. Todos los equipos estarn protegidos por mecanismos de control aprobados por la Gerencia de Seguridad de la Informacin. Todas las lneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas deben pasar a travs de un punto de control adicional (firewall, routers con ACLs, etc.) antes de que la pantalla de login aparezca en el terminal del usuario final.

4.7.

Otros Aspectos relacionados al Hardware

Todos los procesos relacionados con cifrado de datos debern estar implementados en hardware especializado (HSM Host Security Module), para minimizar amenazas de revelacin de llaves. Los equipos computacionales porttiles pertenecientes a Bancard y que contenga informacin confidencial relacionada al negocio, utilizarn software de cifrado para proteger la informacin y en viajes debern ser registrados como equipaje de mano. Todo equipo deber estar identificado mediante un cdigo o nmero grabado en l, que permita su fcil identificacin en el inventario de activos. Se realizarn controles de inventarios fsicos en forma peridica y eficiente, por lo menos una vez al ao. Todo equipo porttil debe tener la Declaracin de Responsabilidad por parte del usuario, que incluya instrucciones de manejo de informacin y acato de normas internas y de seguridad para el caso de robo o prdida.

5. Aplicaciones y Software de Base

Utilizacin
Todos los sistemas de informacin utilizados por Bancard S.A. debern contemplar los aspectos mencionados a continuacin relacionados a la seguridad implementada en los mismos. Los funcionarios deben velar por su cumplimiento.
5.1.

Control de Acceso

Todos los sistemas automatizados deben utilizar estndares para los cdigos de identificacin de usuario, nombres programas y archivos tanto en ambientes de produccin como en desarrollo, para nombres de sistemas de informacin y otras convenciones utilizadas en tecnologa. Si el sistema de control de acceso a un computador o red no est funcionando apropiadamente, debe suspenderse el acceso a todos los usuarios. Toda transaccin que afecte informacin de valor, sensible o crtica debe ser procesada nicamente cuando se valide la autenticidad del origen (usuario o sistema) y se compruebe su autorizacin mediante un mecanismo de control de acceso o perfiles. Todo programa, equipo y archivo que contenga frmulas, algoritmos u otras especificaciones que se utilicen para la generacin de claves debe estar controlado con las ms altas medidas de seguridad.

Vigencia Marzo/2012

Pgina 8

Poltica General de Seguridad de Informacin

Las contraseas estarn cifradas en todo momento y nunca sern escritas o incorporadas dentro de los programas fuentes. Todos los computadores y sistemas de comunicacin debern tener implementados controles que impidan la recuperacin de las palabras claves almacenadas. No est permitido construir o utilizar mecanismos para recolectar contraseas o cdigos de identificacin de usuarios. Tampoco mecanismos para identificar o autenticar la identidad de los usuarios sin la autorizacin de la Gerencia de Seguridad de la Informacin. Todas las contraseas emitidas inicialmente por Seguridad de la Informacin, deben ser vlidas solamente para el primer acceso del usuario, inmediatamente la aplicacin deber solicitar el cambio de la misma asegurando que solamente el propietario conozca su contrasea. Se restringir la utilizacin de usuarios genricos, y los mismos estarn debidamente justificados, autorizados y bajo custodia de un responsable. NO se permite el ingreso de usuarios annimos y se ejecutar monitoreo y control permanente de usuarios administradores, sper usuarios, usuarios de emergencia, invitados, proveedores y temporales.

5.2.

Perfiles de usuarios y sus privilegios

Los perfiles de usuario sern definidos de acuerdo a la funcin y cargo de cada funcionario de tal forma que la informacin solo sea accedida y/o modificada por los usuarios autorizados y en los horarios establecidos. Las modificaciones de privilegios y/o perfiles de usuario deben ser realizados exclusivamente por los administradores, de acuerdo a la solicitud y previa autorizacin del propietario de la aplicacin o del propietario de la informacin. Se deja evidencia de los cambios realizados a los perfiles, de cambios de estado, permisos o eliminacin de la cuenta. Privilegios especiales solo se otorga a administradores del sistema o responsables de la seguridad. Los usuarios finales no podrn tener acceso a niveles de comandos para el funcionamiento del sistema. El nivel de administrador de sistemas debe tener un control dual, de tal forma que exista una supervisin a las actividades realizadas por el administrador del sistema. Todas las herramientas de sistemas de informacin, construidas o distribuidas, que adems de cumplir con sus funciones especificas pueda ser utilizada para realizar cambios no deseados, estn restringidas al uso para el propsito determinado. El hardware y software de diagnstico y/o utilitarios slo debern ser usados por personal autorizado y su uso debe ser controlado por la Gerencia de Seguridad de la Informacin.

Controles de accesos

Los usuarios no abandonarn su computador, estacin de trabajo sin haber realizado el cierre de la sesin activa y bloquear su sesin. El acceso a los sistemas debe realizarse como mnimo por medio de un cdigo de identificacin del usuario y contrasea nicos para cada usuario. Los errores de user Id o password durante el acceso no mostrar mensajes declarando la fuente del problema, simplemente debe informar que el acceso es incorrecto. El sistema operativo deber bloquear la cuenta del usuario despus de tres intentos infructuosos y consecutivos. El bloqueo permanecer hasta que el administrador del sistema o responsable de la seguridad lo habilite de nuevo siguiendo con los procedimientos establecidos para identificacin del usuario.

Controles sobre las Cuentas de Usuarios

La aplicacin deber establecer controles sobre los perfiles de usuarios que no hayan tenido actividad durante un periodo de tiempo considerado crtico y revocar los privilegios de los mismos. Se establecen parmetros para basar este control. Seguridad Informtica monitoriza los perfiles de usuarios en estas condiciones. El sistema debe controlar el tiempo de inactividad del usuario y desactivar la sesin en forma automtica despus de que se haya cumplido el tiempo definido.

Vigencia Marzo/2012

Pgina 9

Poltica General de Seguridad de Informacin

El sistema no deber permitir que ningn usuario maneje simultneamente sesiones en diferentes terminales, pudiendo abrir hasta las sesiones permitidas en su misma terminal. Se recomienda que el sistema despliegue informacin para el usuario, de la hora y la fecha del ltimo acceso realizado por el mismo.

Polticas y Administracin de Contraseas

En todos los servidores y aplicaciones deber implementarse complejidad de contraseas. Deben establecerse polticas de contraseas que permitan a los usuarios definir contraseas fuertes. El sistema debe llevar un histrico de palabras clave, de tal forma que los usuarios no usen palabras claves utilizadas anteriormente Las contraseas nunca sern presentadas en forma legible en pantalla o impresiones. El sistema debe obligar en forma automtica a todo usuario a cambiar su contrasea segn lo definido por las polticas.

5.3.

Registro de Actividades - Logs

Los componentes del sistema relacionados con las aplicaciones, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".

5.4.

Otros Controles

Todo sistema debe contener herramientas que ayuden al administrador del sistema en la verificacin del estado de seguridad. Estas herramientas deben contener mecanismos que sirvan para detectar, informar y corregir problemas de seguridad. Todos los sistemas de informacin en produccin deben ser peridicamente revisados por el rea de seguridad de la informacin para determinar el cumplimiento de un conjunto mnimo de controles requeridos para reducir riesgos. Los servidores de sistemas en Produccin no debern contener compiladores, ensambladores, editores de fuentes u otras utilidades que puedan ser utilizadas para comprometer la seguridad del sistema. Las caractersticas especiales del sistema y que no sean necesarias en el ambiente de procesamiento, debern ser desactivadas en el momento de la instalacin del software.

5.5.

Restricciones sobre datos Crticos

Todos los sistemas de Bancard debern estar adecuados para solo permitir la visualizacin o impresin de PAN (nmero de tarjeta) en formato enmascarado. El formato definido por las normas que rigen este negocio es: Los primeros seis digitos y los ltimos cuatro digitos es la cantidad mxima de dgitos que debe mostrarse. (9999 99** **** 9999).

5.6.

Gestin Administracin, Operacin y Control del Software Institucional.

Los funcionarios de Bancard S.A. que tengan funciones y responsabilidades con los sistemas de informacin debern adecuarse a las siguientes normas para proteger estos activos y la informacin que a travs de estos se maneje.

5.7.

Administracin del Software

Bancard S.A. deber contar con un inventario actualizado del software de su propiedad, el comprado a terceros, el desarrollado internamente, el adquirido bajo licenciamiento, el entregado y/o recibido en comodato. Las licencias y los dispositivos de almacenamiento sern resguardadas en un lugar seguro bajo llave y responsabilidad de un funcionario designado por el Gerente de Produccin e Infraestructura Tcnica.

Vigencia Marzo/2012

Pgina 10

Poltica General de Seguridad de Informacin

Debern estar incluidas en un sistema de administracin y se efectuar inventarios fsicos en forma anual para garantizar la consistencia. Los ambientes de desarrollo de sistemas, pruebas y produccin debern permanecer separados para su adecuada administracin, operacin, control y seguridad. Las personas involucradas en cada ambiente deben ser diferentes. Bancard S.A. contar con procedimientos que garanticen un adecuado manejo de requerimientos de cada aplicacin, manejo de versiones y trazabilidad. Se implementarn procedimientos para la generacin de copias de respaldo, para asegurar la correspondencia entre programas fuentes y objetos y para producir, mantener y resguardar la documentacin de cada una de las aplicaciones utilizadas. La instalacin de software en los equipos de Bancard S.A. deber ser realizada por la Gerencia de Produccin e Infraestructura Tcnica con la debida autorizacin escrita del rea de Seguridad Informtica. Esta autorizacin se basar en la evaluacin de la aplicacin y la debida justificacin para ser instalada. Los programas que se encuentren en el ambiente de produccin, solamente podrn ser modificados de acuerdo con los procedimientos internos establecidos y en todos los casos se considerarn planes de contingencia y recuperacin. Todo el software adquirido y/o licenciado para Bancard S.A. y su correspondiente documentacin debern contar con la debida documentacin de origen y/o licencia de uso. Los datos de produccin no se debern utilizar en los entornos de desarrollo y pruebas.

5.8.

Adquisicin de Software

Bancard S.A. implementar un esquema de adquisicin de software de terceros que incluya un contrato con el proveedor que contemple clusulas para la proteccin de la informacin y del software adquirido, la documentacin correspondiente y los medios de respaldos necesarios. Todo software o licencia de uso de software adquirido deber ser asignado a un propietario segn las Polticas de Propiedad de la Informacin antes de ser instalado y puesto en produccin. El software adquirido debe contar con acceso controlado que permita al usuario propietario del mismo restringir su uso solo a usuarios autorizados. Cada usuario deber identificarse por medio de una nica identificacin de usuario y contrasea antes de que se le permita el acceso al sistema. El software registrar los eventos en los sistemas relacionados con la seguridad. Cuando se adquiera una licencia de uso de software, a travs de un proveedor o la contratacin de desarrollo de software a medida, se deber agregar al contrato clusulas que garanticen el riesgo de la continuidad de la prestacin de los servicios del proveedor definiendo la figura de fiel depositario de los programas fuentes. Las aplicaciones adquiridas de terceros o desarrolladas internamente, debern incluir en sus especificaciones puntos de seguridad de la informacin. Como mnimo deberan estar definidos; perfiles de usuarios, control de acceso, registros de las transacciones, registro de las actividades de usuarios (log), pistas de auditoria (journal).

5.9.

Parmetros del software para su implementacin

Con el propsito de asegurar la integridad de la informacin, la funcin de parametrizacin del software a instalar estar a cargo de un equipo interdisciplinario. Este equipo estar compuesto por representantes de los usuarios, el proveedor, Seguridad de la Informacin, Auditora y el rea propietaria de la aplicacin. El documento final de parametrizacin del software deber contar con la aprobacin por parte del equipo interdisciplinario antes de su paso al ambiente de prueba y su posterior puesta en produccin.

5.10.

Desarrollo de Software

Bancard S.A. implementar una metodologa formal para el desarrollo de software seguro y las actividades de mantenimiento que cumplirn con las polticas, normas, procedimientos, controles y otras definiciones, del el proyecto aplicables en el desarrollo de sistemas y exigibles por el negocio. Los controles implementados debern ser como mnimo los exigidos en los puntos relacionados a Adquisicin de Software. Su revisin deber estar incluida en los planes de auditoria de sistemas.

Vigencia Marzo/2012

Pgina 11

Poltica General de Seguridad de Informacin

Con el propsito de garantizar la integridad y confidencialidad de la informacin que administrar el software desarrollado, y antes del paso a la etapa de pruebas, se deber verificar si han cumplido con la metodologa establecida y presentado la documentacin tcnica respectiva. Para el desarrollo de software solamente podrn ser utilizados generadores y herramientas de los cuales se tengan certeza de su comportamiento seguro y confiable, adems que haya sido aprobado por la Gerencia de Tecnologa. Toda clave o llave de cifrado utilizada en el entorno de pruebas y desarrollo nunca sern instaladas en el ambiente de Produccin. Con esto se garantiza que los desarrolladores de software no tendrn conocimiento de las claves y llaves en produccin (criptografadores, claves de CVV, pin offset, llaves de Pin Pad, laves de ATMs, etc.). Los desarrollos y/o modificaciones hechos a sistemas de aplicacin no sern puestos en produccin sin contar con: conformidad del usuario final, el conocimiento y autorizacin del propietario de la aplicacin y la documentacin de operacin del sistema (Manual del Usuario) segn lo definido en el diseo y de acuerdo con la metodologa de desarrollo de software.

Las aplicaciones web debern ser desarrolladas en base a directrices de codificacin segura, como la Gua para proyectos de seguridad de aplicaciones web abierta OWASP (Open Web Application Security Project o Proyecto de Seguridad de Aplicaciones WEB Abiertas), en conformidad con el requerimiento 6.5 de PCI DSS. Las aplicaciones web publicas debern ser chequeadas por metodos manuales o automticos por lo menos una vez al ao o despues de cada cambio.

5.11.

Pruebas de Software

El rea de desarrollo de sistemas deber entregar el software desarrollado con cdigos fuentes al rea responsable de ejecutar las pruebas. Ser conformado un equipo de trabajo para realizar las pruebas correspondientes del funcionamiento del software desarrollado. Este equipo contar con representantes de usuarios para certificar que el desarrollo ha sido efectuado en base a sus requerimientos. Los tipos de pruebas mnimas a realizar debern ser establecidas por los usuarios de la aplicacin. Para garantizar la integridad de la informacin en produccin, estas debern ser planeadas, ejecutadas, documentadas y establecer control de sus resultados. El ambiente de pruebas ser lo ms idntico posible en configuracin, al ambiente de produccin. Contemplar aspectos funcionales, de seguridad y tcnicos. Se har una revisin a la documentacin mnima requerida y de los procesos de retorno a la versin anterior. Si hay necesidad de ingresar llaves o claves utilizadas en el ambiente de produccin, estas debern ser ingresadas y utilizadas de manera segura. Se deber contar con un cronograma para la ejecucin de las pruebas con el fin de cumplir con los compromisos institucionales acordados. Se garantiza la atencin de los requerimientos por problemas presentados durante las pruebas. Se contar con un procedimiento que permita dejar evidencia del estado de las pruebas una vez corregido el problema. Una vez se hayan realizado todos los cambios al software, detectados durante las pruebas, deber ejecutarse nuevamente una serie de pruebas integrales, que garanticen su correcto funcionamiento. El cdigo fuente ser revisado en bsqueda de cdigos mal intencionado o debilidades de seguridad, utilizando herramientas automticas, para luego ser compilado y transferido a produccin.

5.12.

Puesta en Produccin del Software

Para la puesta en produccin de algn software, indefectiblemente deber existir autorizacin del responsable de la aplicacin, la conformidad del usuario final y la autorizacin por parte de Seguridad de la informacin.

Vigencia Marzo/2012

Pgina 12

Poltica General de Seguridad de Informacin

Las caractersticas utilizadas en el entorno de pruebas y que son innecesarias en el ambiente de produccin sern identificadas y desactivadas en el momento de la instalacin del software. Antes de la puesta en produccin se deber probar los parches de seguridad asociados y los cambios de configuracin del software y del sistema Antes de implantar en produccin algn software se verificar que se haya realizado lo siguiente: Divulgacin y entrega de documentacin, Capacitacin del personal involucrado, Verificacin de estado de licencias de uso, Ajustes de parmetros, especialmente los de seguridad, antes de su instalacin en el ambiente de produccin.

Se deber contar con un cronograma de puesta en marcha en produccin con el fin de tener la posibilidad de realizar controles y ajustes necesarios para minimizar el impacto de la implantacin del mismo. Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin previa compilacin por el rea asignada para tal efecto, que no deber ser el rea de desarrollo. Los programas en el ambiente de produccin, sern modificados de acuerdo con los procedimientos de Control de Cambios establecidos.

Mantenimiento del Software

El rea de desarrollo de sistemas no har cambios al software de produccin sin la debida autorizacin y sin cumplir con los procedimientos establecidos. A su vez se cuenta con un procedimiento de control de cambios que garantice que slo se realicen las modificaciones autorizadas. La documentacin de todos los cambios hechos al software, se preparar simultneamente con el proceso de cambio. Cuando un tercero efecte ajustes a algn software deber firmar un acuerdo de confidencialidad y utilizacin no autorizada del mismo. Por cada mantenimiento a la versin del software, tambin se actualizarn las versiones de respaldo y las que estn en custodia en Bancard o en proveedores terceros. Las actualizaciones de software requeridos por la empresa debern contemplar el cumplimiento de los procedimientos de licenciamiento respectivo.

6. Datos: Clasificacin, almacenamiento y administracin de la informacin

Los funcionarios de la empresa son responsables de la informacin que manejan y debern seguir los siguientes lineamientos para protegerla y evitar prdidas, accesos no autorizados y utilizacin indebida de la misma. Bancard administra, procesa, y transmite informacin que no es de su propiedad, sino de los clientes para quienes presta servicio, por lo tanto la responsabilidad en la custodia de los datos es de vital importancia para garantizar la continuidad de los servicios y del negocio.
6.1.

Clasificacin de la Informacin

Toda la informacin contenida en los sistemas de Bancard S.A. deber ser clasificada de acuerdo a su nivel de sensibilidad. Se deber contar con una metodologa que permita clasificar la informacin y conocer su valor. Los responsables de la informacin sern los encargados de clasificar, proteger y autorizar el acceso a la informacin. Los responsables asumen el papel de tutores de la informacin, en tanto la propiedad siempre ser de las entidades miembros del sistema Bancard

Vigencia Marzo/2012

Pgina 13

Poltica General de Seguridad de Informacin

Todos los datos contenidos en los sistemas debern ser clasificados dentro de las siguientes categoras: CONFIDENCIAL: para la informacin considerada sensible y controlada, que solamente puede ser divulgada interna o externamente a persona o grupo reducido de personas debidamente autorizadas. RESTRINGIDO: para la informacin sensible que podr ser divulgada interna o externamente bajo los controles definidos, debido a que podra representar riesgo para la empresa y las marcas representadas. USO INTERNO: para la informacin de divulgacin interna segura, no recomendada para divulgacin externa. PUBLICA: para la informacin que puede ser divulgada interna y externamente sin riesgos para la empresa o las marcas representadas.

Toda informacin debe etiquetarse (marcarse) segn la categora definida y todos los datos que se divulguen por cualquier medio deben mostrar la clasificacin de sensibilidad de la informacin. Cuando se consolida informacin con varias clasificaciones de sensibilidad, los controles usados deben proteger la informacin ms sensible y se debe clasificar con el mximo nivel de restriccin que contenga la misma. En caso de ser necesario compartir informacin sensible desde estaciones de trabajo, se debe utilizar la seguridad que ofrecen los sistemas para restringir el acceso a travs de claves o usuarios especficos. La responsabilidad para definir la clasificacin de la informacin ser del dueo de la informacin en conjunto con Seguridad de la Informacin, tambin debe existir un cronograma de revisin para realizar mantenimiento a la clasificacin de sensibilidad de la informacin.

6.2.

Almacenamiento de la Informacin Almacenamiento y Respaldo de Informacin

Las bases de datos que contengan datos crticos deben estar en el segmento de red de datos crticos, segregada de la DMZ. Los datos del tarjetahabiente deben almacenarse la menor cantidad posible, lo suficiente para las necesidades de las operaciones o de los requisitos legales. Los datos confidenciales de autenticacin, luego de la autorizacin no debern almacenarse aunque estn cifrados. El PAN (nmero de tarjeta) debe hacerse ilegible en cualquier lugar en el que se encuentre almacenado, incluyendo logs de base de dato, o cualquier otro tipo de registro de auditora, adems de los medios de utilizados para back-up, Todo dato crtico debe tener un proceso de respaldo peridico, un periodo de retencin, fecha de la ltima modificacin, fecha de caducidad y fecha en que pierde su estado de crtico. Toda informacin administrada por Bancard S.A. debe tener una copia de respaldo completa y actualizada, en un sitio externo al local en que se procesan dichos datos. Todos los medios fsicos donde la informacin de valor, sensitiva y crtica es almacenada por periodos mayores de seis (6) meses, no deben estar sujetos a una rpida degradacin o deterioro por lo tanto deben mantenerse almacenados bajo condiciones ambientales de temperatura y humedad ptimas que permitan conservar la informacin. La empresa debe contar con un procedimiento para la restauracin de los backups. Estar administrado por el rea de Produccin y Monitoreo Tcnico. Los respaldos de informacin deben tener un proceso de validacin por lo menos cada 6 meses con el fin de garantizar que no han sufrido ningn deterioro y que podrn ser utilizados en el momento en que se necesite. Toda la informacin contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas legales vigentes.

Administracin de llaves criptogrficas

Vigencia Marzo/2012

Pgina 14

Poltica General de Seguridad de Informacin

Las claves criptogrficas utilizadas para el cifrado de los datos del tarjetahabiente, debern estar clasificadas como CONFIDENCIAL y ser protegidas contra divulgacin, uso indebido o sustitucin no autorizada restringiendo al mnimo el nmero de custodios necesarios y guardandola de forma segura en la menor cantidad de ubicaciones y formas posibles. Todos los procesos y los Procedimientos de Gestin de claves criptogrficas que se utilizan para el cifrado de datos del tarjetahabiente deben estar documentados, teniendo en cuenta lo siguiente: Generacin de claves criptogrficas slidas (TDES, AES-256) Distribucin segura de claves criptogrficas (en forma de componentes) Almacenamiento seguro de claves criptogrficas (en dispositivos seguros HSM) Cambios peridicos de claves criptogrficas Destruccin o reemplazo de claves criptogrficas antiguas o en sospecha de exposicin.

El proceso de creacin de claves criptogrficas y el conocimiento y control se debe segregar entre distintas personas responsables. Estos custodios de claves criptogrficas debern firmar un formulario en el que declaren que comprenden y aceptan su responsabilidad como custodios de las claves criptograficas.

6.3.

Almacenamiento y Transmisin por distintos medios

Toda informacin crtica solamente ser remitida fuera de las instalaciones Bancard S.A. en forma segura cumpliendo con los procedimientos establecidos. Todos los mensajes de correo electrnico remitidos en formato libre de texto y que contengan informacin crtica deben cumplir con los procedimientos establecidos de manera que se realice y/o almacenen en forma segura. Toda la informacin transmitida por medios como por ejemplo el fax, e-mails, chats, etc. debern seguir procedimientos establecidos para asegurar la confidencialidad e integridad de la informacin. No deben enviarse datos crticos por medio de tecnologas de mensajera de usuario final (por ejemplo, el correo electrnico, la mensajera instantnea o el chat) si no estn cifrados, en particular los siguientes: el PAN (nmero de tarjeta), el nombre del titular de la tarjeta, el Cdigo de Servicio, la Fecha de Vencimiento, los Datos completos de la banda magntica (Track), los cdigos de seguridad CAV2/CVC2/CVV2/CID, el PIN, Toda informacin crtica que aparece en recibos generados por computador, POS, ATM y entregados a los clientes (voucher) deben ser truncados o enmascarados siguiendo lo que recomienda la norma de presenta solo los primeros 6 dgitos y los ltimos cuatro.

6.4.

Eliminancin de Datos

La eliminacin de la informacin debe seguir procedimientos seguros y debidamente aprobados por la Gerencia de Seguridad Informtica. 6.5.

Administracin de la Informacin

Cualquier tipo de informacin interna no puede ser vendida, transferida o intercambiada con terceros para ningn propsito diferente al del negocio. En caso de que la informacin sea requerida por auditores internos o externos, la entrega de dicha documentacin deber ser autorizada por el propietario de la informacin solicitada. Son derecho de propiedad intelectual exclusiva de Bancard S.A. todos los productos desarrollados o modificados por empleados o personas contratadas por la empresa. Los datos y programas deben ser modificados nicamente por personal autorizado de acuerdo con los procedimientos establecidos en la metodologa de desarrollo de software. Tambin el acceso a depsitos de informacin (almacenamiento fsico o medio magntico) debe restringirse nicamente a personal autorizado. Cuando la informacin crtica no est siendo utilizada se la debe guardar en sitios destinados para el efecto, los cuales deben contar con las debidas medidas de seguridad que garanticen su confidencialidad

Vigencia Marzo/2012

Pgina 15

Poltica General de Seguridad de Informacin

e integridad. En cualquier momento, el propietario de la informacin con la participacin del responsable de la seguridad de la Informacin puede reclasificar el nivel de sensibilidad inicialmente aplicado a la informacin. El acceso a la informacin crtica se debe otorgar nicamente a personas especficas y debidamente autorizadas segn procedimientos establecidos. Toda divulgacin de informacin CONFIDENCIAL o RESTRINGIDO a terceras personas debe estar acompaada por un contrato de confidencialidad que describa explcitamente qu informacin es restringida y cmo puede ser usada. Toda la informacin debe contemplar las caractersticas de Integridad, Confidencialidad, Disponibilidad, Trazabilidad, Efectividad, Eficiencia, Cumplimiento. Todo software que comprometa la seguridad de los sistemas se custodiar y administrar nicamente por personal autorizado. Adicionalmente, se dejar registro de auditoria de su utilizacin. La realizacin de copias adicionales de informacin sensible debe cumplir con los procedimientos de seguridad establecidos para tal fin y contar con la autorizacin del propietario de los datos a ser duplicados. La informacin resguardada por Bancard S.A. no puede ser divulgada sin contar con los permisos de las gerencias propietarias responsables de cada sistema, adems ningn empleado, prestador de servicio o consultor contratado esta autorizado a llevar consigo informacin alguna cuando se retire de la empresa. Todos los medios de almacenamiento utilizados en el proceso de construccin, asignacin, distribucin o encriptacin de claves o PIN se deben someter a un proceso de destruccin inmediatamente despus de ser usados. Toda la informacin histrica almacenada debe contar con los medios, procesos y programas capaces de manipularla con seguridad, esto teniendo en cuenta la reestructuracin que sufren las aplicaciones y los datos a travs del tiempo. Las claves y criptogramas para generacin y validacin de PIN, deben ser manejados bajo la norma del control dual no compartido, es decir, debe intervenir ms de una persona en el proceso de generacin de las mismas. Cuando las palabras claves o nmeros de identificacin personal (PIN) sean generados por el sistema, deben ser impresos inmediatamente y nunca ser almacenados en los sistemas.

6.6.

Validaciones, controles y manejo de errores

Para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad, todos los procedimientos de ingreso de informacin deben contener controles de validacin. Se debe contar con procedimientos de control y validaciones para transacciones rechazadas o pendientes de procesar, adems de los tiempos determinados para dar la solucin y tomar las medidas correctivas. Todas las transacciones que ingresen a un sistema de produccin computarizado, deben ser sujetos a un chequeo razonable, chequeos de edicin y/o validaciones de control. Todos los errores cometidos por los empleados y que son detectados por los clientes deben cumplir con un proceso de investigacin de acuerdo con los procedimientos y tiempos establecidos. Se utilizar cifras de control, as como definir procedimientos para el cuadre de estas cifras de control, que garanticen la integridad de la informacin procesada. Los controles establecidos en los procesos y las vulnerabilidades de seguridad detectados en los procesos y recursos informticos, no pueden ser dados a conocer a terceros por parte de los empleados.

6.7.

Logs

Los componentes del sistema relacionados con los datos, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".

Vigencia Marzo/2012

Pgina 16

Poltica General de Seguridad de Informacin

7. Personas
Los funcionarios con relacin a la seguridad de la informacin. La responsabilidad de la seguridad de la informacin es una obligacin de cada funcionario de Bancard S.A.
7.1.

Perfil de Usuario, Identificacin y Contrasea de acceso

La identificacin del usuario (Id. usuario) debe ser nico para cada usuario habilitado en los sistemas de Bancard S.A. La identificacin, el perfil y la contrasea de acceso del usuario sern de uso personal e intransferible. Los mecanismos de acceso para el uso de los recursos informticos otorgados a los usuarios, ser exclusiva responsabilidad de cada uno y cuando sean ingresados en los sistemas debern ser protegidos contra su divulgacin a terceros. El rea de Seguridad Informtica implementar los medios necesarios para salvaguardar la integridad de la identificacin, perfil y contrasea de acceso del usuario. Las contraseas se transmitirn o se almacenaran en forma ilegible mediante una slida criptografa. Los usuarios sern responsables de todas las actividades llevadas a cabo con su identificacin, perfil y contrasea de acceso.

7.2.

Uso Apropiado de la Informacin

Los funcionarios no deben proporcionar de forma externa o interna informacin procesada por Bancard sin autorizacin de la gerencia de rea respectiva o de la Gerencia General. Los funcionarios podrn consultar, modificar, destruir, copiar o distribuir archivos o informacin solamente con la debida autorizacin del Usuario Propietario de la Informacin. (Ver Poltica de Propiedad de la informacin) La Instalacin de software ser controlada y administrada por la Gerencia de Produccin e Infraestructura Tcnica con autorizacin expresa y escrita del rea de Seguridad de la Informacin. Los usuarios no debern instalar software de aplicacin para obtener informacin en forma no autorizada. Los usuarios finales no tendrn nivel Administrador en sus equipos personales. Los usuarios no debern acceder en forma no autorizada a los sistemas de aplicacin, examinar equipos servidores de procesamiento, estaciones de trabajo individuales y redes informticas con el propsito de obtener informacin confidencial o datos no relacionados con su actividad laboral. La informacin administrada por Bancard S.A. es de carcter confidencial y no ser incluida en listas de correo electrnico. Los usuarios deben actuar con la debida diligencia para salvaguardar en todo momento la confidencialidad de la informacin. Los usuarios tienen la responsabilidad de controlar la integridad, confidencialidad, disponibilidad y trazabilidad de la informacin que utilicen, especialmente si la informacin est clasificada como crtica. Los usuarios deben informar inmediatamente al rea de Seguridad de la Informacin o al gerente de su rea, la ocurrencia de intentos de acceso indebido al sistema, aparicin de virus informtico, ejecucin de programas desconocidos y errores del sistema que otorguen facilidades de acceso no previstas en la definicin de su perfil de usuario.

7.3.

Otras Consideraciones

Los usuarios utilizarn exclusivamente los recursos de tecnologa provistos por Bancard para actividades propias de la empresa y relacionadas al negocio. Todos los nuevos funcionarios de Bancard S.A. debern firmar el documento COMPROMISO DE CUMPLIMIENTO DE MEJORES PRCTICAS DE SEGURIDAD DE LA INFORMACIN entregado por el rea de Seguridad de la Informacin en el momento de su incorporacin. Los usuarios de sistemas de informacin de Bancard S.A. debern cumplir con las recomendaciones de estas Polticas y las recomendaciones mencionadas en el documento resumen Pautas a Seguir para la Seguridad de la Informacin, a ser distribuido durante el programa de induccin al nuevo funcionario.

Vigencia Marzo/2012

Pgina 17

Poltica General de Seguridad de Informacin

8. Registro de Auditoria (logs)

Los mecanismos de registros de auditoria y su capacidad para rastrear las actividades de los usuarios crticos. Los logs pueden ser utilizados por la organizacin en todos los casos que se consideren necesarios (investigaciones internas, investigaciones externas, consultas de entes externos y de entes de control). Estos sern considerados como evidencia digital suficiente de la utilizacin de los aplicativos, sistemas operacionales y comunicaciones.
8.1.

Administracin de Logs

Se debe establecer un proceso para vincular todos los accesos a componentes del sistema a cada usuario en particular. Estas medidas se tomarn con el requisito especifico de rastrear y monitorizar todos los accesos a los recursos del sistema que luego podrn ser utilizados para determinar y/o reconstruir los eventos ocurridos en los componentes del sistema. Todos los archivos de logs de los diferentes sistemas deben retenerse por periodos definidos segn su criticidad y la exigida de ley en forma obligatoria. Adems, deben ser custodiados en forma segura para que no puedan ser modificados y para que puedan ser ledos nicamente por personas autorizadas; los usuarios que no estn autorizados deben solicitarlos al rea encargada de su administracin y custodia. Todos los accesos a datos crticos, asi como a los elementos de sistemas deben quedar registrados en los registros de auditoria. Estos registros deben contener informacin suficiente para que por si mismo o en conjuncin con otros recursos puedan identificar las actividades realizadas y vincularlos con cada usuario en particular. Debe incluir como mnimo la siguiente informacin: Identificacin del cdigo del usuario Identificacin de la terminal Fecha/hora de la entrada y de la salida de cada sesin del sistema Aplicaciones invocadas Cambios de informacin en los archivos de las aplicaciones crticas Adiciones y/o cambios a los privilegios de los usuarios Controles del sistema modificados Fecha/hora de iniciacin y terminacin de ingreso al sistema de informacin Intentos de accesos no autorizados Intentos de uso de privilegios de comandos no autorizados Uso de comandos privilegiados y de software utilitario del sistema

Todos los logs habilitados en el sistema deben tener definido un usuario para su administracin y control, quien adems deber encargarse de realizar seguimientos y revisiones peridicas a los mismos. Los logs deben tener mecanismos de seguridad y control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos en aspectos de seguridad de informacin. Estos ataques incluyen intentos de desactivar, modificar, intentar o detectar las claves de acceso al software y/o a los mismos logs. Los registros de auditoria automticos implementados deben permitir reconstruir los siguientes eventos como mnimo: Todos los accesos de personas a los datos crticos Todas las acciones realizadas por cuentas de usuario con privilegios de administrador, root, super usuario, etc. El acceso a todas las pistas de auditoria Intentos de acceso logico no validos Uso de mecanismos de identificacin y autenticacin. Inicializacin de los registros de auditoria Creacin y eliminacin de objetos a nivel del sistema Intentos de desactivar, modificar, interceptar o probar las claves de acceso Cada vez que se hacen copias adicionales de informacin sensible definida en la Poltica de clasificacin de la informacin, deber quedar registro en un log.

Para cada evento debe registrarse los siguientes datos: identificacin del usuario, tipo de evento, fecha y hora, estado de exito o falla, origen del evento, identidad o nombre de los datos, componentes del sistema

Vigencia Marzo/2012

Pgina 18

Poltica General de Seguridad de Informacin

o recursos comprometidos. Tanto los relojes como los horarios del sistema que sean crticos deben estar sincronizados a los efectos de tener la misma fecha y hora para que el registro en el log sea confiable. Los registros de auditoria deben resguardarse de modo a a que no puedan modificarse. Los registros de auditoria de todos los componentes del sistema deben revisarse por lo menos una vez al da, tanto de los componentes del sistema operacionales como los de seguridad, las herramientas especializadas de recoleccin, anlisis y alerta automtica de registros pueden ser utilizadas para este efecto. Los registros de auditora debern ser conservados por lo menos durante un ao, con un mnimo de tres meses inmediateamente disponibles para el anlisis.

Vigencia Marzo/2012

Pgina 19