Requerimiento BCB-SIS-Impactos Ethical Hacking

Se deben adecuar los aplicativos, para cumplir el nivel adecuado de segurida

Objetivo

RESPONSABLE DEL PEDIDO

Cesar Ojeda REA/UNIDAD
(NOMBRE/REA)

CRITERIO CUMPLE COMENTARIOS

Multa NO
REGULATORIO NO
Fecha Lmite SI
CRITERIOS ESTRATGICOS

INGRESO NO Importe Anual

AHORRO NO Importe Anual

CALIDAD DE SERVICIO NO

EFICIENCIA Y PRODUCTIVIDAD NO
O INNOVACIN NO
T NUEVA FUNCIONALIDAD NO
R
MANTENIMIENTO NO
O En la revision realizada por CREDICORP , se dieron observaciones al c
S Ethical Hacking , en cumplimiento a la seguridad de informacin. Se a
MITIGACIN DE RIESGO SI observaciones

RESPONSABILIDAD SOCIAL NO
reas Impactadas Seguridad de la Informacin

SITUACIN ACTUAL
Con la finalidad de validar que las Aplicaciones Web tenga un nivel adecuado de seguridad y cumplimiento
de PCI de acuerdo a los activos importantes que formen parte de cada aplicacin, se realizaron Pruebas de
Penetracin de Aplicacin Web en distintos escenarios tanto externos, internos y con niveles de
conocimientos distintos.

1
 Se ejecutaron evaluaciones con usuario, sin usuario y se realizaron pruebas en ambientes de certificacin
para poder profundizar las pruebas sin afectar los ambientes de produccin.

2
El alcance de las pruebas de seguridad comprende el anlisis de vulnerabilidades y riesgos asociados a:

3
Del resultado de las pruebas se pudo identificar las siguientes vulnerabilidades en los aplicativos
mencionados:

4
 Se detallan los aplicativos que deben ser corregidos:

RESPONSABLES DE APROBA
rea
1 Seguridad de la Informacin
2
3
 Fecha SOL
adecuado de seguridad y cumplimiento de PCI.

Soluciones y Desarrollo TI PRIORIDAD

9
ENTARIOS
REGULATORIO
0

0 OTROS INGRESO

AHORRO
1
on observaciones al cumplimiento de politicas de
d de informacin. Se adjunta resumen de las

Autor Patricia Flores Bazn

FUNCIONALIDADES
Para poder cumplir y levantar las observaciones se deben realizar las siguientes adecuaciones de acuerdo a cada vul
***VUL 16
Aplicaciones Afectadas
BCP ACH
Solucin
Se deber limpiar las variables recibidas por POST y GET, a las que no sean del tipo String se les deber realizar un C
Se debern utilizar sentencias dinmicas.
***VUL 17
Aplicaciones Afectadas
1 Banca Mvil / Credinet Web
Solucin
Se deber aadir CAPTCHA a todas las aplicaciones y deber considerarse que slo debe permitir un solo intento por
implementar el WebService de Kaptcha de BCP Per que ya contempla los controles indicados.
Nota: Se debe considerar : Para Banca Movil, la implementacin de autenticacin mutua basada en certificados y pa
implementacin del captcha de IBK, posteriormente a que Per ponga en produccin el WebSerive de Captcha, consu
 ***VUL 18
Aplicaciones Afectadas
Credinet Web
Solucin
Se debe validar que el CAPTCHA slo pueda ser utilizado una vez y se genere aleatoriamente con un nivel de comple
implementar el WebService de Kaptcha de BCP Per que ya incluye todos los controles indicados.
***VUL 19
Aplicaciones Afectadas
2
Banca Mvil / BCP ACH /Swamp
Solucin
Se deber autenticar al iniciar la aplicacin la cual deber generar una sesin, en cada peticin se deber enviar el to
transaccin no se debern enviar referencias directas al nmero de celular ni nmero de cuenta. Evaluar la deshabili
publicacin de la nueva banca mvil. As mismo se deber realizar una autenticacin mutua entre aplicacin y WebSe

***VUL 20
Aplicaciones Afectadas
BCP ACH
Solucin
Todos los datos que no correspondan a las pginas dinmicas y contenido esttico debern estar ubicadas fuera de la
***VUL 21
Aplicaciones Afectadas
3 BCP ACH/Swamp/CISmart
Solucin
Se deber utilizar un canal HTTPS para toda la aplicacin, si es aplicacin interna se deber utilizar una entidad certifi
aadida como trusted.

***VUL 22
Aplicaciones Afectadas
Credinet Web
Solucin
4 Ante autenticaciones fallidas se deber mostrar un nico mensaje de error para cualquier escenario sin indicar nicam
***VUL 23
Aplicaciones Afectadas
Credinet Web / Banca Mvil
Solucin
Se debern utilizar un canal HTTPS para toda la aplicacin y redirigir de HTTP a HTTPS.
 ***VUL 24
Aplicaciones Afectadas
Credinet Web/ Nueva Banca por Internet/Banca Mvil
Solucin
Se recomienda deshabilitar los cifrados dbiles en la configuracin del servidor de aplicaciones y el protocolo SSLv3,
TLS v1.2
***VUL 25
Aplicaciones Afectadas
Credinet Web / Nueva Banca por Internet
Solucin
Se deber modificar el header Server en el servidor eliminar todos los relacionados a versiones de producto as mism
***VUL 26
Aplicaciones Afectadas
5 BCP ACH/Banca Mvil
Solucin
Se debern crear pginas personalizadas o tramas JSON ante errores en la aplicacin y deshabilitar los detalles del er
excepcin para manejo adecuado de errores.
***VUL 27
Aplicaciones Afectadas
BCP ACH/ Credinet Web
Solucin
Se deber eliminar de los servidores de produccin todo lo correspondiente a otro ambiente o archivos de prueba, eli
la aplicacin de produccin y desactivar las versiones antiguas.

SABLES DE APROBAR DOCUMENTO ESPECIFICACIONES FUNCIONALES

Nombre Completo
Cesar Ojeda Perez
 Muy Baja

REGULATORIO

OTROS INGRESO

AHORRO

ricia Flores Bazn

NCIONALIDADES
siguientes adecuaciones de acuerdo a cada vulnerabilidad:

o sean del tipo String se les deber realizar un CAST al tipo de dato correspondiente.

rarse que slo debe permitir un solo intento por imagen a validar. Se recomienda
la los controles indicados.
autenticacin mutua basada en certificados y para Credinet Web, inicialmente
a en produccin el WebSerive de Captcha, consumiremos el mismo servicio.
e genere aleatoriamente con un nivel de complejidad adecuado. Se recomienda
odos los controles indicados.

na sesin, en cada peticin se deber enviar el token correspondiente y para cada

elular ni nmero de cuenta. Evaluar la deshabilitacin del WebService por la
na autenticacin mutua entre aplicacin y WebService.

enido esttico debern estar ubicadas fuera de la raz de la aplicacin.

acin interna se deber utilizar una entidad certificadora interna la cual deber ser

error para cualquier escenario sin indicar nicamente que la tarjeta es vlida o no.

de HTTP a HTTPS.
el servidor de aplicaciones y el protocolo SSLv3, utilizar una versin ms robusta como

s relacionados a versiones de producto as mismo las cabeceras con IP y host internos.

en la aplicacin y deshabilitar los detalles del error. Se recomienda el uso de

diente a otro ambiente o archivos de prueba, eliminar toda ruta que no corresponda a

bre Completo
ar Ojeda Perez
DATOS GENERALES
IMPORTANCIA DE REQUERIMIENTO TACTICO UNI. SOLICITANTE Banca Minorista - Banca Minorista

RESPONSABLE DEL PEDIDO Pamela Alcoreza

RESPONSABLE DEL SOL Jorge Plantarosa
CODIGO NOMBRE DEL REQUERIMIENTO
FECHA SOLICITUD DEL REQUERIMIENTO 7/24/2014 FECHA APROBACIN DEL COMIT
ALCANCE BCB
RESPOSABLE DE ESTIMACION Oscar Andrade REVISOR DE ESTIMACION
NIVEL DE RIESGO Err:504 PRIORIDAD

DESCRIPCION DE LA NECESIDAD
OBJETIVO(S) ESPERADO(S) 1.- Realizar Mejoras a la aplicacin Banca Mvil
 CONFORME AL SOL
LIDER USUARIO

REAS QUE INTERVINIERON EN EL

RELEVAMIENTO.
 COMIT DE REQUERIMIENTOS
FECHA COMIT
Oscar Alberto Andrade

Gonzalesl
Luisa Amalia Cadena Torrico

De Barrero
ASISTENTES Jeanette Flores Ramirez

Luis Fernando Loza Pari

Cesar Rafael Ojeda Perez

Oscar Alberto Andrade
Gonzalesl
Luisa Amalia Cadena Torrico
De Barrero
AUSENTES Jeanette Flores Ramirez
Luis Fernando Loza Pari
Cesar Rafael Ojeda Perez
Aprobada
SOLICITUD Observada
Rechazada

145 100
19 13
T DE REQUERIMIENTOS
21 Enero 2015
Oscar Alberto Andrade Jesus Remigio Perez
Gonzalesl
Luisa Amalia Cadena Torrico
Miguel Salinas Mu oz
De Barrero
Jeanette Flores Ramirez Ronald Oscar Alfonso Torrico
Calvimontes
Luis Fernando Loza Pari Alex Jhonny Vera Chavez
Cesar Rafael Ojeda Perez
Oscar Alberto Andrade Jesus Remigio Perez
Gonzalesl
Luisa Amalia Cadena Torrico
Miguel Salinas Mu oz
De Barrero
Jeanette Flores Ramirez Ronald Oscar Alfonso Torrico

Calvimontes
Luis Fernando Loza Pari Alex Jhonny Vera Chavez
Cesar Rafael Ojeda Perez
Aprobada
Observada
Rechazada
Cumplimiento
Auditoria
Banca Empresas
Banca Minorista
Microcrdito
Seguimiento
Riesgo Operacin
Riesgos Comerciales
Riesgos Banca Minorista
Cuentas Especiales
Riesgo Mercado
Contabilidad
Tesorera y Mesa Dinero
Planeamiento Financiero y Eficiencia
Administracin
Legal Operativo
Legal Societario
Produccin e Ingeniera
Soluciones y Desarrollo TI
Crditos Banca Minorista
Gestin y Desarrollo Humano
Marketing
Procesamiento de Crditos, Firmas, Valores y
Servicios Integrales
Transacciones Financieras
Administracin de Efectivo
Punto de Reclamo
Seguridad de la Informacin
COMIT DIA MES AO
Oscar Alberto Andrade Gonzales 1 Enero 2015
Luisa Amalia Cadena Torrico De B 2 Febrero 2016
Jeanette Flores Ramirez 3 Marzo 2017
Luis Fernando Loza Pari 4 Abril 2018
Cesar Rafael Ojeda Perez 5 Mayo 2019
Jesus Remigio Perez 6 Junio 2020
Miguel Salinas Muoz 7 Julio
Ronald Oscar Alfonso Torrico Cal 8 Agosto
Alex Jhonny Vera Chavez 9 Septiembre
10 Octubre
11 Noviembre
12 Diciembre
13
14
15
16
17
18
19
20
21

22
23
24
25
26
27
28
29
30
31
Responsable SOL
Ana Luisa Carvajal Guzmn
Patricia Flores Bazn
Danny Bruno Montecinos Bailey
Max Guimer Toledo Rios
Jessica Denisse Vargas Rendon
Fabricio Rene Velasco Romero
Paola Faviana Zegada Montero