NORMAS

Evaluación de las solicitudes del Comité de

NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 1 de 12 PR.TI.017.V3
Control de Cambios

I. GENERALES

1. Del documento
 El diseño del contenido del presente documento será responsabilidad de (l)
la(s) área(s), responsable(s) de la ejecución de las actividades normadas a
través del mismo.
 La documentación de las normas y procesos relacionados con el presente
documento, será responsabilidad del área de Calidad y Procesos de
Bancamiga Banco Universal, C.A.
 Todas las actualizaciones que se requiera realizar en el presente documento,
deberán ser canalizadas a través del área de Procesos, previa aprobación del
Comité que corresponda de acuerdo al tipo de Macro proceso al que
responda o del área Usuaria responsable, según aplique.
 Las áreas Usuarias y áreas de Control serán responsables de la certificación de
los documentos que especifiquen lineamientos, y en caso de que requiera la
Junta Directiva es el ente facultado para aprobar dichos documentos de
acuerdo a la política vigente.
 El área de Procesos, es el área responsable de formalizar y divulgar el presente
documento, previa aprobación del área Usuario o área solicitante.
 El área de Procesos será la unidad responsable de resguardar el original del
presente documento, con las respectivas firmas de conformidad y autorización
para su implantación.
 Toda persona que participe en las normas aquí descritas será directamente
responsable de estar plenamente familiarizado con el contenido del
documento, así como de velar por el cumplimiento y actualización
permanente del mismo para ofrecer un apoyo óptimo a la gestión de las áreas
involucradas.
 Estas normas son de uso exclusivo de Bancamiga Banco Universal, C.A. por lo
tanto se deberá cuidar que su contenido se maneje internamente y de forma
confidencial, no podrá ser distribuido, copiado o dado a conocer a terceras
personas sin la previa autorización de la Institución.
 El desconocimiento de las normas aquí descritas no justifica su incumplimiento,
el mismo está sujeto a la aplicación de las sanciones establecidas de
conformidad con el reglamento interno de Bancamiga Banco Universal, C.A. y
demás instituciones que la regulan.
2. De los tipos de cambio
 El presente documento, contiene las normas que regulan el proceso de
evaluación de las solicitudes recibidas en el Comité de control de cambios
realizado en la Plataforma Tecnológica de Bancamiga Banco Universal, C.A.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 2 de 12 PR.TI.017.V3
Control de Cambios

 Los controles de cambio relacionados a la plataforma centralizada deben

realizarse en conformidad a lo establecido en el presente documento.
 Los controles de cambio relacionados a la plataforma distribuida deben
aprobarse a través de la herramienta controlador de versiones, cumpliendo
con lo establecido en el manual de usuario Aprobación del control de cambio
- GitLab, considerando el registro y la documentación de soporte establecida
en el presente documento.
 La facultad de aprobación del Comité de control de cambios, se encuentra
definida en el manual de funcionamiento del “Comité control de cambio”.
 Las áreas de control que tienen la responsabilidad de realizar la aprobación
del control de cambio a través de la herramienta de control de versiones
(plataforma distribuida), podrán solicitar la documentación soporte
relacionada a la atención del requerimiento, proyecto o incidencia, a fin de
verificar su naturaleza, para poder realizar la respectiva aprobación.
 Para los cambios en la plataforma distribuida, posterior a la ejecución de los
cambios en la herramienta de control de versiones, el área solicitante debe
entregar al área de pruebas, toda la documentación y evidencia que soporte
y justifique los cambios, a más tardar al día siguiente a su ejecución o pase a
producción, a fin de formalizar la misma, presentar al Comité de Control de
Cambios y realizar el monitoreo respectivo según aplique con la finalidad de
poder precisar preventivamente cualquier posible afectación proveniente del
cambio realizado con el fin de reducir tiempos de afectación de servicio y
continuidad operativa.
 Los cambios en la Plataforma Tecnológica de Bancamiga Banco Universal, C.A.
se clasifican de la siguiente manera:

 Estándar: cambio de bajo impacto asociado a proyectos, requerimientos,

incidencias; así como también, a solicitudes relacionadas con actividades
operativas y tareas rutinarias.
 Normal: cambio de alto, medio o bajo impacto asociado a proyectos,
requerimientos e incidencias.
 Emergencia: cambio de alto impacto para resolver una incidencia y/o
solicitud que afecta un determinado servicio y/o la continuidad del
negocio.

 Todo control de cambio de emergencia que se produzca fuera del horario

laboral (de lunes a viernes hábil de 8:00am a 5:00pm), las áreas responsables
deberán aprobar mediante correo electrónico utilizando una conexión VPN
cliente del Banco, de aplicarse el caso, o a través de contacto telefónico o
WhatsApp.
 Todo control de cambio de emergencia que se produzca fuera del horario
laboral (de lunes a viernes hábil de 8:00am a 5:00pm), el área de seguridad de
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 3 de 12 PR.TI.017.V3
Control de Cambios

la información deberá ser informada por el área ejecutora antes, durante y

después del cambio tanto si fue exitoso o fallido que siendo este último caso el
área ejecutora debe informar el motivo de la falla y las acciones a seguir para
la mitigación de la falla, con la finalidad de ser revaluado los riesgos para su
aprobación nuevamente, cambio que ya debe estar aprobado previamente
por la mencionada área.
 Para los cambios de tipo emergencia, posterior a la ejecución de los cambios,
el área solicitante debe entregar al área de Gestión de Pruebas, toda la
documentación y evidencia que soporte y justifique los cambios, a más tardar
al día siguiente a su ejecución o pase a producción, a fin de formalizar la misma
y realizar el monitoreo respectivo según aplique con la finalidad de poder
precisar preventivamente cualquier posible afectación proveniente del
cambio realizado con el fin de reducir tiempos de afectación de servicio y
continuidad operativa.

3. De los interesados
 Los interesados se refieren al personal del Banco que interactúan en el proceso
Control de Cambio:
 Área de Control: se refiere a las áreas del Banco, encargadas de normar
y controlar el proceso, a fines de garantizar que el mismo no tenga
afectación a nivel legal, financiero, procedimental, físico y lógico. Esta
área está conformada por la UAIR, el área de Auditoria Interna y el área
de Seguridad de la Información.
 Área de Procesos: es el área del Banco encargada de generar y/o
actualizar la documentación (normas, manuales, formularios, procesos,
entre otros) requerida durante la atención de solicitudes.
 Área de Gestión de Pruebas: es el área del Banco encargada de
gestionar el proceso Control de Cambio de manera que se cumpla la
formalización, verificación, evaluación e implementación de las
solicitudes de control de cambio.
 Área de Seguridad de la Información: se refiere al área del Banco
encargada de garantizar la continuidad operativa mediante los
diferentes mecanismos de control existentes en la plataforma tecnológica
de la empresa, garantizando con ello los pilares fundamentales que son
disponibilidad, integridad y confidencialidad de la información.
 Área de Tecnología: se refiere al área del Banco encargada de garantizar
que la Plataforma Tecnológica, se encuentre disponible y operativa
antes, durante y posterior a la ejecución de los cambios; dar soporte
técnico al área funcional, en caso de ser necesario.
 Área Ejecutora: se refiere a las áreas del Banco encargadas de ejecutar
los cambios en la Plataforma Tecnológica del Banco, en base a las
especificaciones registradas en el formulario “Solicitud de Control de
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 4 de 12 PR.TI.017.V3
Control de Cambios

Cambio”; presentar ante el Comité Control de Cambios el detalle de los

cambios que han sido ejecutados o de aquellos cambios planificados por
ejecutar. Esta área está conformada por Producción TI y el área de
Servicios y Demanda, ambas adscritas al área de Tecnología; así como
también, por el área de Seguridad de la Información;
 Área Funcional: se refiere a las áreas del Banco que utilizan los servicios
afectados por los cambios, así como también, son las áreas responsables
de aprobar o rechazar y garantizar la implementación de los cambios en
la Plataforma Tecnológica del Banco.
 Área Solicitante: se refiere a las áreas del Banco encargadas de formalizar
los cambios a través del formulario “Solicitud de Control de Cambio”;
gestiona la asignación del número de control de cambio; gestiona la
impresión y aprobación de las solicitudes de control de cambio y de los
documentos soporte. Esta área está conformada por el área de
Tecnología, área de Seguridad de la Información, el área de pruebas y el
área funcional, cuando así lo amerite.
 Comité Control de Cambio: equipo conformado por personal del Banco
designados como miembros del Comité, encargados de evaluar las
solicitudes de control de cambio bajo modalidad Normal y Emergencia;
así como también, aprobar o rechazar y garantizar la implementación de
los cambios en la Plataforma Tecnológica del Banco, con el fin de
satisfacer los requerimientos del área solicitante.
 Desarrollo Interno: equipo conformado por personal adscrito a las áreas
de Desarrollo de Sistemas Centralizado y Desarrollo de Sistemas Distribuido,
encargados del análisis, diseño, desarrollo, implementación y
mantenimiento de los sistemas, aplicaciones y/o programas que dan
soporte a los procesos del Banco.
 Responsable del Cambio: se refiere al área del Banco que avala y
responde respecto a la ejecución de los cambios; presenta ante el
Comité Control de Cambios el detalle de los cambios que han sido
ejecutados o de aquellos cambios planificados por ejecutar.
 Servicios Externos: proveedores contratados por Bancamiga Banco
Universal, C.A., para el desarrollo, implementación, mantenimiento,
adquisición de productos y servicios tecnológicos.
 Unidad de Administración Integral de Riesgo (UAIR): se refiere al área del
Banco, encargada de evaluar, administrar y controlar los riesgos que
pueden originarse por los cambios en la Plataforma Tecnológica.
 Usuarios Funcionales: se refiere al personal adscrito al área funcional que
utilizan los servicios afectados por el cambio, por lo cual pueden participar
en procedimientos inherentes a pruebas, certificación e incluso durante
la ejecución de los cambios.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 5 de 12 PR.TI.017.V3
Control de Cambios

4. Del proceso
 El proceso Control de Cambio se fundamenta en el Manual Regulatorio Control
de Cambio y en el Manual de Funcionamiento de Comité Control de Cambios;
ambos de Bancamiga Banco Universal, C.A.
 El proceso Control de Cambio tiene como objetivo formalizar, verificar, evaluar
e implementar los cambios bajo modalidad Estándar, Normal y Emergencia en
la Plataforma Tecnológica de Bancamiga Banco Universal, C.A.
 El proceso Control de Cambio requiere como insumos o entradas los
documentos producto de procesos previos, entre los más resaltantes: Plan de
Pase a Producción, Ejecución de Pruebas Integrales, Ejecución de Pruebas
Certificadas, Certificación de Seguridad de la Información durante las pruebas
certificadas, entre otros; descritos en la metodología establecida por el área
de pruebas de Bancamiga Banco Universal, C.A.
 Todas las solicitudes de control de cambio deben contar con las pruebas
integrales y pruebas certificadas antes de ser formalizadas.
En los casos de aplicaciones que no cuentan con los ambientes o la data para
realizar las pruebas integrales y certificadas, se realizarán pruebas post-
implementación.
 La aprobación de la solicitud de control de cambio bajo modalidad
emergencia se realiza vía correo electrónico o WhatsApp.
 Las pruebas certificadas y las pruebas post – implementación deben estar
impresas y firmadas.
 Los documentos a elaborar, actualizar, adaptar durante el proceso Control de
Cambio, deben estar ajustados a la metodología y parámetros establecidos
por el área de Procesos.
 En caso de solicitudes de control de cambio que incluyan parametrización,
ésta debe ser ejecutada de forma inmediata previa aprobación, una vez se
implemente el cambio, especialmente en solicitudes con nivel de impacto alto
y nivel de riesgo alto, las cuales pueden ocasionar fallas en el ambiente de
producción, ocasionando consecuencias legales (multas, procesos
administrativos, entre otros) para el Banco.
 A través del proceso Control de Cambio se ejecuta el proceso Plan de Pase a
Producción.

II. USUARIOS DE LAS ÁREAS EJECUTORAS (ÁREA DE PRODUCCIÓN TI, ÁREA DE

SERVICIOS Y DEMANDA Y EL ÁREA DE SEGURIDAD DE LA INFORMACIÓN)

1. Debe ser responsable de:

 Certificar a través de correo electrónico al comité de control de cambios el
éxito de los cambios realizados una vez sea notificada la implantación del
cambio.
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 6 de 12 PR.TI.017.V3
Control de Cambios

III. ADMINISTRADOR DE CONTROLES DE CAMBIOS

1. Debe ser responsable de:

 Registrar en la matriz correspondiente a controles de cambios y realiza la
presentación
 Elaborar la Minuta de la sesión del Comité de Control de Cambios realizada.
 Enviar la Minuta de la sesión del Comité de Control de Cambios al Gerente de
Gestión de Pruebas para su revisión.
 Realizar los ajustes requeridos sobre la Minuta de la sesión del Comité de Control
de Cambios elaborada.
 Generar el formulario “Presentación de Control de Cambio
 Almacenar los correos de aprobación de la minuta de reunión.
 Digitalizar minuta de sesión de Comité Control de Cambios, archivar formularios
y documentos en sus carpetas correspondientes.

IV. GERENTE DE GESTIÓN DE PRUEBAS (SECRETARIO DEL COMITÉ DE CONTROL DE

CAMBIOS)

1. Tiene la responsabilidad de:

 Verificar si hay solicitudes para el Comité de Control de Cambios, en caso de
que no existan solicitudes debe enviar correo indicando que no hay sesión
porque no hay solicitudes en la sesión.
 Recibir a través de correo electrónico de parte del área solicitante los
formularios “Solicitud de Control de Cambio”, “Plan de Pase a Producción” y los
documentos soportes aprobados por los responsables de las áreas y los
procesos involucrados, almacenar la información en base a la metodología
establecida por el área de pruebas.
 En caso de que las solicitudes de control de cambio sean de tipo Estándar,
debe:
 Notificar vía correo electrónico al área ejecutora para que implemente
los cambios bajo modalidad Estándar, indicando fecha y hora aprobada
para la realización del cambio.
 Recibir vía correo electrónico de parte del área ejecutora la notificación
de que los cambios tipo Estándar han sido ejecutados.
 En caso de que las solicitudes de control de cambio sean de tipo Emergencia,
debe:
 Solicitar vía correo electrónico al Comité Control de Cambios la
aprobación de las solicitudes de control de cambio, en base al Manual
de Funcionamiento de Comité Control de Cambios de Bancamiga Banco
Universal, C.A.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 7 de 12 PR.TI.017.V3
Control de Cambios

 Recibir vía correo electrónico de parte del Comité Control de Cambios la

aprobación para la ejecución de los cambios bajo modalidad
Emergencia.
 Notificar vía correo electrónico al área ejecutora para que implemente
los cambios bajo modalidad Emergencia, indicando fecha y hora
aprobada para la realización del cambio.
 Recibir a través de correo electrónico de parte del área ejecutora la
notificación de que los cambios tipo Emergencia han sido ejecutados.
 En caso de que las solicitudes de control de cambio sean de tipo Normal y una
vez implementados los cambios tipo Estándar y Emergencia, por el área de
pruebas debe generar el formulario “Presentación de Control de Cambio”, con
el propósito de que el área ejecutora y el responsable del cambio expliquen
en la sesión del Comité Control de Cambios, los detalles de los cambios bajo
modalidad Estándar y Emergencia que han sido ejecutados; así como
también, presentar las solicitudes de control de cambio bajo modalidad
Normal que han sido registradas y aceptadas por el área de pruebas, en pro
de ser evaluadas durante la sesión.
Para el caso de las plataformas distribuidas que se encuentran en Gitlab, solo
se notifican en el comité su ejecución ya que son aprobadas por la
herramienta.
 Registrar en la matriz correspondiente a controles de cambios y realiza la
presentación
 Realizar la convocatoria a la sesión del Comité de Control de Cambios.
 Proyectar durante la sesión del Comité Control de Cambios el formulario
“Presentación de Control de Cambio”.
 Notificar vía correo electrónico a todos los interesados en el marco de las
solicitudes de control de cambio bajo modalidad Normal, las decisiones
acordadas durante la sesión del Comité Control de Cambios. En caso de que
el Comité Control de Cambios no apruebe las solicitudes de control de cambio
tipo Normal, el área de pruebas debe proceder a notificar vía correo
electrónico a todos los interesados el motivo del rechazo y el cierre de las
solicitudes. En caso de que el Comité Control de Cambios apruebe las
solicitudes de control de cambio tipo Normal, el área de pruebas debe
proceder a notificar vía correo electrónico al área ejecutora para que
implemente los cambios bajo modalidad Normal, indicando fecha y hora
aprobada para su ejecución.
 Recibir vía correo electrónico de parte del área ejecutora la notificación de
que los cambios tipo Normal han sido ejecutados.
 Emitir la información necesaria para la elaboración de la minuta.
 Enviar vía correo electrónico a los miembros del Comité el formulario “Minuta
de Reunión” para su revisión y certificación, todo ello en un lapso no mayor a
dos (02) días hábiles posterior a la sesión. En caso de recibir observaciones a la
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 8 de 12 PR.TI.017.V3
Control de Cambios

“Minuta de Reunión”, debe proceder a actualizarla y enviarla vía correo

electrónico a los miembros del Comité nuevamente para su revisión y
certificación. En caso de no recibir respuesta por parte de los miembros del
Comité respecto a la minuta en un lapso no mayor a un (01) día hábil de
haberla enviado, debe asumirla como certificada.
 Recibir vía correo electrónico de parte del Comité Control de Cambios la
certificación del formulario “Minuta de Reunión”.
 Notificar vía correo electrónico a todas las áreas involucradas en el proceso
Control de Cambio, respecto a la implementación de los cambios. Es
obligatorio notificar a los miembros del Comité Control de Cambios el resultado
de la implementación de los cambios, independientemente hayan sido
satisfactorios o no satisfactorios. Todo ello en un lapso no mayor a un (01) día
después de ejecutado el cambio, adjuntando la documentación aprobada
tales como: Solicitud de Control de Cambio, Plan de Pase a Producción y
Notificación de Pase a Producción.

V. MIEMBROS DEL COMITÉ CONTROL DE CAMBIOS

1. Debe ser responsable de:

 Recibir vía correo electrónico y/o mensajería instantánea, de parte del área de
pruebas o área ejecutora la solicitud para aprobar las solicitudes de control de
cambio bajo modalidad Emergencia, en base al Manual de Funcionamiento
de Comité Control de Cambios de Bancamiga Banco Universal, C.A.
 Recibir vía correo electrónico y/o mensajería instantánea de parte del área de
pruebas, la notificación para aprobar las solicitudes de control de cambio en
la herramienta GitLab (plataforma distribuida), realizar la aprobación en
conformidad a lo establecido en el manual de usuario aprobación de control
de cambio – GitLab.
 En caso que algún miembro no pueda asistir a la sesión del Comité de Control
de Cambios, deberá designar con anticipación un representante de su equipo,
de manera que no se produzca la ausencia del área para las evaluaciones y
decisiones a tomar, durante dicha sesión.
 Notificar vía correo electrónico al área de pruebas respecto a la aprobación
de las solicitudes de control de cambio bajo modalidad Emergencia. Cabe
resaltar, que para aprobar las solicitudes de control de cambio las mismas
deben evaluarse en base a los criterios establecidos en el Manual Regulatorio
Control de Cambio de Bancamiga Banco Universal, C.A.
 Recibir vía correo electrónico de parte del área de pruebas la convocatoria
para asistir a sesión del Comité Control de Cambios.
 Asistir y celebrar la sesión de Comité Control de Cambios, en base al Manual
de Funcionamiento de Comité Control de Cambios de Bancamiga Banco
Universal, C.A.
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 9 de 12 PR.TI.017.V3
Control de Cambios

 Evaluar previamente la solicitud de control de cambio, comunicar a su equipo

de trabajo, a fin de mantenerlos informados y para lograr la correcta
administración y control de los riesgos asociados.
 Evaluar las solicitudes de control de cambio bajo modalidad Normal y los
documentos soporte; decidir de manera justificada y fundamentada la
aprobación o rechazo de las mismas, en base a los criterios establecidos en el
Manual Regulatorio Control de Cambio de Bancamiga Banco Universal, C.A.
 Recibir vía correo electrónico de parte del área de pruebas el formulario
“Minuta de Reunión” producto de la sesión del Comité Control de Cambios;
revisar y responder vía correo electrónico las observaciones en caso de
inconformidad o en su defecto la certificación de la misma. Todo ello en un
lapso no mayor a un (01) día hábil posterior a su recepción.
 Aprobar de forma digital el formulario “Minuta de Reunión” producto de la
sesión del Comité, en señal de conformidad.

VI. GERENTE DEL ÁREA DE SERVICIOS Y DEMANDA

1. Tendrá la responsabilidad de:

 Después de realizar cada cambio significativo en la red, actualizar el diagrama
de topología de Red que identifique todas las conexiones sistemáticas que
dispone Bancamiga Banco Universal, C.A.
 Cumplir con las medidas de seguridad y el control compensatorio, que ha sido
notificado por el área de Seguridad de la Información, para la implementación
de los servicios, protocolos, daemons o puertos inseguros, que requieren ser
habilitados.
 Contribuir a la actualización del formulario “inventario de los componentes del
sistema”, de acuerdo al requisito aplicable de la norma PCI DSS.

VII. VICEPRESIDENTE / COORDINADOR DEL ÁREA DE SEGURIDAD DE LA

INFORMACIÓN

1. Tendrá la responsabilidad de:

 Revisar y evaluar el código seguro de los sistemas y aplicaciones del Banco,
durante todo su ciclo de vida, que sean desarrolladas internamente o bien por
contratación de Servicios Externos; a fines de garantizar que se aplicaron las
técnicas de codificación segura, tales como robustez, múltiples sesiones,
certificado digital, métodos de transmisión de datos, normativas vigentes a
nivel Nacional e Internacional, entre otros. Así como también, realizar pruebas
de seguridad y validar aspectos de seguridad en accesos de los usuarios a los
sistemas y aplicaciones de Bancamiga Banco Universal, C.A.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 10 de 12 PR.TI.017.V3
Control de Cambios

 Crear los usuarios, configurar los perfiles de acceso a dichos usuarios en los
sistemas y aplicaciones del Banco y asignar a los usuarios, de acuerdo a la
tarea, clasificación y funciones a desempeñar.
 Aprobar las solicitudes de cambio que cumplan con la documentación
requerida (formularios), cumpliendo con lo establecido en el “Manual
Regulatorio Control de Cambio”.
 Recibir y aprobar las solicitudes de cambio de emergencia fuera del horario
laboral, utilizando los medios de comunicación disponibles (correo electrónico,
WhatsApp o contacto telefónico), alertando al personal de cualquier riesgo
afectación o falla operativa en los sistemas.
 En caso de encontrar alguna debilidad en cuanto a seguridad de información,
durante el proceso de control de cambio, especialmente en solicitudes con
nivel de impacto Alto o Medio, solicitar como área de control, la ampliación
de la revisión del mismo. Al recibir los sistemas o aplicaciones internas o del
proveedor (sistemas operativos, software que prestan servicios de seguridad,
terminales de POS, aplicaciones de pago, entre otros.), cambiar los valores
predeterminados y eliminar o deshabilitar las cuentas predeterminadas
innecesarias antes de ser instalado en la red.
 Aplicar sobre los sistemas y aplicaciones, las normas de alta seguridad
aceptadas para la configuración de los sistemas y componentes antes de ser
instalados en la red.
 Una vez implementado el cambio, el área de seguridad de la información
deberá:

 Aprobar y probar todos los cambios que se hayan producido en la

configuración de los firewalls, routers y conexiones de red.
 Revisar las reglas de configuración de firewalls y routers, al menos cada seis
(6) meses.
 Implementar las funciones de seguridad adicionales y el control compensatorio
para los servicios, protocolos, daemons o puertos a ser habilitados, que no se
consideren seguros, mediante el formulario "Registro de Puertos" y entregar al
área de Servicios y Demanda, para su cumplimiento, de acuerdo lo
establecido en el manual de norma y proceso "Registro de Puertos".
 Habilitar los servicios, protocolos, daemons o puertos que se consideren
necesarios para la ejecución del control de cambio.
 Después de cada cambio significativo en la red, realizar el análisis interno y
externo de las vulnerabilidades de la red, (como, por ejemplo, la instalación de
nuevos componentes del sistema, cambios en la topología de la red,
modificaciones en las reglas de firewall, actualizaciones de productos, entre
otros).

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 NORMAS
Evaluación de las solicitudes del Comité de
NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 11 de 12 PR.TI.017.V3
Control de Cambios

 Después de cada cambio significativo en la red, realizar las Pruebas de

penetración correspondiente, para identificar las vulnerabilidades y reportar las
brechas de seguridad para su mitigación, en caso de encontrarse.
 Garantizar que se mantenga actualizado el formulario “inventario de los
componentes del sistema y el inventario de sistemas y aplicaciones”, en
cumplimiento al requisito 2.4 de la norma PCI DSS.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021
 HOJA DE CONTROL DE VERSIONES

Evaluación de las solicitudes del Comité de

NO.TI.017.V3
Control de Cambios
Evaluación de las solicitudes del Comité de
Página: 12 de 12 PR.TI.017.V3
Control de Cambios

CONTROL DE EDICIÓN DEL DOCUMENTO

Nombre de Norma Evaluación de las solicitudes del Comité de Control de Cambios
NO.TI.017.V3 - Evaluación de las Solicitudes del Comité de Control de
Nombre del archivo
Cambios
Breve descripción del
Fecha Versión Elaborado Revisor
cambio realizado
Consolidación y actualización de
Área de Calidad y Gerencia de las normativas y procesos
01-08-2018 1
Procesos Calidad relacionados con Control de
Cambio.
Gerencia de QA Actualización del documento
Área de Calidad y
30-03-2020 2 y Gestión de la para incorporar las aplicaciones
Procesos
Demanda. de la normativa PCI DSS.
Anamary Arellano
/ Yesenia Ruiz /
Edgar Navas /
Actualización de la información
Jhon Sampayo /
17-05-2021 3 Ydarik Zapata para el cumplimiento de la
Jesus Garcia /
normativa PCI DSS
Carlos Jaimes /
José Perdomo /
Thomás Martinez

APROBACIÓN DEL DOCUMENTO

Fecha Versión Nº Acta Nombre del Aprobador Unidad Administrativa

04-10-2018 1 JD29.2018 Junta Directiva Junta Directiva

06-04-2020 2 JD06.2020 Junta Directiva Junta Directiva

20-05-2021 3 JD10.2021 Junta Directiva Junta Directiva

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL, C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD10.2021
USO PRIVADO PL.PF.002.V9.1117 - Normas
Fecha de aprobación: 20/05/2021