Documentos de Académico
Documentos de Profesional
Documentos de Cultura
C
O
T
I nformática y sistemas
A
Cuentas y Contraseñas
CONTROL DE VERSIONES
FIRMAS DE APROBACIÓN
Los abajo firmantes dan su aprobación al presente documento "Estándares de seguridad para cuentas y
contraseñas", que establece el marco general de los estándares que se deben aplicar para proteger la
información.
1 OBJETIVO
2 DEFINICIONES
3 ESTÁNDARES
1 OBJETIVO
La información, datos, sistemas y recursos de procesamiento de Scotiabank pueden ser accesados, cambiados
y usados sólo para propósitos autorizados. El acceso, incluyendo el iniciado por el cliente, debe ser
autentificado de manera positiva y directa en cada servidor/aplicación y se debe basar en los principios de
mínimo privilegio de acceso y de necesidad de saber, evitando siempre los conflictos de interés.
El acceso a los sistemas es normalmente concedido por la presentación de un juego de credenciales que
consisten en un código de identificación de usuario individual único y una contraseña. Más detalle se entrega en
la sección 2 Definiciones.
2 DEFINICIONES
La autenticación de dos factores es usada por clientes Scotiabank al utilizar la red de Cajeros Automáticos
(ATM) y al realizar una transferencia de fondos desde la página web del banco (Scotiapass).
El acceso a los sistemas internos por parte del personal de Scotiabank es el de un solo factor.
3 ESTÁNDARES
A continuación se muestran los estándares que se debe aplicar en la creación de cuentas de usuarios y en la
conformación de una contraseña de acceso.
En relación a la creación de cuentas de usuarios, y con el propósito de diferenciar los tipos de usuarios
(internos, externos de otras empresas y personal Scotiabank de otros países), se adopta el siguiente estándar:
a) Independiente del tipo de usuario, la primera parte del identificador de usuario se compondrá de la primera
letra del primer nombre más el apellido paterno. Si existen coincidencias de nombre, se utilizará la primera letra
del apellido materno.
b) Si se trata de un usuario externo de otra empresa, se debe agregar "_EX". Ejemplo Juan Carrasco à
JCARRASCO_EX. Este tipo de cuentas tendrá una fecha de expiración y su periodo máximo de vigencia será
de un año, renovables.
c) Si se trata de un empleado Scotiabank de otro país, no se usará _EX sino que se usará el código del país de
la persona. Para el código del país, se adoptó el estándar ISO 3166, el cual establece los siguientes códigos
(entre otros):
- CA: Canadá
- CR: Costa Rica
- GT: Guatemala
- MX: México
- PE: Perú
- PR: Puerto Rico
- SV: El Salvador
d) No se permite el uso de cuentas genéricas, como por ejemplo Usuventas1, admin, contab, etc., pues la idea
es poder identificar claramente las acciones realizadas por cada usuario, en caso de requerirse. Sólo es casos
muy puntuales, se autorizará el uso de cuentas genéricas.
e) Una cuenta de usuario debe ser bloqueada después de intentos fallidos reiterativos (comúnmente al tercer
intento).
NOTA: Todo lo anterior aplica para la mayoría de las plataformas y aplicaciones del banco a menos que por
razones justificadas se adopte otro estándar. Es el caso, por ejemplo de la aplicación IBS, en la cual se utiliza
un prefijo para indicar al ambiente (PRD:Producción, DES:Desarrollo, etc.) y a continuación vienen los últimos 7
dígitos del RUT del usuario. Existen otras aplicaciones desarrolladas por externos, como por ejemplo
ScotiaImage, en que la cuenta de usuario corresponde al RUT del usuario.
Una política de contraseñas eficaz debe ser consecuente a través de todos los sistemas operativos,
aplicaciones y componentes que requieren el acceso de usuarios. Para tal efecto, las contraseñas deben
contar con las siguientes características:
En este anexo se mostrarán las características de las contraseñas de acceso utilizadas en las principales
plataformas y aplicaciones existentes en el Banco. Si Ud. no encuentra la plataforma/aplicación para la cual
desea conocer las características de las contraseñas utilizadas, le rogamos ponerse en contacto con la
Gerencia de Seguridad de la Información.
4.1 Plataformas
Plataform Plataform Plataform Plataform
a AS/400 a a AIX aSUN
Windows
4.2 Aplicaciones
Scotiapro BAC Scotia Identity Magic DCV Factoring
image Guard
Estándar Valor actual Valor actual Valor actual Valor actual Valor actual