Está en la página 1de 36

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

TITULO VII REQUISITOS MNIMOS DE SEGURIDAD TABLA DE CONTENIDO Captulo I: Reglamento para Remesas al Banco Central de Bolivia

Captulo II:

Reglamento para Requisitos Mnimos de Seguridad Informtica para la Administracin de Sistemas de Informacin y Tecnologas Relacionadas Marco general Requisitos mnimos de seguridad informtica Contrato con proveedores de tecnologas de la informacin Transferencias y transacciones electrnicas Disposiciones transitorias Reglamento para la Gestin de Seguridad Fsica Aspectos generales Gestin de Seguridad Fsica Medidas generales de Seguridad Fsica Medidas especficas de Seguridad Fsica Otras disposiciones Disposiciones transitorias

Seccin 1: Seccin 2: Seccin 3: Seccin 4: Seccin 5: Captulo III: Seccin 1: Seccin 2: Seccin 3: Seccin 4: Seccin 5: Seccin 6:

Ttulo VII * 1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

CAPTULO I:

REGLAMENTO PARA REMESAS AL BANCO CENTRAL DE BOLIVIA

Artculo 1 - (Seguridad en el envo de remesas al BCB) Con la finalidad de precautelar la seguridad en el envo de remesas de billetes y monedas metlicas en moneda nacional al Banco Central de Bolivia (BCB), por parte de los bancos locales, as como el control y recuento de este material, se instruye lo siguiente: a) El envo de los depsitos o remesas al BCB debe efectuarse en maletas de seguridad, cuales debern ser abiertas en la sala de recuento en presencia del personal del banco depositante; Para efectos de un adecuado y gil registro de las remesas enviadas por los bancos, el dinero declarado para depsito solamente deber ser verificado por lome y revisados los marbetes de cada uno de los paquetes, es decir sin recontar el material de billetes en detalle; Los paquetes deben estar fuertemente amarrados contando con diez lomos de cien (100) piezas cada uno, totalizando mil (1.000) piezas en cada paquete. Asimismo los paquetes deben estar debidamente clasificados por cortes planchados, revisados y recontados, con marbetes impresos donde se leer claramente el nombre del banco, nombre completo y sello del cajero, fecha y firma de ste. Los depsitos en monedas metlicas no podrn ser inferiores a mil (1.000) piezas, y debern estar clasificadas y en paquetes por cortes con la identificacin antes descrita. d) Una vez concluida la revisin del depsito en presencia de las partes que intervienen, se proceder al cierre de la maleta de seguridad, la misma que deber contar con dos (2) candados o chapas, por lo menos, las llaves quedarn en poder del banco depositante. Los depositantes contabilizarn el importe correspondiente al da de la entrega, al igual que el BCB. En la papeleta de depsito, debern estampar un sello con el siguiente texto: "DEPSITO SUJETO A RECUENTO". Los depsitos que sean iguales o inferiores a dos mil (2.000) piezas deben ser efectuados en las cajas que habilite Tesorera del BCB. El recuento debe realizarse inmediatamente a la vista del depositante, y en caso de que dicho depsito no haya sido recontado, cualquier falla registrada posteriormente ser de entera responsabilidad del cajero recibidor. El BCB y/o la Autoridad de Supervisin del Sistema Financiero podrn en cualquier momento hacer recuentos en detalle de los depsitos realizados por los bancos, aclarando que cualquier diferencia detectada ser de entera responsabilidad del banco depositante, hacindose pasible a sanciones dispuestas en reglamentacin complementaria. El recuento deber efectuarse en una sala independiente por banco depositante y cada sala tendr como mximo cinco (5) recontadores del BCB y cinco (5) veedores del banco depositante. El BCB a travs de su seccin Tesorera, reportar semanalmente a la Autoridad de Supervisin del Sistema Financiero los faltantes y sobrantes o cualquier otra anormalidad que existiera en los depsitos con los siguientes datos:
Inicial Libro 3 Ttulo VII Captulo I Pgina 1/2

b)

c)

e)

f)

g)

h)

Circular SB/288/99 (04/99)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

1) 2) 3) 4) 5) 6) 7)

Banco depositante Nombre y apellido del cajero cuyo sello figura en el marbete Nombre y apellido de la persona que llevar la remesa al BCB Nombre y apellido del cajero recibidor del BCB Nombres de los veedores y controladores del banco depositante Detalle de la anormalidad Monto por moneda

Artculo 2 - (Retiros parciales). Los bancos podrn hacer retiros parciales de sus depsitos slo en cantidades de mil (1000) piezas, con la participacin del personal de Tesorera del BCB, para la verificacin del dinero retirado. Artculo 3 - (Horario de atencin de bveda del BCB). El horario de atencin de la bveda y de las cajas recibidoras habilitadas por el BCB, ser el mismo horario de atencin al pblico del sistema bancario comercial.

Circular SB/288/99 (04/99)

Inicial

Libro 3 Ttulo VII Captulo I Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

CAPTULO II:

REQUISITOS MNIMOS DE SEGURIDAD INFORMTICA PARA LA ADMINISTRACIN DE SISTEMAS DE INFORMACIN Y TECNOLOGAS RELACIONADAS SECCIN 1: MARCO GENERAL

Artculo 1 - (Aspectos generales). El crecimiento vertiginoso en los ltimos aos en Tecnologas de la Informacin y Telecomunicaciones, est cambiando la forma de hacer negocios en un mundo cada vez ms globalizado y virtual. Por tanto, las leyes, normativas, las polticas de estado, la regulacin prudencial y las estrategias de las Entidades Financieras y de las compaias, deben adecuarse a estos tiempos modernos, donde la llamada Economa Digital (e-Business, e-Commerce, e-Government) crece en cifras exponenciales y nos trae a un tema de educacin, cultura, resistencia al cambio que hay que administrar, para estar insertos en forma eficiente, confiable y segura en este mercado virtual. En consecuencia con lo anterior, las Entidades Financieras y las empresas que prestan servicios auxiliares financieros, estn viviendo este cambio y deben tomar acciones rpidas y eficientes para enfrentar, analizar, administrar y controlar los riesgos tecnolgicos relacionados con las transferencias de informacin y transacciones de fondos realizadas por medios electrnicos, para lo cual las polticas, normas y procedimientos de seguridad informtica y planes de contingencias tecnolgicos deben brindar un ambiente seguro y adecuado que garantice la continuidad operativa del negocio y su permanencia en el tiempo. Artculo 2 - (Objeto). El presente captulo tiene por objeto establecer los requisitos mnimos que las Entidades Financieras y las empresas de servicios auxiliares financieros supervisadas por la Autoridad de Supervisin del Sistema Financiero (ASFI) deben cumplir para administrar los sistemas de informacin y la tecnologa que los soporta, y que son utilizados en las operaciones de intermediacin financiera, transferencia electrnica de datos, transacciones electrnicas de fondos, banca electrnica y cajeros automticos con el propsito de minimizar el riesgo tecnolgico, siendo estos requisitos mnimos de carcter enunciativo y no limitativo. Artculo 3 - (mbito de aplicacin). Se encuentran sujetos al mbito de aplicacin de la presente regulacin prudencial, todas las Entidades que realizan intermediacin financiera y de servicios auxiliares financieros al amparo de lo dispuesto por la Ley N 1488 de 14 de abril de 1993, y modificada por la Ley N 2297 de 20 de diciembre de 2001, cuyo funcionamiento est autorizado por ASFI, y que realicen cualquier transferencia de informacin o transaccin de fondos por medios electrnicos. Artculo 4 - (Definiciones). Para efectos de la presente regulacin prudencial, se deben usar las siguientes definiciones, siendo las mismas de carcter enunciativo y no limitativo: a) Usuario: Una persona, que utiliza uno o ms sistemas informticos, para lo cual debe estar identificado, autenticado y autorizado, previo a ser validado como usuario ya sea funcionario de la Entidad (Interno) o cliente (Externo).
Inicial Libro 3 Ttulo VII Captulo II Seccin 1 Pgina 1/3

Circular SB/436/03 (07/03)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

b)

Medios de acceso a la informacin: Son servidores de aplicacin, computadores personales o de datos, terminales tipo cajero automtico, las redes de comunicacin, Internet, acceso telefnico o equipos inalmbricos. Password: Se denomina "password", clave de acceso o PIN, al conjunto de caracteres que una persona debe registrar para ser "reconocida" como usuario autorizado, y acceder a los recursos de un equipo computacional o red. Electrnico: Caracterstica de la tecnologa que tiene capacidades elctricas, digitales, magnticas, inalmbricas, pticas, electromagnticas u otras similares. Documento electrnico: Toda representacin de un hecho, imagen o idea, que sea creada, enviada, comunicada o recibida por medios electrnicos y almacenada de un modo idneo para permitir su uso posterior. Firma electrnica o Firma digital: Cualquier sonido, smbolo o proceso electrnico, que permite al receptor de un medio electrnico identificar formalmente a su autor. Transferencia electrnica de informacin: Es la forma de enviar, recibir o transferir en forma electrnica, datos, informacin, archivos, mensajes, entre otros. Transaccin electrnica de fondos: Se entiende por todas aquellas operaciones realizadas por medios electrnicos que originen cargos o abonos de dinero en cuentas, tales como: traspasos automatizados de fondos efectuados por un cliente de una cuenta corriente a otra; rdenes de pago para abonar cuentas de terceros (proveedores, accionistas, etc.); utilizacin de tarjetas de dbito en puntos de venta; recaudaciones mediante cargos a cuentas corrientes (servicios, impuestos, etc.); giros de dinero mediante Internet, cajeros automticos, entre otros. En general, comprenden las descritas y cualquier otra operacin que se efecte por aquellos medios, en que un usuario habilitado para ello instruye o ejecuta movimientos de dinero en una o ms cuentas. Banca electrnica o e-Banking: Se refiere a las actividades de Intermediacin Financiera realizadas por las Entidades Financieras autorizadas, que usan como medio de comunicacin con sus clientes, las telecomunicaciones e Internet. Plan de contingencias tecnolgicas: Conjunto de procedimientos alternativos, que debern entrar en funcionamiento al ocurrir una contingencia tal, que no permita a los servidores, procesos crticos y enlaces de comunicaciones, dar los servicios en forma normal y continua. Plan informtico o de tecnologas de informacin y comunicaciones: Se refiere a la formalizacin de un plan anual, que incluye todos los proyectos tecnolgicos, con sus respectivos recursos de hardware, software, telecomunicaciones y humanos, junto al presupuesto de inversiones y de gastos para la gestin integral. Sitio de respaldo o Site de respaldo: Es un lugar alternativo donde se instalan los equipos computacionales, tales como servidores, equipos de comunicaciones, impresoras, estaciones de trabajo, telfonos, y espacio fsico para usuarios crticos, etc., que se utilizarn en caso de una contingencia grave. Este sitio secundario o alternativo, contar con sus propios enlaces de comunicaciones, fuentes de energa, accesos seguros
Inicial Libro 3 Ttulo VII Captulo II Seccin 1 Pgina 2/3

c)

d) e)

f) g) h)

i)

j)

k)

l)

Circular SB/436/03 (07/03)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

y ubicacin geogrfica distinta al sitio primario. m) Servidor o computador de respaldo: Un equipo con las mismas caractersticas tcnicas que la mquina de produccin normal que se usar en caso de falla de la mquina titular. Deber permanecer actualizada en cuanto a sistema operativo y software de aplicacin. n) Respaldo para contingencias: Es un archivo magntico (Cinta, Disco o CD) que contiene los archivos necesarios y suficientes, para recuperar un servidor, el mismo normalmente contiene el sistema operativo, motor y administrador de base de datos, compiladores, programas fuentes y objetos, cuentas de usuarios y archivos con datos crticos. Respaldo Back-up: Copia de datos e informacin almacenada en un medio magntico (Disco, CD, o cinta), se genera en forma rutinaria; con el propsito de utilizar dicha informacin o datos, en casos de emergencia o contingencia. Registro de pistas de auditora: Registro de datos lgicos de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener informacin histrica para fines de control, supervisin y auditora. Encriptacin: Proceso mediante el cual la informacin o archivos es alterada, en forma lgica, con el objetivo de evitar que alguien no autorizado pueda interpretarla al verla o copiarla, para ello se utiliza una clave en el origen y en el destino. Procesos crticos: Referidos a procesos o sistemas que al dejar de funcionar, afectan la continuidad operativa del negocio. Internet: Red de redes de alcance mundial que opera bajo ciertos estndares y protocolos internacionales. Intranet: Similar al Internet, con la diferencia que los participantes se circunscriben a los lmites de una red interna. Pgina Web o Sitio Web: Forma de presentar la informacin, cuando se est utilizando los sistemas de Internet o Intranet. Sitio Wap: Es un sitio en Internet accesado por equipos inalmbricos.

o)

p)

q)

r) s) t) u) v)

w) Hospedaje o Hosting: Empresa que da el servicio de tener en un servidor el sitio WEB del cliente, con elementos de seguridad fsica y lgica.

Circular SB/436/03 (07/03)

Inicial

Libro 3 Ttulo VII Captulo II Seccin 1 Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 2:

REQUISITOS MNIMOS DE SEGURIDAD INFORMTICA

Artculo 1 - (Responsable de la seguridad informtica). El Directorio u rgano equivalente, debe aprobar para uso obligatorio de la Entidad Financiera y de prestacin de servicios auxiliares financieros, la Estrategia, Polticas y Normas de Seguridad Informtica, considerando como mnimo las disposiciones establecidas en el presente captulo. Es responsabilidad del Directorio u rgano equivalente, Gerencia General, y dems administradores responsables, tener formalizados por escrito, actualizados e implementados las polticas, normas y procedimientos, a ser aplicados en la administracin y control de los sistemas de informacin y su tecnologa que la soporta. La estrategia, las polticas, normas y procedimientos podrn ser solicitadas para su revisin, cuando ASFI as lo requiera. Artculo 2 - (Caractersticas y criterios de la informacin). Los datos que administren las Entidades Financieras y las empresas de servicios auxiliares financieros deben contener un alto grado de seguridad para cumplir con los objetivos de control y criterios bsicos de informacin definidas por ASFI. Los criterios bsicos se describen a continuacin: a) Confiabilidad: Proveer informacin apropiada y confiable para el uso de las Entidades Financieras y empresas de servicios auxiliares financieros tanto interna como externamente. Confidencialidad: Proteccin de informacin sensible para que no se divulgue sin autorizacin. Integridad: Se refiere a la exactitud y suficiencia de la informacin, as como su validez de acuerdo con los valores y expectativas de la actividad de la Entidad Financiera. Disponibilidad: Oportunidad de la informacin, cuando sea requerida. Efectividad: Adecuada informacin para desarrollar las actividades de las Entidades Financieras y empresas de servicios auxiliares financieros. Eficiencia: Proveer informacin suficiente a travs del uso de los recursos de la mejor manera posible. Cumplimiento: Debida atencin a las leyes, regulaciones y acuerdos contractuales que la Entidad Financiera y empresas de servicios auxiliares financieros deben realizar.

b) c)

d) e) f) g)

Artculo 3 - (Polticas, normas y procedimientos). El rea de Tecnologas de la Informacin de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, para asegurar la continuidad operativa de esta, debe tener formalizado por escrito, implementadas y actualizadas, las polticas, normas y procedimientos de seguridad informtica para las reas fundamentales de la funcin informtica, a saber: a) b) c) Gestin: Direccin, planificacin, control y supervisin Operacin: Procesos y tareas propias del rea informtica Administracin de usuarios
Inicial Modificacin 1 Libro 3 Ttulo VII Captulo II Seccin 2 Pgina 1/3

Circular SB/436/03 (07/03) SB/443/03 (08/03)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

a)

Gestin: La gestin o administracin directiva, debe contener a lo menos, las polticas, normas y procedimientos respecto a: 1) 2) 3) 4) 5) Plan informtico Comit de informtica Comit operativo del rea Desarrollo y mantenimiento de sistemas Administracin de contratos externos

b)

Operaciones: El rea de operaciones deber contener a lo menos, las polticas, normas y procedimientos de: 1) 2) 3) 4) 5) 6) 7) 8) 9) Seguridad fsica de sala de servidores y el entorno que la rodea Respaldos y recuperacin de informacin Registro de cadas de los sistemas o no disponibilidad de servicios que afecten la atencin normal al pblico Administracin de cintoteca interna y externa Control y polticas de administracin de antivirus Administracin de licencias de software y programas Traspaso de aplicaciones al ambiente de explotacin Inventario de hardware y software Seguridad de redes i) Caractersticas, topologa y diagrama de la red ii) Seguridad fsica de sites de comunicaciones iii) Seguridad y respaldo de enlaces iv) Equipos de seguridad y telecomunicaciones v) Seguridad de acceso Internet/Intranet

c)

Administracin de Usuarios: El rea de administracin de usuarios deber contener a lo menos, las polticas, normas y procedimientos para: 1) 2) 3) 4) 5) 6) Administracin de privilegios de acceso a sistemas Administracin y rotacin de password Asignacin y responsabilidad de hardware y software Administracin de estacin de trabajo PC Uso de comunicaciones electrnicas Administracin y control de usuarios Intranet/Internet

Circular SB/436/03 (07/03) SB/443/03 (08/03)

Inicial Modificacin 1

Libro 3 Ttulo VII Captulo II Seccin 2 Pgina 2/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

Artculo 4 - (Plan de contingencias tecnolgicas). Las Entidades Financieras y las Empresas de Servicios Auxiliares Financieros deben tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u rgano Equivalente, un Plan de Contingencias Tecnolgicas. El plan debe incluir al menos: a) b) c) d) e) f) g) Objetivo del plan de contingencias tecnolgicas Metodologa del plan de contingencias tecnolgicas Procedimientos de recuperacin de operaciones crticas Descripcin de responsabilidades e identificacin de personal clave Medidas de prevencin Recursos mnimos necesarios para la recuperacin Convenios realizados para la recuperacin

Artculo 5 - (Pruebas del plan de contingencias tecnolgicas). Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros, deben efectuar al menos 1 prueba al ao del Plan de Contingencias Tecnolgicas, debiendo ser el resultado de esta exitoso en toda su dimensin, caso contrario la Entidad de Intermediacin Financiera o Empresa de Servicios Auxiliares Financieros debe realizar las pruebas que sean necesarias hasta cumplir con los objetivos del plan de contingencia. Esta prueba se realizar de acuerdo al cronograma que la Entidad Financiera presente a ASFI una vez que el Plan est implementado formalmente. En estas pruebas debe participar el auditor interno. El resultado de stas deben estar disponible para las inspecciones efectuadas por ASFI. De acuerdo al grado de complejidad en las operaciones y uso de las Tecnologas de Informacin en cada Entidad Financiera o empresa de servicios auxiliares financieros, ASFI requerir un cumplimiento, desarrollo y especificacin mayor en cada uno de los puntos descritos en esta Seccin1.

Modificacin 1 Circular SB/436/03 (07/03) SB/443/03 (08/03) Inicial Modificacin 1 Libro 3 Ttulo VII Captulo II Seccin 2 Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 3:

CONTRATO CON PROVEEDORES DE TECNOLOGAS DE LA INFORMACIN

Todos los contratos con proveedores externos son importantes, deben encontrarse formalizados de manera que permitan a las Entidades Financieras y Empresas de Servicios Auxiliares Financieros operar en todas sus reas de negocio, as como en procesos del tipo Banca Electrnica Internet (hospedaje del sitio WEB o WAP) y otros como mantenimiento de equipos, soporte de sistemas operativos, externalizacin de especialistas informticos, aseo y limpieza. Artculo 1 - (Contratacin de proveedores externos de tecnologas). Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros al contratar los servicios de proveedores externos de tecnologas de1: a) Procesamiento de datos o ejecucin de sistemas en lugar externo. Para la contratacin de empresas encargadas del procesamiento de datos o ejecucin de sistemas en lugar externo, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1) Que es deber del Directorio u rgano Equivalente, Gerencia General, y dems administradores responsables de la Entidad de Intermediacin Financiera o Empresa de Servicios Auxiliares Financieros solicitante, asegurarse que la empresa proveedora cuente con la necesaria experiencia y capacidad en el procesamiento de datos y servicios bancarios que respondan a las caractersticas del servicio que se desea contratar. Que la infraestructura tecnolgica y los sistemas que se utilizarn para la comunicacin, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la informacin y los datos. Asimismo, verificar que las condiciones garantizan la obtencin oportuna de cualquier dato o informacin que necesite, sea para sus propios fines o para cumplir con los requerimientos de las autoridades competentes, como es el caso de la informacin que en cualquier momento puede solicitarle la ASFI. Que es responsabilidad del Directorio u rgano Equivalente y el Gerente General de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, la suscripcin del contrato con la empresa proveedora, el que entre otras cosas deber especificar: i) La naturaleza y especificaciones del servicio de procesamiento contratado. ii) La responsabilidad que asume la empresa proveedora, para mantener polticas, normas y procedimientos que garanticen la seguridad informtica, el secreto bancario y la confidencialidad de la informacin, en conformidad con la legislacin boliviana, asimismo, para prever prdidas atrasos o deterioros de la misma. iii) La responsabilidad que asume la empresa proveedora de tecnologas en caso de ser vulnerados sus sistemas, por atentados computacionales internos o externos.
1

2)

3)

Modificacin 2 Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04) Inicial Modificacin 1 Modificacin 2 Libro 3 Ttulo VII Captulo II Seccin 3 Pgina 1/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

iv) La facultad de la Entidad Financiera o de la empresa de servicios auxiliares financieros, para practicar evaluaciones peridicas en la empresa proveedora del servicio, directamente o mediante auditorias independientes. b) Desarrollo y mantenimiento de programas, sistemas o aplicaciones. Para la contratacin de empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1) Que es deber de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, asegurarse que la empresa contratada cuente con la necesaria solidez financiera, organizacin y personal adecuado, con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios de intermediacin financiera, asimismo de que sus sistemas de control interno y procedimientos de seguridad informtica, responden a las caractersticas del servicio que se desea contratar. Que la infraestructura tecnolgica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarn estn debidamente licenciados por el fabricante o representante de software.

2)

Artculo 2 - (Relacin contractual con el proveedor externo de tecnologas). El contrato con el proveedor externo de tecnologas deber contener como mnimo las siguientes clusulas: a) b) c) Programas fuente.- Al trmino del proyecto, el cliente debe asegurarse el acceso oportuno a los programas fuentes. Propiedad intelectual.- Se debe aclarar a quien pertenecer la propiedad intelectual en el caso de desarrollo de programas, sistemas o aplicaciones. Plataforma de desarrollo.- Se debe indicar en detalle la plataforma de desarrollo que utilizar el proveedor, servidor, sistemas operativos y las herramientas de desarrollo, tal como lenguaje de programacin y motor de base de datos. Formalizacin de recursos humanos.- El proveedor deber tener el contrato del personal que participa en el proyecto, actualizado y con clusulas de confidencialidad para el manejo de la informacin. Adicionalmente, debe enviar al cliente (Entidad Financiera o empresa de servicios auxiliares financieros) el currculo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales. Cronograma y plan de trabajo.- Se debe indicar los tiempos de desarrollo por cada etapa en forma detallada, incluyendo las pruebas de programas. Atrasos y riesgos.- Con la finalidad de proteger a la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, junto a las clusulas normales de condiciones de pago se deben establecer multas por atrasos en la entrega. Al mismo tiempo, indemnizacin por daos y perjuicios, en caso de fraudes o atentados cibernticos. Acceso remoto.- En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores del cliente, debe regirse y cumplir las normas, polticas y procedimientos de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros en lo referido a la seguridad de informacin.
Inicial Modificacin 1 Modificacin 2 Libro 3 Ttulo VII Captulo II Seccin 3 Pgina 2/3

d)

e) f)

g)

Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

Artculo 3 - (Seguridad informtica del proveedor). Adicionalmente, el proveedor debe tener formalizados las polticas, normas y procedimientos de seguridad informtica, tales como: a) b) c) d) e) f) g) h) i) j) k) Desarrollo de sistemas de informacin y programas Mantenimiento de sistemas y programas Seguridad fsica sala de servidores Respaldos y recuperacin de informacin Respaldo y recuperacin de bases de datos Administracin de cintoteca interna y externa Control y polticas de administracin de antivirus Administracin de licencias de software y programas Traspaso de aplicaciones al ambiente de explotacin (produccin) Administracin y control de equipos de seguridad Plan de contingencias tecnolgicas

Es de responsabilidad de la Entidad Financiera o de la Empresa de Servicios Auxiliares Financieros, verificar la seguridad informtica del proveedor a travs de una metodologa que cumpla con este objetivo. Asimismo, la Entidad Financiera o la empresa de servicios auxiliares debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnologa de informacin a disposicin de ASFI.

Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04)

Inicial Modificacin 1 Modificacin 2

Libro 3 Ttulo VII Captulo II Seccin 3 Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 4:

TRANSFERENCIAS Y TRANSACCIONES ELECTRNICAS

Artculo 1 - (Requisitos de los sistemas de transferencia y transaccin electrnica). Para habilitar un sistema de transferencia electrnica de informacin o transaccin electrnica de fondos del tipo Banca Electrnica, las Entidades Financieras o Empresa de Servicios Auxiliares Financieros, deben adquirir e implementar elementos de hardware y software necesarios para la proteccin y control de su plataforma tecnolgica, adicionalmente y en forma complementaria, debern considerar el cumplimiento de los siguientes requisitos mnimos: a) Seguridad del sistema, el sistema debe proveer un perfil de seguridad que garantice que las operaciones, slo puedan ser realizadas por personas debidamente autorizadas para ello, debiendo resguardar, adems, la privacidad o confidencialidad de la informacin transmitida o procesada por ese medio. Los procedimientos deben asegurarse que tanto el originador como el destinatario, en su caso, conozcan la autora de las transacciones o mensajes y la conformidad de su recepcin, debiendo utilizarse las polticas, normas y procedimientos indicados en la Seccin 2 y en el Artculo 3 de la presente Seccin, que permitan asegurar su autenticidad e integridad. b) Canal de comunicacin, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, debe mantener permanentemente abierto y disponible un canal de comunicacin que permita al usuario realizar consultas y solicitar el bloqueo de cualquier operacin que intente efectuarse utilizando sus medios de acceso o claves de autenticacin. Cada sistema que opere en lnea y en tiempo real, debe permitir dicho bloqueo tambin en tiempo real. Difusin de polticas de seguridad, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, deben difundir sus polticas de seguridad, relativas al tema de transferencias electrnicas al interior de la Entidad. Certificacin, La existencia de las pginas Web utilizadas por las Entidades Financieras o empresas de servicios auxiliares financieros, deben estar avalada por una certificadora nacional o internacional. En el caso de la certificadora nacional debe estar respaldada por una certificadora internacional. Continuidad operativa, se refiere a procesos alternativos que puedan asegurar la continuidad de todos los procesos definidos como crticos relacionados con los servicios de transferencia electrnica de fondos. Es decir, las instalaciones y configuraciones de los equipos, sistemas y de las redes deben garantizar la continuidad de las operaciones frente a eventos fortuitos o deliberados, debiendo considerarse lo previsto en la Seccin 2, Artculos 4 y 5. Disponibilidad de la informacin (informes), los sistemas de transaccin electrnica de fondos deben generar la informacin necesaria para que el cliente pueda conciliar los movimientos de dinero efectuados, tanto por terminales como por usuario habilitado, incluyendo, cuando corresponda, totales de las operaciones realizadas en un determinado perodo.
Inicial Modificacin 1 Modificacin 2 Libro 3 Ttulo VII Captulo II Seccin 4 Pgina 1/3

c)

d)

e)

f)

Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

g)

Registro de pistas de control, los sistemas utilizados, adems de permitir el registro y seguimiento ntegro de las operaciones realizadas, deben generar archivos que permitan respaldar los antecedentes de cada operacin electrnica, necesarios para efectuar cualquier seguimiento, examen o certificacin posterior, tales como, fechas y horas en que se realizaron, contenido de los mensajes, identificacin de los operadores, emisores y receptores, cuentas y montos involucrados, terminales desde los cuales realiz sus operaciones. Acuerdos privados, en las transferencias electrnicas de informacin y transacciones electrnicas de fondos entre Entidades de Intermediacin Financiera, empresas de servicios auxiliares financieros, BCB, ASFI, usuarios y todas las relacionadas con la actividad de Intermediacin Financiera, pueden celebrarse acuerdos privados que estn debidamente firmados y protocolizados entre las partes interesadas y que consideren las medidas de seguridad que se indican en la Seccin 2.

h)

Artculo 2 - (Contrato formal). Deber celebrarse un contrato entre la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, y el cliente o usuario, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrnicas. Este contrato deber contener de manera enunciativa y no limitativa, los siguientes puntos: a) El usuario o cliente, ser responsable exclusivo del uso y confidencialidad del Password, Clave de acceso o PIN, que utilizar en sus operaciones. Se indicar, el bloqueo automtico de su clave despus de tres intentos fallidos y el procedimiento para desbloqueo. Debe detallarse el tipo de operaciones que puede efectuar el cliente. Debe quedar establecido el horario y consideraciones de cierre diario de cada Entidad Financiera o Empresa de Servicios Auxiliares Financieros, junto al procedimiento alternativo en caso de no-disponibilidad del servicio. Hacer conocer al usuario o cliente las medidas de seguridad que ha tomado la Entidad Financiera o Empresa de Servicios Auxiliares Financieros para la transferencia electrnica de informacin y transaccin electrnica de fondos. Los sistemas que permitan ejecutar transacciones de fondos, adems de reconocer la validez de la operacin que el usuario realice, deben controlar que los importes girados no superen el saldo disponible o el lmite que se haya fijado para el efecto, salvo la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo cumplir para tal efecto con las formalidades del Cdigo de Comercio y reglamentacin vigente.

b) c)

d)

e)

Artculo 3 - (Encriptacin de mensajes y archivos). Para que una Entidad Financiera o Empresa de Servicios Auxiliares Financieros, efecte transferencias electrnicas de informacin y transacciones electrnicas de fondos, debe tener implementado un sistema de encriptacin que garantice como mnimo que las operaciones realizadas por sus usuarios internos o externos sean realizadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados. Artculo 4 (Transferencia como documento). La generacin de documentos electrnicos
Inicial Modificacin 1 Modificacin 2 Libro 3 Ttulo VII Captulo II Seccin 4 Pgina 2/3

Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

que constituyen documentacin de carcter oficial, para el cumplimiento de disposiciones legales de ASFI debe cumplir con los requisitos mnimos descritos en el presente Captulo. Artculo 5 - (Operaciones interbancarias). Las transacciones electrnicas de fondos interbancarias estarn regidas por el reglamento del sistema de pagos de alto valor, del Banco Central de Bolivia, mientras que, las transferencias electrnicas de informacin de estas operaciones estarn regidas por el Reglamento de Operaciones Interbancarias contenido en el Libro 3, Ttulo III, Captulo II de la Recopilacin de Normas para Bancos y Entidades Financieras. En caso de utilizarse otros medios para realizar las operaciones interbancarias, las entidades de intermediacin financiera y empresas de servicios auxiliares financieros deben regirse con el acuerdo privado descrito en inciso h), Artculo 1 de la presente Seccin. Artculo 6 - (Sanciones). Las entidades financieras y empresas de servicios auxiliares financieras, que estn bajo el mbito de aplicacin de la presente norma y que incumplan con lo descrito en el Artculo 2 de la Seccin 2 y Artculo 4 de la presente Seccin, estarn sujetas al Rgimen de Sanciones del Libro 7, Ttulo II, Captulo II, Seccin 1 de la Recopilacin de Normas para Bancos y Entidades Financieras.

Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04)

Inicial Modificacin 1 Modificacin 2

Libro 3 Ttulo VII Captulo II Seccin 4 Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 5:

DISPOSICIONES TRANSITORIAS1

Artculo nico (Adecuacin y Cronograma). Las entidades financieras y empresas de servicios auxiliares financieros, debern cumplir con todos los requisitos mnimos que se requieren en este captulo hasta el 30 de junio de 2004. Adicionalmente debern enviar su cronograma para el cumplimiento y adecuacin a la presente hasta el 30 de septiembre de 2003.

Modificacin 1 Circular SB/436/03 (07/03) SB/443/03 (08/03) SB/466/04 (04/04) Inicial Modificacin 1 Modificacin 2 Libro 3 Ttulo VII Captulo II Seccin 5 Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

CAPTULO III: REGLAMENTO PARA LA GESTIN DE SEGURIDAD FSICA SECCIN 1: ASPECTOS GENERALES

Artculo 1 (Objeto) El presente Reglamento tiene por objeto establecer lineamientos y condiciones para la Gestin de Seguridad Fsica, que deben implementar las Entidades de Intermediacin Financiera (EIF) y las Empresas de Servicios Auxiliares Financieros para la prestacin de servicios a sus clientes y usuarios. Artculo 2 (mbito de aplicacin) Se encuentran sujetas al mbito de aplicacin del presente Reglamento los Bancos, Fondos Financieros Privados, Mutuales de Ahorro y Prstamo, Cooperativas de Ahorro y Crdito Abiertas, Cooperativas de Ahorro y Crdito Societarias, Instituciones Financieras de Desarrollo, Empresas de Arrendamiento Financiero, Empresas de Servicios de Pago Mvil, Casas de Cambio, Empresas Remesadoras y Empresas Transportadoras de Material Monetario y/o Valores, que cuenten con licencia de funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero (ASFI), en adelante entidad supervisada. Artculo 3 (Definiciones) Para efectos de las disposiciones, contenidas en el presente Reglamento, se considerarn las siguientes definiciones: a) rea de exclusin: rea de acceso restringido identificada en las instalaciones de la entidad supervisada. b) Botn de pnico: Dispositivo electrnico que genera una seal de auxilio no audible que comunica la ocurrencia de un incidente de seguridad fsica a la central de monitoreo. c) Bveda principal: rea destinada a la custodia y atesoramiento del material monetario y/o valores. d) Bveda auxiliar: rea destinada a la custodia y atesoramiento transitorio del material monetario y/o valores, durante la atencin de las operaciones y/o al cierre del da. e) Caja fuerte bveda: Equipo fsico destinado a la custodia y atesoramiento del material monetario y/o valores. f) Caja fuerte auxiliar: Equipo fsico destinado a la custodia y atesoramiento transitorio de una parte del material monetario y/o valores. g) Caja tipo buzn: Permite el atesoramiento transitorio de material monetario y/o valores con ubicacin en el rea de ventanillas de atencin al pblico. h) Camino de ronda: Recorrido que el guardia privado o polica de seguridad, realiza a lo largo de los pasillos, salidas de emergencia, gradas, reas de carga o descarga, garajes,
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Libro 3 Ttulo VII Captulo III Seccin 1 Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

reas comunes y otras reas, con el objeto de velar por la integridad fsica de las personas y la seguridad de los activos de la entidad. i) Circuito cerrado de televisin: Sistema de transmisin de imgenes compuesto por un nmero determinado de cmaras que transmiten las seales capturadas a uno o ms monitores, que forman un conjunto cerrado y limitado, en adelante CCTV.

j) Central de monitoreo: rea de exclusin donde estn instaladas las centrales para la recepcin de seales provenientes de los sistemas de alarma y almacenamiento de las grabaciones de las cmaras de Circuito Cerrado de TV (CCTV). k) Corresponsal financiero: Es el Banco, Fondo Financiero Privado, Mutual de Ahorro y Prstamo, Cooperativa de Ahorro y Crdito Abierta, Cooperativa de Ahorro y Crdito Societaria, Institucin Financiera de Desarrollo, Empresa de Transporte de Material Monetario y/o Valores y la Casa de Cambio con Personalidad Jurdica que cuente con licencia de funcionamiento otorgada por ASFI, as como la Cooperativa de Ahorro y Crdito Societaria y la Institucin Financiera de Desarrollo que cuente con Certificado de Adecuacin otorgado por ASFI, que se encuentra habilitado para realizar corresponsalas conforme legislacin y reglamentacin especfica; y mantiene una corresponsala con un contratante. l) Corresponsal no financiero: Es la persona natural o jurdica legalmente constituida que no realiza actividades de intermediacin financiera o de servicios auxiliares financieros, que ha establecido una corresponsala con un contratante.

m) Contacto magntico: Dispositivo electrnico que se activa al separar un contacto elctrico de un imn, rompiendo el campo magntico y activando el sistema de alarma, utilizado para el control de apertura de puertas y ventanas. n) Detector inercial: Dispositivo electrnico que activa el sistema de alarma ante la deteccin de vibraciones en el suelo o paredes. o) Diagnstico de seguridad fsica: Resultado del anlisis que se realiza a la infraestructura, entorno y medidas de seguridad fsica de una entidad supervisada, que tiene como fin permitir conocer las caractersticas especficas, vulnerabilidades y amenazas a las que estn expuestas las instalaciones. p) Empresa de seguridad privada: Empresa privada autorizada por la instancia competente para prestar servicios remunerados de seguridad fsica a entidades financieras y empresas de servicios auxiliares financieros, que incluyen la provisin de guardias, sistemas de alarma, monitoreo y/o vigilancia motorizada entre otros.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 1 Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

q) Equipo Anti-skimming: Equipo instalado en el cajero automtico que previene el robo de identidad y reduce el fraude. r) Gestin de seguridad fsica: Conjunto de objetivos, polticas, procedimientos, planes y acciones que implementa la entidad supervisada con el objeto de proteger la integridad fsica de las personas, as como de los activos que se encuentren en el interior de sus instalaciones. s) Guardia privado: Personal dependiente de una empresa de seguridad privada, autorizada por la instancia competente, que vigila, protege y custodia la integridad fsica de las personas y/o activos asignados. t) Grupo electrgeno: Equipo generador de electricidad por medio de un motor de combustin interna, que garantiza el suministro ininterrumpido de energa para los sistemas elctricos de seguridad fsica. u) Incidente de seguridad fsica: Cualquier evento o acontecimiento que causa daos o prdidas de vidas humanas, activos e imagen institucional de la entidad supervisada. v) Medidas de seguridad fsica: Son los procesos fsicos, humanos y tecnolgicos adoptados por la entidad supervisada que en forma aislada o combinada, minimizan, retardan, impiden y/o neutralizan riesgos de incidentes de seguridad fsica y sus consecuencias. w) Nivel de riesgo ante incidentes de seguridad fsica: Es el grado de exposicin a daos o prdidas ocasionadas por incidentes de seguridad fsica. x) Particionado: Es el procedimiento por el cual se divide un sistema de alarma en dos o ms reas de forma que puedan activarse o desactivarse en forma independiente. y) Personal de Vigilancia: Personal perteneciente a la Polica Boliviana o Empresa de Seguridad Privada que brinda seguridad a las personas en las instalaciones y los activos de la entidad. z) Plan de seguridad fsica: Documento aprobado por la instancia competente, que establece los cursos de accin, medios y recursos que sern implementados para proporcionar seguridad fsica en las instalaciones de la entidad supervisada. aa) Polica de seguridad: Personal de la Polica Boliviana provisto de armas de fuego, que presta servicios de proteccin y/o custodia de la integridad fsica de las personas y/o activos asignados.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 1 Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

bb) Punto de Atencin Financiero (PAF): Instalacin o establecimiento equipado para realizar operaciones de intermediacin financiera o servicios auxiliares financieros, segn corresponda, en el marco de la Ley de Bancos y Entidades Financieras (LBEF) en el territorio nacional y de acuerdo a lo establecido en la Recopilacin de Normas para Bancos y Entidades Financieras (RNBEF). cc) Sensor infrarrojo: Dispositivo electrnico que emite un rayo infrarrojo continuo, cuya interferencia de elementos extraos, activa el sistema de alarma. dd) Sensor de ruptura de cristal: Dispositivo electrnico que detecta las frecuencias del sonido que producen los vidrios al astillarse, a travs de un micrfono instalado en su interior. ee) Sensor ssmico: Dispositivo electrnico que detecta golpes o vibraciones, instalados en el suelo o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda. ff) Sirenas de Alarma: Luces de alarma u otros elementos disuasivos que alerten a los transentes o personal de vigilancia de un incidente de seguridad fsica. gg) Skimming: Robo de informacin de tarjetas de dbito o crdito al momento de efectuar una transaccin, con la finalidad de reproducir o clonar la tarjeta de crdito o dbito para su posterior uso fraudulento. hh) Vigilancia motorizada: Patrullaje disuasivo realizado por unidades motorizadas a las instalaciones de la entidad supervisada. ii) Transporte de material monetario y/o ttulos valores: Traslado fsico de material monetario y/o valores, de un PAF a otro. jj) Unidad de Seguridad Fsica: Unidad organizacional dependiente de la instancia ejecutiva que corresponda, responsable de operativizar e informar sobre la gestin de seguridad fsica en la entidad supervisada. Su tamao y estructura interna debe estar en relacin y nivel de riesgo a incidentes de seguridad fsica y volumen de operaciones de los PAF.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 1 Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 2:

GESTIN DE SEGURIDAD FSICA

Artculo 1 - (Gestin de Seguridad fsica) La entidad supervisada, debe constituir un sistema para la Gestin de Seguridad Fsica en sus instalaciones, que permita identificar, monitorear, controlar y mitigar en forma preventiva o correctiva, impidiendo y/o neutralizando los riesgos a incidentes de seguridad fsica y sus consecuencias. Artculo 2 - (Nivel de riesgo) La entidad supervisada, debe realizar un diagnstico de seguridad fsica que identifique el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas sus instalaciones, considerando mnimamente: las zonas geogrficas de riesgo identificadas por la autoridad competente en temas de seguridad ciudadana y el valor monetario de los activos que se encuentran bajo su resguardo. Para la aplicacin de las medidas especificas de seguridad fsica establecidas en la Seccin 4 del presente Reglamento, la entidad supervisada, debe clasificar el nivel de riesgo de sus PAF en las categoras de riesgo alto, medio o bajo, considerando mnimamente los aspectos mencionados en el prrafo anterior. ASFI podr instruir, a la entidad supervisada, modificar el nivel de riesgo determinado para sus PAF en funcin a la ocurrencia de incidentes de seguridad fsica reportados en cumplimiento al Artculo 107 de la Ley de Bancos y Entidades Financieras o como producto de la supervisin realizada por las Direcciones correspondientes. Artculo 3 - (Polticas) La entidad supervisada debe contar con polticas de seguridad fsica aprobadas por el Directorio u rgano equivalente, orientadas a priorizar el fortalecimiento de la seguridad fsica en sus instalaciones, las mismas que deben incluir referencias de la(s) Norma(s) Internacional(es) de seguridad fsica que son adoptadas por la entidad. Dichas polticas deben considerar los siguientes principios, segn se enuncian en orden de prioridad: a) Proteccin a la vida de las personas que se encuentren dentro de las instalaciones de las Entidades Supervisadas. b) Proteccin de los activos, incluida la documentacin e informacin en medios impresos o electrnicos. c) Proteccin de la imagen institucional. La entidad supervisada debe implementar polticas de capacitacin en seguridad fsica para todo su personal, sin exclusiones. Artculo 4 - (Manuales de funciones y procedimientos) La entidad supervisada debe contar con manuales de funciones y de procedimientos de seguridad fsica, que establezcan
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 2 Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

mnimamente el personal responsable y la periodicidad para su realizacin. Los manuales de funciones y procedimientos mnimos que debe considerar la entidad supervisada son: a) Manuales de funciones para: 1) Personal de vigilancia y vigilancia motorizada, que incluya la prohibicin de que el mencionado personal realice actividades no relativas a la seguridad fsica. Personal de la unidad de seguridad fsica, comit de seguridad fsica que establezca la interaccin con reas relacionadas. Personal de la entidad supervisada que interacta en la recepcin y envi del material monetario y/o valores.

2)

3)

b) Manuales de procedimientos para: 1) Asistencia a personas afectadas por incidentes de seguridad fsica ocurridos en instalaciones de la entidad supervisada que debe ser inmediata, adecuada y en base a capacitacin previa. Resguardo de la privacidad en las transacciones financieras realizadas por clientes y usuarios en ventanillas de atencin al pblico. Administracin de llaves de ingreso a las instalaciones de la entidad supervisada, acceso a las reas de exclusin, claves de sistemas de alarma y claves de equipos de atesoramiento segn corresponda. Las claves sealadas deben ser modificadas al menos cada seis (6) meses o cuando se realice el cambio del personal encargado. Pruebas de funcionamiento de los sistemas de seguridad, que incluya el inventario de equipos e instalaciones sujetos a revisin. Mantenimiento preventivo y correctivo de los sistemas de atesoramiento, dispositivos de proteccin, sistemas de monitoreo y alarmas, al menos una vez al ao. Transporte de material monetario y/o valores por parte del personal de la entidad supervisada, cuando corresponda. Abastecimiento de material monetario en los cajeros automticos, cuando corresponda. Ubicacin, construccin, instalacin y manejo de bveda(s) y caja(s) fuerte(s) bveda.

2)

3)

4)

5)

6)

7)

8)

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 2 Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

9)

Instalacin de medidas de seguridad fsica en los ambientes destinados a cajeros automticos. Funcionamiento de centrales de monitoreo que incluya tiempo de almacenamiento, modalidad y resguardo de las grabaciones de monitoreo, para atencin de denuncias y reclamos de los usuarios o clientes.

10)

Artculo 5 - (Estructura organizacional) La entidad supervisada, debe establecer una estructura organizacional adecuada al nivel de riesgo y nmero de PAF en funcionamiento, que delimite las funciones y responsabilidades relativas a la gestin de seguridad fsica. Artculo 6 - (Unidad de Seguridad Fsica) La entidad supervisada que cuente con un patrimonio contable igual o mayor a 5,500,000 DEG, debe contar con una Unidad de seguridad fsica, que ser responsable de operativizar y monitorear la gestin de seguridad fsica, emitir reportes e informes para las instancias de decisin, proponer medidas preventivas o correctivas que se requieran para fortalecer la seguridad fsica en las instalaciones de la entidad supervisada, entre otras tareas operativas. Cuando corresponda, las tareas de la Unidad de seguridad fsica sern asignadas por el Comit de seguridad fsica a otra unidad organizacional de la entidad supervisada. La ETM debe contar con un Jefe de Operaciones, independientemente del patrimonio contable, conforme a lo establecido en el Reglamento Operativo para Empresas Privadas de Vigilancia aprobado mediante Resolucin Ministerial N 21 B/2013 de 4 de febrero de 2013, emitido por el Ministerio de Gobierno. Artculo 7 - (Comit de Seguridad Fsica) La entidad supervisada debe conformar un Comit de seguridad fsica, que ser responsable de analizar y evaluar las situaciones de riesgo de vulneracin a los sistemas de seguridad fsica, as como las medidas preventivas y correctivas que debe poner en consideracin del Directorio u rgano equivalente para su aprobacin. El Comit estar conformado mnimamente por un Director, el Gerente General y un Gerente del rea relacionada o instancia equivalente, con derecho a voz y voto y el responsable de la Unidad de Seguridad Fsica u rgano equivalente con derecho a voz, cuando corresponda. El Comit debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones. Artculo 8 - (Responsabilidades y funciones del Directorio) El Directorio u rgano equivalente es responsable de la gestin de seguridad fsica en la entidad supervisada, debiendo cumplir, entre otras, las siguientes funciones:

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 2 Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

a) Aprobar, revisar, actualizar y realizar el seguimiento a las estrategias, polticas, procedimientos y planes de seguridad fsica, mnimamente una vez al ao y cuando corresponda. b) Aprobar los manuales de funciones y procedimientos relativos a la gestin de seguridad fsica, as como asegurar que se encuentren debidamente actualizados. c) Designar los miembros del Comit de seguridad fsica. d) Disponer la conformacin de una Unidad de seguridad fsica y designar al responsable de la misma, cuando corresponda. Artculo 9 (Responsabilidades y funciones de la Gerencia General) La Gerencia General es responsable de la implementacin y cumplimiento de las polticas, estrategias, planes, manuales y procedimientos, aprobados por el Directorio u rgano equivalente para la gestin de seguridad fsica, as como de implementar acciones correctivas o preventivas que se requieran. Tambin es responsable del cumplimiento estricto de las disposiciones contenidas en el presente Reglamento. Artculo 10 - (Brigada de Auxilio) La entidad supervisada, debe capacitar un grupo de funcionarios por cada PAF identificado con riesgo alto, para ejecutar procedimientos de asistencia orientados a proteger la vida de las personas afectadas por incidentes de seguridad fsica. Dichos funcionarios deben interactuar con el personal de vigilancia segn procedimiento predefinido. Artculo 11 - (Gestin de seguridad fsica para las Casas de Cambio Unipersonales) Las casas de cambio unipersonales deben contar mnimamente con procedimientos destinados a afrontar incidentes de seguridad fsica considerando al menos los sealados en los numerales 1 al 6, y 8) del inciso b), Artculo 4, Seccin 2 del presente Reglamento (en lo que corresponde). Los procedimientos establecidos por las casas de cambio unipersonales deben considerar en orden de prioridad, los principios descritos en el Artculo 3 de la presente Seccin. Las disposiciones restantes contenidas en la presente seccin, no son de aplicacin obligatoria para las casas de cambio unipersonales, sin embargo no se restringe su aplicacin voluntaria.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 2 Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 3:

MEDIDAS GENERALES DE SEGURIDAD FSICA

Artculo 1 - (Clasificacin reas de exclusin) En base a un anlisis de riesgo ante incidentes de seguridad fsica, la entidad supervisada debe identificar las reas de exclusin que requieran medidas de seguridad mximas. Artculo 2 - (Equipos de atesoramiento) La entidad supervisada, en funcin al nivel de riesgo al que se encuentran expuestos sus PAF, debe contar con equipos de atesoramiento que cumplan con estndares de calidad establecidos en la Norma Internacional, definida en sus polticas, respecto a la resistencia contra ataques por medios mecnicos, elctricos, explosivos u otros. A continuacin se detalla la lista referencial de equipos de atesoramiento que pueden ser utilizados por la entidad supervisada: a) Bveda principal: Construida de hormign reforzado, provista de puerta de bveda con cerraduras de retardo y control horario. b) Bveda auxiliar: Construida de hormign armado reforzado, provista de puerta de bveda con cerraduras de retardo y control horario, con ubicacin diferente a la bveda principal, sin embargo ambas se encuentran instaladas en el mismo PAF. c) Caja fuerte bveda: Equipo con estructura blindada, anclada al piso y provista de cerradura de retardo. d) Caja fuerte auxiliar: Equipo con estructura blindada, anclada al piso, y provista de cerradura de retardo, con ubicacin diferente a la caja fuerte bveda, sin embargo ambas se encuentran instaladas en el mismo PAF. e) Caja tipo buzn: Equipo, con estructura blindada, con cerradura de retardo y anclada al piso, ubicada en el rea de ventanillas de atencin al pblico. Artculo 3 - (Ventanillas de atencin al pblico) El rea de ventanillas de atencin al pblico debe contar con dispositivos de control que permitan el acceso solo a personas autorizadas. En los PAF identificados con nivel de riesgo alto, ubicados en ciudades capitales de departamento y adicionalmente, los situados en las Ciudades de El Alto, Quillacollo, Montero y localidades fronterizas, las ventanillas de atencin al pblico deben contar con vidrios con resistencia balstica u otro material de igual consistencia que cumpla estndares de calidad internacional, definidos en las polticas de seguridad fsica de cada entidad supervisada.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/188/13 (07/13) Modificacin 2

Libro 3 Ttulo VII Captulo III Seccin 3 Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

Artculo 4 - (Condiciones para el personal de vigilancia) La entidad supervisada tiene la responsabilidad de que el personal de vigilancia contratado, cuente mnimamente con las siguientes condiciones para la prestacin de sus servicios: a) Polica de seguridad: provisto de arma de fuego, chaleco antibalas con una resistencia balstica mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante, as como de otros implementos adecuados a las funciones asignadas segn se establece en el Anexo 1. b) Guardia privado: provisto mnimamente de arma(s) de defensa, chaleco antibalas con una resistencia mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante, as como otros implementos adecuados a las funciones segn se establece en el Anexo 1. Artculo 5 - (Dotacin de personal de vigilancia) En los PAF ubicados en localidades que no cuenten con suficiente disponibilidad de personal de vigilancia en los Batallones de Seguridad Fsica, Comandos Departamentales de la Polica Boliviana o Empresas de Seguridad Privada, autorizadas por la instancia competente, la entidad supervisada debe contar como mnimo con un (1) Polica de seguridad o un (1) guardia privado. Adicionalmente en caso de que no exista personal de vigilancia en la localidad, la entidad debe adoptar medidas de seguridad que suplan la falencia del personal de vigilancia, segn se establece en sus polticas de seguridad fsica. Los recintos para cajeros automticos que cuenten con ms de dos (2) equipos sean estos de la misma entidad supervisada o de diferentes entidades, deben contar al menos con un (1) guardia privado. Las entidades supervisadas podrn suscribir, entre si, convenios para que el personal de vigilancia brinde proteccin a los cajeros automticos ubicados en el mismo recinto. El personal de vigilancia que preste el servicio en los recintos de los cajeros automticos debe realizarlo las veinticuatro (24) horas del da, los trescientos sesenta y cinco (365) das del ao de forma ininterrumpida. De acuerdo a la ubicacin fsica del cajero automtico, la entidad supervisada debe habilitar casetas para la permanencia del personal de vigilancia instaladas a una distancia no menor de dos (2) metros ni mayor a diez (10) metros. Las casetas podrn ser fijas o plegables segn se establece en el Anexo 2. La entidad supervisada debe asegurarse que el personal de vigilancia cuente con la capacitacin y los conocimientos bsicos segn se establece en el Anexo 3. Artculo 6 - (Dotacin adicional de personal de vigilancia) En los PAF en los que se verifique la necesidad de brindar mayor seguridad para la atencin a los clientes y usuarios, ASFI se reserva el derecho de exigir personal de vigilancia adicional, al establecido por la entidad supervisada.
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/188/13 (07/13) Modificacin 2 Libro 3 Ttulo VII Captulo III Seccin 3 Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

Artculo 7 (Horarios) El personal de vigilancia debe permanecer en ejercicio de sus funciones en el PAF, durante el tiempo que disponga el manual de funciones del personal de vigilancia definido por la entidad supervisada, el mismo que al menos debe abarcar el tiempo de atencin al pblico o de permanencia de funcionarios en las instalaciones del PAF. Artculo 8 (Sistema de alarma) La entidad supervisada debe contar con un sistema de alarma debidamente particionado, zonificado, interconectado a una central de monitoreo de alarma y habilitados para detectar incidentes de seguridad fsica en reas de atencin al pblico y reas de exclusin que hubieran sido identificadas, de acuerdo a lo sealado en el Artculo 1 de la presente Seccin. Artculo 9 (Dispositivos para la seguridad fsica) En funcin al nivel de riesgo y la clasificacin de las reas de exclusin, la entidad supervisada debe implementar dispositivos para la seguridad fsica entre los cuales podr considerar, en relacin a su funcionalidad, los sealados a continuacin: a) Sistemas para control de accesos biomtricos. b) Sensores infrarrojos. c) Contactos magnticos. d) Sensores de ruptura de cristal. e) Detectores inerciales. f) Sensores ssmicos. g) Detectores de humo. h) Botones de pnico. i) Sirenas de alarmas.

j) Grupo electrgeno. k) Extintores de incendio (porttiles). Artculo 10 - (Central de monitoreo) La entidad supervisada, debe controlar desde una Central de Monitoreo, propia o tercerizada en forma permanente e ininterrumpida los sistemas de alarma instalados en los PAF, debiendo reportar a las autoridades competentes la ocurrencia de
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/188/13 (07/13) Modificacin 2 Libro 3 Ttulo VII Captulo III Seccin 3 Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

incidentes de seguridad fsica de forma oportuna, as como resguardar la informacin de monitoreo de los sistemas de CCTV en medios de grabacin adecuados para su almacenamiento. La entidad supervisada es responsable de velar por la adecuada prestacin del servicio tercerizado y el resguardo de la informacin que se genere, dando cumplimiento a los requisitos establecidos por el Reglamento Operativo para Empresas Privadas de Vigilancia. Adicionalmente, la entidad supervisada que cuente con ms del 50% de sus PAF identificados con nivel de riesgo alto, debe contar con una Central de Monitoreo de respaldo funcionando en una ubicacin geogrfica diferente. La Central de Monitoreo debe funcionar de forma ininterrumpida durante veinticuatro (24) horas al da, siete (7) das a la semana y trescientos sesenta y cinco (365) das del ao. Artculo 11 - (Sistema de circuito cerrado de televisin) La entidad supervisada, debe contar con sistemas de CCTV propios o tercerizados, acorde a la distribucin y cantidad de cmaras instaladas en sus PAF. Las grabaciones de las cmaras de seguridad, deben permitir la identificacin de personas, actividades u otros, ocurridos en incidentes de seguridad fsica. La entidad supervisada debe priorizar la ubicacin de cmaras de seguridad en las reas de ventanillas de atencin al pblico, cajeros automticos y accesos al PAF, bvedas, camino de ronda y reas de exclusin, segn corresponda. La entidad supervisada debe mantener en archivo electrnico el registro efectuado por el sistema de vigilancia y monitoreo, por un perodo no menor a ciento ochenta (180) das. Artculo 12 - (Vigilancia motorizada) La entidad supervisada debe contar con unidades motorizadas a cargo de personal que realice la vigilancia in situ en los PAF, de acuerdo a planes definidos para el efecto, los cuales deben incluir al menos la ruta de recorrido y rol de turnos, dando prioridad a los PAF con niveles de riesgo alto y que se encuentren ms alejados de la oficina central. Artculo 13 - (Medidas generales de seguridad fsica para las Casas de Cambio unipersonales) Las disposiciones contenidas en la presente Seccin, no son de aplicacin obligatoria para las Casas de Cambio unipersonales, excepto por el Artculo 3, y el inciso k) del Artculo 9 de la presente Seccin, sin embargo no se restringe la aplicacin voluntaria de las mencionadas disposiciones.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/188/13 (07/13) Modificacin 2

Libro 3 Ttulo VII Captulo III Seccin 3 Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 4:

MEDIDAS ESPECFICAS DE SEGURIDAD FSICA

Artculo 1 - (Medidas especficas) La entidad supervisada, adicionalmente a lo establecido en la Seccin 3 del presente Reglamento, debe implementar las medidas de seguridad especficas contenidas en la presente Seccin. Las oficinas externas y feriales, se regirn por lo establecido en el Artculo 5 de la presente Seccin. Artculo 2 - (Oficinas centrales o sucursales) La entidad supervisada en funcin al nivel de riesgo al que se encuentran expuestas su Oficina central y sucursales, debe implementar mnimamente las siguientes medidas especficas de seguridad fsica:
Requisitos de Seguridad Fsica Equipos de Atesoramiento Bveda Principal Bveda Auxiliar Caja Fuerte Bveda Caja Fuerte Auxiliar Puertas de Acceso reas de Exclusin 1 Caja fuerte tipo buzn anclada por ventanilla 1 Caja fuerte tipo buzn anclada por rea de ventanillas Personal de Vigilancia Un (1) Polica de Seguridad o un (1) Guardia Privado Dos (2) Policas de Seguridad
= Indispensable -= No indispensable

Riesgo Bajo -

Niveles de Seguridad Riesgo Medio -

Riesgo Alto

Adicionalmente, la Entidad Supervisada debe contar al menos con un (1) polica de seguridad o guardia privado por cada puerta de acceso a la oficina central o sucursal, en correlacin a lo dispuesto en el Artculo 5 de la Seccin 3 del presente Reglamento. Las oficinas centrales o sucursales que no manipulen material monetario y/o valores en sus instalaciones, no estn obligadas a contar con los equipos de atesoramiento. Artculo 3 - (Agencias fijas) La entidad supervisada en funcin al nivel de riesgo al que se encuentran expuestas sus agencias fijas debe implementar mnimamente las siguientes medidas especficas de seguridad fsica:
Niveles de Seguridad Riesgo Medio -

Requisitos de Seguridad Fsica Equipos de Atesoramiento Caja Fuerte Bveda Caja Fuerte Auxiliar Puerta de Acceso reas de Exclusin 1 Caja fuerte tipo buzn anclada por ventanilla

Riesgo Bajo -

Riesgo Alto

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 1/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS


Niveles de Seguridad Riesgo Medio -

Requisitos de Seguridad Fsica 1 Caja fuerte tipo buzn anclada por rea de ventanillas Personal de Vigilancia Un (1) Polica de Seguridad Un (1) Polica de Seguridad o Un (1) Guardia Privado Un (1) Guardia Privado
= Indispensable -= No indispensable

Riesgo Bajo

Riesgo Alto -

Artculo 4 - (Agencia mvil) La entidad supervisada debe implementar en sus agencias mviles las medidas de seguridad fsica sealadas en el Reglamento Operativo para las Empresas Privadas de Vigilancia, en lo referido a Banca Mvil. Artculo 5 - (Oficina externa y oficina ferial) En funcin al tipo de operaciones que realizan y el nivel de riesgo al que se encuentran expuestas las oficinas externas y feriales, la entidad supervisada determinar la implementacin de sistemas de alarma, monitoreo y condiciones para la instalacin de ventanillas, segn corresponda, a lo sealado en la Seccin 3 del presente Reglamento. Adicionalmente, de acuerdo al volumen del material monetario que circule en los PAF, la entidad supervisada debe contar con equipos de atesoramiento para el adecuado resguardo de los activos, as como con personal de vigilancia, para la proteccin de la integridad fsica de las personas que se encuentran en sus instalaciones. Artculo 6 - (Ventanilla de cobranza) La entidad supervisada en funcin al nivel de riesgo al que se encuentran expuestas sus ventanillas de cobranza, debe contar al menos con el siguiente personal de vigilancia: a) Un (1) Polica de Seguridad, cuando la ventanilla de cobranza sea identificada con un nivel de riesgo alto en correlacin al Artculo 5 de la Seccin 3 del presente Reglamento. b) Un (1) Polica de Seguridad o un (1) Guardia Privado cuando la ventanilla de cobranza sea identificada con un nivel de riesgo medio o bajo. Cuando la Ventanilla de Cobranza se encuentre instalada en instituciones pblicas o privadas que cuenten con personal de vigilancia, la entidad supervisada podr suscribir convenios para compartir el servicio de vigilancia, siendo responsabilidad de la entidad supervisada velar por el cumplimiento de las tareas establecidas en el manual de funciones del personal de vigilancia aprobado por las instancias correspondientes. Artculo 7 - (Corresponsales financieros y no financieros) La entidad supervisada contratante de la Corresponsala, es responsable de velar por el cumplimiento de las medidas de seguridad fsica generales y especificas contenidas en el presente Reglamento, segn corresponda

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 2/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

al tipo de corresponsal y en funcin al nivel de riesgo y tipo de operaciones realizadas en los puntos de atencin contratados. Artculo 8 - (Cajero automtico) Para la instalacin y funcionamiento de los Cajeros Automticos, independientemente si estos son internos o externos, la entidad de intermediacin financiera debe cumplir con los siguientes requerimientos mnimos: a) Medidas de seguridad fsica del cajero automtico externo.- Los Cajeros Automticos externos deben contar con una de las siguientes medidas de seguridad: 1) Ser instalado en recinto; 2) Contar con personal de vigilancia si no cuenta con recinto. a.1 Caractersticas de los recintos: Los recintos en los que se encuentran instalados los cajeros automticos, debe contar con: i. Vidrios templados y/o laminados que permitan observar el interior del recinto, desde el exterior y viceversa, para detectar eventuales amenazas, sea contra la mquina o contra el usuario. ii. El vidrio a utilizarse en las puertas de ingreso, as como aquel que forme parte de la estructura del recinto de los cajeros automticos, debe ser de templado y/o laminado. La puerta de acceso debe contar con un dispositivo de cierre interno, de tipo mecnico, que impida el acceso de terceros al interior del recinto cuando el usuario se encuentre operando el cajero automtico.

iii.

a.2 Cajero automtico sin recinto: La entidad supervisada debe contratar personal de vigilancia, ya sea un polica de seguridad o guardia privado y habilitar casetas segn lo establecido en el Artculo 4, Seccin 3, del presente Reglamento. b) Circuito cerrado de televisin: La entidad supervisada debe instalar una cmara en el interior del recinto del cajero automtico que permita captar las imgenes de los tarjetahabientes al momento de realizar la operacin, no debiendo dirigir la cmara hacia el teclado de los cajeros. De la misma manera, la entidad supervisada podr instalar una cmara de exterior para la vigilancia del permetro externo para cajeros automticos con recintos identificados con riesgo alto. c) Dispositivos de seguridad: Los cajeros automticos internos o externos debe contar con dispositivos que permitan privacidad en el registro de operaciones de los clientes o usuarios de tarjetas de dbito o crdito. Los dispositivos mnimos de seguridad son los siguientes:
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 3/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

1) Pantalla. Debe estar instalada en ngulos apropiados o contar con medidas antirreflectantes, que eviten que la accin del reflejo del sol afecte la privacidad de operacin por parte del usuario. 2) Iluminacin. El espacio donde se encuentra ubicado el cajero automtico, debe estar adecuadamente iluminado. 3) Protector de teclado. Todos los cajeros automticos deben contar con protectores de teclado para evitar que durante el marcado de la clave, esta pueda ser vista por terceras personas. 4) Equipo Anti Skimming. El cajero automtico debe contar con equipos anti Skimming en la ranura de ingreso de la tarjeta para garantizar las operaciones de los tarjetahabientes. 5) Accesorios. Los cajeros automticos deben contar con accesorios adicionales de aseo y decoracin y deben prevenir, desde su diseo e instalacin, la comisin de actos de vandalismo a travs de elementos de cierre y fijacin, que eviten su retiro o la instalacin de artefactos explosivos. d) Elementos disuasivos y telfonos de informacin: Los cajeros automticos debern contar con carteles y seales que anuncien que el cajero automtico cuenta con medidas de seguridad, tambin deber contar con los nmeros telefnicos de emergencia para comunicarse con la Entidad Supervisada a la que pertenecen los cajeros automticos y con la empresa de liquidacin y compensacin de tarjetas de pago; estos nmeros deben ser de fcil identificacin tanto en el ambiente del recinto como en la pantalla del cajero automtico. e) Cerradura de la caja fuerte: La puerta de la caja fuerte del cajero automtico, debe poseer un mecanismo adicional a la cerradura que permita bloquear automticamente la puerta de la caja fuerte ante un incidente de seguridad fsica. f) Anclaje: El cajero automtico debe encontrarse slidamente anclado al piso. g) Proteccin del cableado: Todo el cableado para el funcionamiento del cajero automtico y el sistema de alarmas debe estar debidamente protegido para evitar posibles accidentes o actos de sabotaje, debiendo inclusive proteger los compartimientos del sistema de comunicacin. Artculo 9 - (Casas de cambio) Las Casas de Cambio con personalidad jurdica, deben identificar el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas su oficina central y agencias de cambio de acuerdo a lo establecido en el Artculo 2, Seccin 2 del
Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 4/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

presente Reglamento e implementar mnimamente las medidas especificas de seguridad fsica, sealadas a continuacin:
Requisitos de Seguridad Fsica Equipos de Atesoramiento Caja Fuerte Bveda Personal de Vigilancia Un (1)Polica de Seguridad Un (1) Polica de Seguridad o Un (1) Guardia Privado Un (1) Guardia Privado
= Indispensable -= No indispensable

Riesgo Bajo

Niveles de Seguridad Riesgo Medio -

Riesgo Alto - -

Artculo 10 - (Empresas Remesadoras) Las Empresas Remesadoras, deben identificar el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas sus puntos de atencin financiero de acuerdo a lo establecido en el Artculo 2, Seccin 2, del presente Reglamento e implementar mnimamente las medidas especficas de seguridad fsica, sealadas a continuacin:
Requisitos de Seguridad Fsica Riesgo Bajo Equipos de Atesoramiento Caja Fuerte Bveda Personal de Vigilancia Un (1)Polica de Seguridad Un (1) Polica de Seguridad o Un (1) Guardia Privado Un (1) Guardia Privado
= Indispensable -= No indispensable

Niveles de Seguridad Riesgo Medio -

Riesgo Alto - -

Artculo 11 - (Empresas transportadoras de material monetario y/o valores) La Empresa Transportadora de material monetario y/o valores (ETM) que brinda servicio al Sistema Financiero o la Entidad de Intermediacin Financiera con servicio propio de transporte de material monetario y/o valores (ESPT), debe cumplir con las medidas de seguridad sealadas en el Reglamento Operativo para Empresas Privadas de Vigilancia, para la prestacin de sus servicios. Adicionalmente, la ETM que realiza la custodia de material monetario y/o valores en sus oficinas, determinar la implementacin de equipos de Atesoramiento, ambientes especficos para el procesamiento de efectivo (cuando corresponda), sistemas de alarmas, monitoreo y dotacin de personal, en funcin a lo establecido en la Poltica de Seguridad Fsica aprobada por el Directorio u rgano equivalente considerando el nivel de riesgo. Finalmente la entidad supervisada, para realizar el transporte de material monetario y/o valores entre localidades que no sean ciudades capitales de departamento, debe implementar las medidas de seguridad fsica que considere necesarias en funcin a los riesgos asociados al traslado de

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 5/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

material monetario y/o valores a dichas reas, tomando en cuenta al menos los siguientes aspectos: a) Preservacin de la seguridad de la vida de las personas. b) Accesibilidad a la localidad. c) Zonas geogrficas de riesgo identificadas por la autoridad competente en temas de seguridad ciudadana. d) Montos o valor de material monetario y/o valores a ser trasladado.

Circular ASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1

Libro 3 Ttulo VII Captulo III Seccin 4 Pgina 6/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 5:

OTRAS DISPOSICIONES

Artculo 1 - (Registro de hechos delictivos) En el marco de lo establecido en el Artculo 107, Captulo II, Titulo VIII de la Ley de Bancos y Entidades Financieras, la entidad debe llevar un registro de los incidentes de seguridad fsica que se presenten en sus instalaciones contemplando aspectos cualitativos y cuantitativos, con el fin de establecer las medidas correctivas o preventivas que correspondan. Artculo 2 - (Empresas de arrendamiento financiero) En funcin a la poltica de seguridad aprobada por el Directorio u rgano equivalente, la empresa de arrendamiento financiero es responsable de velar por que las transacciones de efectivo realizadas con sus clientes, a travs de PAF de Entidades de Intermediacin Financiera, cuenten con las medidas de seguridad fsica necesarias segn lo establecido en el presente Reglamento. Artculo 3 - (Empresas de servicio de pago mvil) En funcin a la poltica de seguridad fsica aprobada por el Directorio u rgano equivalente, la Empresa de Servicio de Pago Mvil (ESPM), es responsable de la implementacin de medidas de seguridad fsica adecuadas para la prestacin de sus servicios en las instalaciones de los corresponsales contratados, segn lo establecido en el Articulo 7 de la Seccin 4 del presente Reglamento. Artculo 4 - (Reportes de informacin) La entidad supervisada debe contar con mecanismos que permitan el flujo de informacin adecuado para la toma de decisiones oportunas, relativas a la gestin de seguridad fsica en sus instalaciones. Artculo 5 - (Resguardo de la informacin de seguridad fsica) La entidad supervisada debe disponer de la custodia en la bveda o caja fuerte, de los planes de seguridad fsica, planos o croquis que contengan referencias sobre los sistemas de seguridad implementados, siendo prohibida la obtencin de copias o fotocopias que no hubieran sido reportadas por escrito al Comit de seguridad fsica. Artculo 6 - (Situaciones de fuerza mayor) Por motivos fundados, razones de fuerza mayor o situaciones de riesgo imprevistas que impidan la continuidad en la prestacin del servicio del personal de vigilancia, la entidad supervisada podr utilizar el personal de las Fuerzas Armadas del Estado Plurinacional de Bolivia, previa autorizacin de las instancias competentes del Gobierno, debiendo comunicar oportunamente estas medidas a la Autoridad de Supervisin del Sistema Financiero. Artculo 7 - (Sanciones) El incumplimiento o inobservancia al presente Reglamento dar lugar a la aplicacin del Artculo 99 de la Ley N 1488 de Bancos y Entidades Financieras (Texto ordenado) y a lo dispuesto por el Reglamento de Sanciones Administrativas contenido en la RNBEF a travs de proceso administrativo sancionatorio establecido en la Ley de Procedimiento Administrativo N2341 de 23 de abril de 2002 y en el Reglamento a la Ley de Procedimiento Administrativo para el Sistema de Regulacin Financiera SIREFI aprobado mediante Decreto Supremo N27175 de 15 de septiembre de 2003.
Circular ASFI/146/12 (10/12) Inicial Libro 3 Ttulo VII Captulo III Seccin 5 Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA BANCOS Y ENTIDADES FINANCIERAS

SECCIN 6:

DISPOSICIONES TRANSITORIAS

Artculo nico (Plazo de implementacin) Las entidades supervisadas deben adecuarse a lo determinado en el presente Reglamento en un plazo no mayor a dieciocho (18) meses, partir de su emisin.

Circular ASFI/146/12 (10/12)

Inicial

Libro 3 Ttulo VII Captulo III Seccin 6 Pgina 1/1