S

C
O
T
I nformática y sistemas
A

Políticas de Seguridad de la Información

Nivel Estándares Prácticas y Pautas

Estándares, Prácticas y Pautas comunes

Cuentas y Contraseñas

Autor: Editor: Gerencia Responsable: Autorizó publicación: Fecha de Fecha de

creación: actualización:
José Carvajal B. Marco Rossel Gerencia de Seguridad Gerencia División 29/07/2004 14/082008
de la Información Tecnología
 HISTORIAL DE REVISIONES

CONTROL DE VERSIONES

Versión Motivo Responsable Fecha

1.0 Creación Marco Rossel 29/07/2004
1.1 Revisión José Carvajal Balboa 19/12/2004
1.2 Revisión José Carvajal Balboa 14/08/2008

Categoría Estándares de Seguridad de la Información

Documento Estándar de Seguridad Cuentas y Contraseñas
Clasificación de Interna SSA
confidencialidad
Dueño Gerencia de Seguridad de la Información
Estado del documento Aprobado

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 2

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 APROBACIÓN

FIRMAS DE APROBACIÓN

Los abajo firmantes dan su aprobación al presente documento "Estándares de seguridad para cuentas y
contraseñas", que establece el marco general de los estándares que se deben aplicar para proteger la
información.

SERGIO MOYA CANTWELL

GERENTE DIVISIÓN TECNOLOGÍA

JUAN ENRIQUE IBÁÑEZ

GERENTE DE SEGURIDAD DE LA INFORMACIÓN

JOSÉ ANTONIO CARVAJAL BALBOA

JEFE PROYECTOS SEGURIDAD DE LA INFORMACIÓN

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 3

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 CONTENIDO

1 OBJETIVO

2 DEFINICIONES

3 ESTÁNDARES

4 ANEXO - Características de las cuentas y contraseñas por plataforma/aplicación

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 4

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 S
C
O
T
I nformática y sistemas
A

1 OBJETIVO

La información, datos, sistemas y recursos de procesamiento de Scotiabank pueden ser accesados, cambiados
y usados sólo para propósitos autorizados. El acceso, incluyendo el iniciado por el cliente, debe ser
autentificado de manera positiva y directa en cada servidor/aplicación y se debe basar en los principios de
mínimo privilegio de acceso y de necesidad de saber, evitando siempre los conflictos de interés.

Un componente clave en el mantenimiento de la confidencialidad e integridad de la información del banco

corresponde al proceso de control de acceso. El proceso de control de acceso más común es la autenticación
de usuario por lo cual la identidad de un individuo y la verificación del nivel de autorización de acceso a los
sistemas de aquel individuo debe estar razonablemente asegurada.

El acceso a los sistemas es normalmente concedido por la presentación de un juego de credenciales que
consisten en un código de identificación de usuario individual único y una contraseña. Más detalle se entrega en
la sección 2 Definiciones.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 5

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 S
C
O
T
I nformática y sistemas
A

2 DEFINICIONES

El control de acceso a un sistema puede realizarse de 3 formas:

• Autenticación de un sólo Factor:

Algo que uno sabe (p.ej. número personal de identificación, Contraseña)

• Autenticación de Dos factores:

Algo que uno tiene (p.ej. Tarjeta, token)
Algo que uno sabe (p.ej. número personal de identificación, Contraseña)

• Autenticación de Tres factores:

Algo que uno es (p.ej. Huella digital, Iris del ojo, ADN)
Algo que uno tiene (p.ej. Tarjeta, token)
Algo que uno sabe (p.ej. número personal de identificación, Contraseña)

La autenticación de dos factores es usada por clientes Scotiabank al utilizar la red de Cajeros Automáticos
(ATM) y al realizar una transferencia de fondos desde la página web del banco (Scotiapass).

El acceso a los sistemas internos por parte del personal de Scotiabank es el de un solo factor.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 6

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 S
C
O
T
I nformática y sistemas
A

3 ESTÁNDARES

A continuación se muestran los estándares que se debe aplicar en la creación de cuentas de usuarios y en la
conformación de una contraseña de acceso.

3.1.- Cuentas de usuario

En relación a la creación de cuentas de usuarios, y con el propósito de diferenciar los tipos de usuarios
(internos, externos de otras empresas y personal Scotiabank de otros países), se adopta el siguiente estándar:

a) Independiente del tipo de usuario, la primera parte del identificador de usuario se compondrá de la primera
letra del primer nombre más el apellido paterno. Si existen coincidencias de nombre, se utilizará la primera letra
del apellido materno.

b) Si se trata de un usuario externo de otra empresa, se debe agregar "_EX". Ejemplo Juan Carrasco à
JCARRASCO_EX. Este tipo de cuentas tendrá una fecha de expiración y su periodo máximo de vigencia será
de un año, renovables.

c) Si se trata de un empleado Scotiabank de otro país, no se usará _EX sino que se usará el código del país de
la persona. Para el código del país, se adoptó el estándar ISO 3166, el cual establece los siguientes códigos
(entre otros):
- CA: Canadá
- CR: Costa Rica
- GT: Guatemala
- MX: México
- PE: Perú
- PR: Puerto Rico
- SV: El Salvador

Ejemplo: Srta. María Cáceres de Perú --> MCACERES_PE.

d) No se permite el uso de cuentas genéricas, como por ejemplo Usuventas1, admin, contab, etc., pues la idea
es poder identificar claramente las acciones realizadas por cada usuario, en caso de requerirse. Sólo es casos
muy puntuales, se autorizará el uso de cuentas genéricas.

e) Una cuenta de usuario debe ser bloqueada después de intentos fallidos reiterativos (comúnmente al tercer
intento).

NOTA: Todo lo anterior aplica para la mayoría de las plataformas y aplicaciones del banco a menos que por
razones justificadas se adopte otro estándar. Es el caso, por ejemplo de la aplicación IBS, en la cual se utiliza
un prefijo para indicar al ambiente (PRD:Producción, DES:Desarrollo, etc.) y a continuación vienen los últimos 7
dígitos del RUT del usuario. Existen otras aplicaciones desarrolladas por externos, como por ejemplo
ScotiaImage, en que la cuenta de usuario corresponde al RUT del usuario.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 7

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
3.2.- Contraseñas

Una política de contraseñas eficaz debe ser consecuente a través de todos los sistemas operativos,
aplicaciones y componentes que requieren el acceso de usuarios. Para tal efecto, las contraseñas deben
contar con las siguientes características:

• Longitud mínima de 8 caracteres.

• Las contraseñas deben estar compuestas por una combinación de caracteres alfabéticos (mayúsculas y
minúsculas), numéricos, especiales (*, /, $, %, +, -, @, &, etc.).
• Debe existir una notificación de expiración de contraseña.
• Permitir a los usuarios cambiar su propia contraseña, y en cualquier momento.
• Las contraseñas deben expirar. Por ejemplo, cada 30 días.
• No deben reutilizarse las 12 últimas contraseñas.
• Al ingresar las contraseñas, deben ser enmascaradas (ejemplo: ********) a fin de no desplegarlas en la
pantalla de acceso al sistema.
• Donde sea posible, al momento de conectarse los usuarios debe poder ver información referente a su
última conexión.
• En la primera conexión al sistema, se debe obligar cambiar la contraseña.
• Las contraseñas no deben ser triviales. Por ello, éstas:
o No deben corresponder a meses del año, días de la semana o cualquier otro aspecto de la fecha.
o No deben tener más de dos caracteres idénticos consecutivos.
o No deben corresponder a nombres propios (de sistemas, parientes, equipos, etc.).
o Deben ser distintas a la cuenta del usuario (Username).
o Deben ser memorizadas y no anotadas.
o Deben ser muy distintas a las anteriormente utilizadas. Contraseñas como juanper1, juanper2,
juanper3, son muy fáciles de adivinar.
• Todas las contraseñas de acceso deben ser personales, intransferibles, irrenunciables y confidenciales.
• Es responsabilidad de cada persona el mantener las claves asignadas bajo su propio control y custodia. La
protección de contraseñas personales es tan importante como la selección de contraseñas.
• Las contraseñas deben ser almacenadas en forma cifrada (encriptada) por separado de aplicaciones
principales, sistemas, y datos.
• Las contraseñas por defecto de un software o aplicación deben ser cambiadas o suprimidas, luego de su
instalación.
• No se deben utilizar contraseñas fijas dentro de los códigos fuentes de los sistemas.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 8

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 S
C
O
T
I nformática y sistemas
A

4 ANEXO - Características de las cuentas y

contraseñas por plataforma/aplicación

En este anexo se mostrarán las características de las contraseñas de acceso utilizadas en las principales
plataformas y aplicaciones existentes en el Banco. Si Ud. no encuentra la plataforma/aplicación para la cual
desea conocer las características de las contraseñas utilizadas, le rogamos ponerse en contacto con la
Gerencia de Seguridad de la Información.

4.1 Plataformas
Plataform Plataform Plataform Plataform
a AS/400 a a AIX aSUN
Windows

Estándar Valor Valor Valor Valor

actual actual actual actual
Largo mínimo de la contraseña. 8 7 5 6
Las contraseñas deben estar compuestas por una Se exige SI Se exige
combinación de caracteres alfabéticos (mayúsculas y letras y letras y
minúsculas), numéricos y especiales (*, /, $, %, +, -, números. números.
@, &, etc.). Se Se
permiten permiten
caractere caractere
s s
especiale especiale
s s
Debe existir una notificación de expiración de SI SI SI SI
contraseña.
Permitir a los usuarios cambiar su propia contraseña, SI SI SI SI
y en cualquier momento.
Las contraseñas deben expirar. SI SI SI SI
No deben reutilizarse las 12 últimas contraseñas. SI SI Valida 20
últimas
semanas
Al ingresar las contraseñas, deben ser SI SI SI SI
enmascaradas.
Las contraseñas deben ser almacenadas en forma SI SI SI SI
cifrada (encriptada) por separado de aplicaciones

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 9

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
principales, sistemas, y datos.
Las cuentas se deben bloquear después de varios SI SI SI SI
intentos fallidos de conexión.

4.2 Aplicaciones
Scotiapro BAC Scotia Identity Magic DCV Factoring
image Guard

Estándar Valor Valor Valor actual Valor Valor Valor Valor

actual actual actual actual actual actual

Largo mínimo de la contraseña 8 8 8 8 10 6 6

Las contraseñas deben estar Se exige Se exige NO, pero SI SI NO NO

compuestas por una combinación letras y letras y se
números. números. permiten
de caracteres alfabéticos Se Se ingresar
(mayúsculas y minúsculas), permiten permiten letras,
numéricos y especiales (*, /, $, %, caracteres caracteres números y
+, -, @, &, etc.). especiales especiales caracteres
especiales

Debe existir una notificación de NO NO NO NO SI NO NO

expiración de contraseña
Permitir a los usuarios cambiar su SI SI SI SI SI SI NO
propia contraseña, y en cualquier
momento
Las contraseñas deben expirar SI SI SI SI SI SI NO

No deben reutilizarse las 12 últimas SI se NO se NO se Valida SI se NO NO

contraseñas valida valida valida las 8 valida
últimas

Al ingresar las contraseñas, deben SI SI SI SI SI SI SI

ser enmascaradas
Las cuentas se deben bloquear SI SI SI SI SI SI SI
después de varios intentos fallidos
de conexión.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 10

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas
 Factura Motor de Fiscalía Bancomex AML (Anti
Electrónica Pagos Money
Laundry)

Estándar Valor actual Valor actual Valor actual Valor actual Valor actual

Largo mínimo de la contraseña 3 8 6 8 8

Las contraseñas deben estar NO SI NO NO SI

compuestas por una combinación
de caracteres alfabéticos
(mayúsculas y minúsculas),
numéricos y especiales (*, /, $, %,
+, -, @, &, etc.).
Debe existir una notificación de SI NO NO NO SI
expiración de contraseña
Permitir a los usuarios cambiar su NO SI SI SI SI
propia contraseña, y en cualquier
momento
Las contraseñas deben expirar SI SI NO SI SI

No deben reutilizarse las 12 últimas Valida las SI NO SI

contraseñas 6 últimas

Al ingresar las contraseñas, deben SI SI SI SI SI

ser enmascaradas
Las cuentas se deben bloquear SI SI NO SI SI
después de varios intentos fallidos
de conexión.

Políticas de Seguridad de la Información Fecha de actualización: 14/08/2008 Pág.: 11

Nivel Estándares Prácticas y Pautas
Cuentas y Contraseñas