Está en la página 1de 77

2006 - Ao de Homenaje al Dr.

Ramn CARRILLO BANCO CENTRAL DE LA REPBLICA ARGENTINA

COMUNICACIN A 4609 27/12/2006 A LAS ENTIDADES FINANCIERAS, A LAS CAMARAS ELECTRNICAS DE COMPENSACIN: Ref.: Circular RUNOR 1 805 Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin Nos dirigimos a Uds. para comunicarles que esta Institucin adopt la siguiente reso lucin: 1. Aprobar las normas sobre Requisitos Mnimos de Gestin, Implementacin y Control de los Riesgos Relacionados con Tecnologa Informtica, Sistemas de Informacin y Recursos As ociados para las Entidades Financieras a que se refiere el Anexo a la presente Comunicacin . 2. Dejar sin efecto (a partir de la entrada en vigencia de la presente comunicac in) las disposiciones dadas a conocer mediante la Comunicacin A 3198 para el caso de Entidades Financiera s solamente, manteniendo su aplicacin para las Cmaras Electrnicas de Compensacin. 3. Establecer la vigencia de la nueva norma de la siguiente forma: a. A partir de la fecha de su emisin para las nuevas entidades que se autoricen. b. A partir de los 180 das corridos desde su emisin, para las Entidades Financiera s que estn autorizadas a la fecha . Saludamos a Uds. muy atentamente. BANCO CENTRAL DE LA REPUBLICA ARGENTINA Marcelo D. Fernndez Pablo L. Carbajo Gerente de Auditoria Externa Subgerente General de Anlisis de Sistemas y Auditoria ANEXO

TEXTO ORDENADO ACTUALIZADO DE LAS NORMAS SOBRE REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELA B.C.R.A. CIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS ndice Seccin 1. Aspectos generales. 1.1. Eficacia. 1.2. Eficiencia. 1.3. Confidencialidad. 1.4. Integridad. 1.5. Disponibilidad. 1.6. Cumplimiento. 1.7. Confiabilidad. Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. 2.1. Comit de Tecnologa Informtica. Integracin y funciones. 2.2. Polticas y procedimientos. 2.3. Anlisis de Riesgos. 2.4. Dependencia del rea de Tecnologa Informtica y Sistemas. 2.5. Gestin de Tecnologa Informtica y Sistemas. Seccin 3. Proteccin de activos de informacin. 3.1. Gestin de la seguridad. 3.2. Implementacin de los controles de seguridad fsica aplicados a los activos de informacin. Seccin 4. Continuidad del procesamiento electrnico de datos. 4.1. Responsabilidades sobre la planificacin de la continuidad del procesamiento de datos. 4.2. Anlisis de impacto. 4.3. Instalaciones alternativas de procesamiento de datos. 4.4. Plan de continuidad del procesamiento de datos. 4.5. Mantenimiento y actualizacin del plan de continuidad de procesamiento de dat os. 4.6. Pruebas de continuidad del procesamiento de datos. Seccin 5. Operaciones y procesamiento de datos. 5.1. Responsabilidad del rea. 5.2. Inventario tecnolgico. 5.3. Polticas y procedimientos para la operacin de los sistemas informticos y manej adores de datos. 5.4. Procedimientos de resguardos de informacin, sistemas productivos y sistemas de base. 5.5. Mantenimiento preventivo de los recursos tecnolgicos. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 1

B.C.R.A. REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS ndice 5.6. Administracin de las bases de datos. 5.7. Gestin de cambios al software de base. 5.8. Control de cambios a los sistemas productivos. 5.9. Mecanismos de distribucin de informacin. 5.10. Manejo de incidentes. 5.11. Medicin y planeamiento de la capacidad. 5.12. Soporte a usuarios. Seccin 6. Banca electrnica por diversos medios. 6.1. Controles generales. 6.2. Operatoria y control de las transacciones cursadas por cajeros automticos (A TM s). 6.3. Operatoria y control de las transacciones cursadas por medio de puntos de v enta (POS) utilizando dbito directo en cuentas con tarjetas de dbito. 6.4. Operatoria y control de las transacciones cursadas por medio de Internet (e banking). 6.5. Operatoria y control de las transacciones cursadas por medio de dispositivo s mviles, que utilicen comunicaciones de telefona celular o de redes inalmbricas de rea amplia. 6.6. Operatoria y control de las transacciones cursadas por medio de atencin tele fnica (Phone Banking). 6.7. Operatoria y control de las transacciones cursadas por medio de otros mecan ismos no contemplados en la presente normativa. Seccin 7. Delegacin de actividades propias de la entidad en terceros. 7.1. Actividades Factibles de Delegacin. 7.2. Responsabilidades propias de la entidad. 7.3. Formalizacin de la delegacin. 7.4. Responsabilidades del tercero. 7.5. Implementacin del procesamiento de datos en un tercero. 7.6. Control de las actividades delegadas. 7.7. Planificacin de continuidad de la operatoria delegada. Seccin 8. Sistemas aplicativos de informacin. 8.1. Cumplimiento de requisitos normativos. 8.2. Integridad y validez de la informacin. 8.3. Administracin y registro de las operaciones. 8.4. Sistemas de informacin que generan el rgimen informativo a remitir y/o a disp osicin del Banco Central de la Repblica Argentina. 8.5. Documentacin de los sistemas de informacin. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 2

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 1. Aspectos generales. El Directorio o autoridad equivalente de la entidad (Consejo de Administracin, en el caso de entidades financieras cooperativas, o Funcionario de primer nivel jerrquico, en el caso de sucursales de entidades financieras extranjeras) es el responsable primario del establecimi ento y la existencia de un rea que gestione la administracin y/o procesamiento de datos, sistemas o tec nologas relacionadas para todos los canales electrnicos por los que las entidades financieras realizan el ofrecimiento de sus productos y servicios. Dicha rea evidenciar una clara separacin organizacion al con relacin a los sectores usuarios de la misma. Del mismo modo, ser responsable de que existan polticas generales y planes estratgi cos de corto y mediano plazo, y de la asignacin de los recursos necesarios para la mencionada r ea. Debe estar involucrado con los aspectos generales que gobiernen la tecnologa de l a informacin y sus actividades relacionadas, los riesgos que conllevan, y evidenciar mediante d ocumentacin formal la toma de decisiones, el seguimiento y el control de lo establecido. Los procedimientos que deben llevarse a cabo para el desarrollo de la tarea y co ntrol de las reas de sistemas de informacin, los cuales involucran al Directorio, Consejo de Admini stracin o autoridad equivalente, Gerencia General, Gerencia de Sistemas de Informacin (SI) y personal de la entidad, deben estar diseados para proveer un grado razonable de seguridad en relacin con e l logrode los objetivos y los recursos aplicados en los siguientes aspectos: 1.1. Eficacia. La informacin y sus procesos relacionados, debe ser relevante y pertinente para e l desarrollode la actividad. Debe presentarse en forma correcta, coherente, comp leta y que pueda ser utilizada en forma oportuna. 1.2. Eficiencia. El proceso de la informacin debe realizarse mediante una ptima utilizacin de los re cursos. 1.3. Confidencialidad. La informacin crtica o sensible debe ser protegida a fin de evitar su uso no autor izado. 1.4. Integridad. Se refiere a la exactitud que la informacin debe tener, as como su validez acorde

con las pautas fijadas por la entidad y regulaciones externas. 1.5. Disponibilidad. Los recursos y la informacin, ante su requerimiento, deben estar disponibles en t iempo y forma. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 1. Aspectos generales. 1.6. Cumplimiento. Se refiere al cumplimiento de las normas internas y de todas las leyes y reglame ntaciones a las que estn sujetas las entidades financieras. 1.7. Confiabilidad. Los sistemas deben brindar informacin correcta para ser utilizada en la operatori a de la entidad, en la presentacin de informes financieros a los usuarios internos y en su entrega al Banco Central de la Republica Argentina y dems organismos reguladores. Todos estos aspectos deben ser aplicados a cada uno de los recursos intervinient es en los procesos de tecnologa informtica, tales como: datos, sistemas de aplicacin, tecnologa, instal aciones y personas. Las secciones siguientes de la presente norma enumeran una serie de requisitos mn imos que lasentidades financieras debern cumplir, los que sern sometidos a supervi sin por parte de la Superintendencia de Entidades Financieras y Cambiarias. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. 2.1. Comit de Tecnologa Informtica. Integracin y funciones. Las entidades financieras debern constituir un "Comit de Tecnologa Informtica" integ rado, al menos, por un miembro del Directorio o autoridad equivalente, y el responsabl e mximo del rea de Tecnologa Informtica y Sistemas. Los directores, consejeros, y funcionarios definidos en el prrafo precedente, que integren el Comit de Tecnologa Informtica, asumen, respecto de sus dems pares del rgano directivo o, si correspondiera, de la autoridad mxima en el pas, una responsabilidad primari a frente a eventuales incumplimientos a estas normas. El Comit de Tecnologa Informtica deber, entre otras gestiones: vigilar el adecuado funcionamiento del entorno de Tecnologa Informtica; contribuir a la mejora de la efectividad del mismo; tomar conocimiento del Plan de Tecnologa Informtica y Sistemas, y en caso de exist ir comentarios en relacin con la naturaleza, alcance y oportunidad del mismo, el Comit deber manifestarlos en reunin; evaluar en forma peridica el plan mencionado precedentemente y revisar su grado d e cumplimiento; revisar los informes emitidos por las auditoras relacionados con el ambiente de T ecnologa Informtica y Sistemas, y velar por la ejecucin, por parte de la Gerencia General, de acciones correctivas tendientes a regularizar o minimizar las debilidades observadas; y mantener una comunicacin oportuna con los funcionarios de la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias, en rel acin con los problemas detectados en las inspecciones actuantes en la entidad y con e l monitoreo de las acciones llevadas a cabo para su solucin. El Comit de Tecnologa Informtica deber reunirse peridicamente a fin de llevar a cabo las tareas asignadas. La periodicidad mnima de dichas reuniones ser trimestral, y en l as mismas participarn, adems de sus integrantes, los funcionarios que se consideren necesari os a fin de tratar un tema en particular. A su vez, el mencionado Comit elaborar un acta en la cual se detallarn los temas tr atados en cada reunin, as como los puntos que requerirn su seguimiento posterior. Dicha ac ta ser transcripta en un libro especial habilitado a tal efecto y se enviar al Directori

o, o autoridad equivalente, para su toma de conocimiento en la primera reunin posterior de dicho rgano. 2.2. Polticas y procedimientos. El Directorio, o autoridad equivalente, debe procurar y observar la existencia d e polticas y procedimientos para administrar el riesgo relacionado a los sistemas de informacin y la tecnologa informtica. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. Las polticas son documentos de alto nivel, que representan la filosofa de la entid ad y el pensamiento estratgico en la direccin de la misma. Para ser efectivas deben ser claramente esc ritas y concisas. Los procedimientos son documentos escritos que describen de manera secuencial la forma de ejecutar una actividad para lograr un objetivo determinado, dentro de un alcance establecido. En dichos documentos se enuncian procesos operativos, se definen responsabilidad es, se establecen los documentos (planillas, informes, registros) a emitir y controlar, y se detal lan los controles necesarios, definiendo dnde y cundo stos deben realizarse. Tanto las polticas como los procedimientos deben estar claramente escritos, forma lmente comunicados, mantenerse actualizados, establecer la asignacin de responsabilidades, y ser la base de la coordinacin y realizacin de las tareas, como as tambin el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administracin y/o procesam iento de datos, sistemas o tecnologas relacionadas de la entidad. 2.3. Anlisis de Riesgos. El Directorio, o autoridad equivalente, ser responsable de la existencia de mecan ismos de control del grado de exposicin a potenciales riesgos inherentes a los sistemas de informacin, de la tecnologa informtica y sus recursos asociados. Sern a la vez los responsables primarios de observar su continua ejecucin. Se deber evidenciar la existencia de anlisis de riesgos formalmente realizados y d ocumentados sobre los sistemas de informacin, la tecnologa informtica y sus recursos asociados. Los mismos permanecern disponibles para su revisin por parte de la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias. Los resultados de los anlisis mencionados y sus actualizaciones peridicas deben se r formalmente reportados al Directorio, o autoridad equivalente, que ser el responsable primari o de gestionar que las debilidades que expongan a la entidad a niveles de riesgo alto o inaceptable sean corregidas a niveles aceptables.

2.4. Dependencia del rea de Tecnologa Informtica y Sistemas. El rea de Tecnologa Informtica y Sistemas -o la denominacin que la entidad haya dete rminado usar para la funcin de la administracin y/o procesamiento de datos, sistemas o tec nologas relacionadas- depender a nivel organizacional, dentro de la estructura de la enti dad financiera, de un lugar tal que no genere dependencia funcional de reas usuarias de su gestin. La entidad debe notificar formalmente la designacin del responsable de rea a la Ge rencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Financieras y Ca mbiarias, cada vez que ocurra un cambio en la gestin. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. 2.5. Gestin de Tecnologa Informtica y Sistemas. 2.5.1. Planificacin. El Comit de Tecnologa Informtica y Sistemas, tendr a su cargo asegurar que los siste mas de informacin y tecnologas relacionadas concuerden con las necesidades de negocio de la entidad financiera y se alineen con los planes estratgicos de la mi sma. Se deber evidenciar la existencia de un plan de tecnologa y sistemas, formalizado y aprobado por el Directorio, o autoridad equivalente de la entidad, que soporte l os objetivos estratgicos de la misma, contenga un cronograma de proyectos y permita demostrar el grado de avance de los mismos, la asignacin de prioridades, los recursos y los sectores involucrados. 2.5.2. Control de gestin. Se evidenciar la existencia de reportes formales, que sean el resultado del contr ol ejercido por los sectores que dependen del rea Tecnologa Informtica y Sistemas. Dichos reportes servirn como base para informar a instancias superiores, y debern mantene rse, por lo menos durante 2 (dos) aos, para su control por la Gerencia de Auditora Exte rna de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias. 2.5.3. Segregacin de funciones. El rea de Tecnologa Informtica y Sistemas deber presentar una clara delimitacin de tareas entre los sectores que estn bajo su dependencia. El cuadro del punto 2.5.4. muestra, como referencia, las incompatibilidades exis tentes entre las funciones de un sector especfico, con respecto a las actividades desemp eadas por otras reas o sectores. En el cuadro, donde se indica la interseccin de dos funciones mediante la sigla NO , la entidad deber tomar medidas en la segregacin de tareas, a efectos de evitar su con centracin. Cuando en el cuadro se indica la interseccin de dos funciones mediante la sigla X , esto implica que preferentemente estas tareas no deberan recaer en un mismo sector, y en el caso de que las mismas estuviesen concentradas, debern evidenciarse claras medidas de control compensatorio. En aquellos casos excepcionales, en que por razones de imposibilidad de estructu

ra no pueda segregarse alguna de las funciones antes mencionadas, deber evidenciarse la existencia formal y documentada de controles por oposicin de intereses realizados por sectores independientes. Los mismos deben mantenerse por un plazo no inferior a 2 (dos) aos, para su posterior revisin por la Gerencia de Auditora Externa de Sistema s de la Superintendencia de Entidades Financieras y Cambiarias. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS C ON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS B.C.R. A. Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. 2.5.4. Actividades y segregacin de funciones. Incompatibilidades. Anlisis funcional / ProgramacinControl de calidadOperacionesAdministracin de resguardosImplementacionesData Entryde datosAdministracin de bases Administracin de redesAdministracin de telecomunicacionesAdministracin del sistema operativoMesa de ayudaUsuario finalAsignacin de perfilesDefinicin eimpleme ntacin depolticas, perfiles yaccesosControl y monitoreo deseguridad informtica A nl i s i s f unc i onal / P r ogr am ac i n X N O N O N O N O X X N O N O N O N O N O C ont r o l de c a l i dad X N O N O X X N O X X N O N O S I N O N O N O O per ac i ones N O N O X N O X X X X N O N O N O N O A d m i ni s t r a c i n de r e s guar dos NO NO X N O N O X N O X N O N O N O I m pl em ent ac i ones N O X X X N O N O X X N O N O N O N O Da t a E n t r y X NO N O N O NO X X X X N O N O N O A d m i ni s t r a c i n de bas es de dat os NO NO X N O N O N O X X N O N O N O N O A d m i ni s t r a c i n de r edes X X X X NO NO N O N O A d m i ni s t r ador de c o m uni c a c i ones X X X X NO NO N O N O A d m i ni s t r a c i n de s i s t em as oper at i v os NO NO X X X X X N O N O N O N O M e s a de ay uda N O N O X X X N O N O N O N O U s uar i o f i nal N O S I N O X N O N O N O N O N O N O N O N O A s i gnac i n de per f i l e s N O N O N O N O N O N O N O N O N O N O N O D e f i ni c i n e i m pl em ent ac i n de pol t i c as , per f i l e s y ac c e s o s NO NO NO N O N O N O NO NO NO NO N O N O C ont r o l y m oni t o r eo de s egur i dad i n f o r m t i c a NO NO NO N O N O N O NO NO NO NO N O N O Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 4

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 2. Organizacin funcional y gestin de tecnologa informtica y sistemas. 2.5.5. Glosario de funciones descriptas en el cuadro del punto 2.5.4.: Anlisis de sistemas / programacin: diseo y desarrollo de los sistemas aplicativos, de acuerdo con las necesidades del negocio y del usuario. Control de calidad: prueba y homologacin de software de aplicacin para la puesta e n produccin. Operaciones: gestin operativa del procesamiento de informacin y el equipamiento af ectado. Administracin de resguardos: custodia, guarda y mantenimiento de los archivos de datos y programas almacenados en distintos medios. Implementaciones: puesta en produccin de sistemas aplicativos. Data entry: recepcin y carga a los sistemas de lotes de informacin para su posteri or procesamiento. Administracin de bases de datos: definicin y mantenimiento de la estructura de los datos de las aplicaciones que utilizan este tipo de software. Administracin de redes: administracin y control tcnico de la red local. Administracin de telecomunicaciones: administracin y control tcnico de la red WAN. Administracin de sistemas operativos (system programming): mantenimiento del soft ware de sistemas operativos. Mesa de ayuda: canalizacin de respuestas a inquietudes tcnicas de los usuarios. Usuario final: aquel que hace uso de los sistemas aplicativos, y por naturaleza es el dueo de los datos. Asignacin de perfiles: vinculacin de los usuarios finales con los perfiles de las funciones que aquellos pueden realizar. Definicin e implementacin de polticas, perfiles y accesos: diseo y puesta operativa de las polticas y los procedimientos de seguridad, de la creacin y mantenimiento de los perfi les de usuario y

de la asignacin de los permisos a los activos de informacin. Control y monitoreo de seguridad informtica: seguimiento de las actividades relac ionadas con el empleo de los activos de informacin. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 5 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. 3.1. Gestin de la seguridad. 3.1.1. Dependencia del rea responsable. Las entidades financieras deben considerar en su estructura organizacional un rea para la proteccin de los activos de informacin, con el fin de establecer los mecanismos para la administracin y el control de la seguridad sobre el acceso lgico y fsico a sus distintos ambientes tecnolgicos y recursos de informacin: equipamiento principal, plataforma de sucursales, equipos departamentales, subsistemas o mdulos administradores de seguridad de los sistemas de aplicacin, sistemas de transferencias electrnicas de fondos, bases de datos, canales de servicios electrnicos, banca por Internet y otros. El responsable de la proteccin de activos de informacin gestionar la implementacin y el mantenimiento de la poltica de seguridad para los mismos, establecida por el Directorio, o autoridad equivalente de la entidad. La ubicacin jerrquica del rea deber garantizar, en forma directa, su independencia funcional y operativa de las reas de tecnologa y sistemas de informacin, del resto de las reas usuarias y de la funcin de auditora. Deben definirse, documentarse y asignarse adecuados roles para los recursos huma nos que la integran, considerando: misiones y funciones, responsabilidades, habilida des necesarias para cubrir el puesto y otros aspectos que las entidades financieras crean relev antes. Los recursos humanos que desempeen la funcin deben contar con adecuados niveles de entrenamiento en la implementacin de controles y el mantenimiento de p olticas y sanas prcticas de seguridad. 3.1.2. Estrategia de seguridad de acceso a los activos de informacin. De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben definir una estrategia de proteccin de activos de informacin, que les permita opti mizar la efectividad en la administracin y el control de sus activos de informacin. Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnolgico, su impacto en el negocio, los requerimientos y los estndares v igentes. Para ello deben asignar claramente roles y responsabilidades en materia de segur idad, comprometiendo a los mximos niveles directivos y gerenciales.

La estrategia de seguridad deber contemplar el establecimiento de mecanismos de control para la deteccin, registro, anlisis, comunicacin, correccin, clasificacin y cuantificacin de los incidentes y de las debilidades en los accesos no autorizado s a la informacin administrada en los sistemas de informacin. Se valorar que la mencionada estrategia abarque, adems de los recursos informticos propios de la entidad, a sus grupos de influencia: sistema financiero, clientes de todo tipo, proveedores de recursos y sistemas de informacin, operadores de telecomunicacione s, requerimientos de los organismos de regulacin y control, y otros entes externos vinculados directa o indirectamente. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. 3.1.3. Planeamiento de los recursos. En los ciclos de gestin de las funciones informticas, se deben considerar el plane amiento, la implementacin y el mejoramiento continuo de los procesos de administra cin y control de seguridad sobre la proteccin de activos de informacin. De acuerdo con los riesgos identificados en las metas y planes estratgicos, se de ben elaborar planes operativos que contemplen los factores crticos para un efectivo c ontrol de las aplicaciones junto con las actividades del negocio que respaldan. Dichos planes operativos tendrn en cuenta las tareas a realizar con su correspondiente asignacin de tiempos y recursos, las prioridades y la precedencia de cada una de ellas. En los nuevos proyectos informticos se deben contemplar los requerimientos de seg uridad desde sus etapas iniciales, con el objetivo de asegurar el diseo y la implementac in de apropiados controles y registros de seguridad, como as la correcta seleccin de tecnologa que haga a la solucin integral de la misma 3.1.4. Poltica de proteccin. De acuerdo con su estrategia de seguridad, las entidades financieras deben desar rollaruna poltica de proteccin de los activos de informacin. sta debe evidenciar cla ramente que es un instrumento que se utiliza para proporcionar direccin y apoyo gerencial con el objeto de brindar proteccin de los activos de informacin. Adems, identificar los recursos crticos a proteger y los riesgos internos y externos de accesos no a utorizados sobre los mismos. El Directorio, o autoridad equivalente, deber establecer una direccin poltica clara , y demostrar apoyo y compromiso con respecto a la proteccin de los activos de inform acin, mediante la formulacin, aprobacin formal y difusin de la misma a travs de toda la entidad. Deber ser implementada y comunicada a todo el personal y servir como base para el desarrollo de las normas, los manuales, los estndares, los procedimientos y las p rcticas que gobiernen los aspectos de seguridad de los sistemas de informacin, los datos y la tecnologa informtica asociada. La mencionada documentacin deber contemplar, como mnimo:

..objetivo, alcance, principios y requisitos de seguridad de acceso lgico; ..acuerdos, trminos y condiciones de confidencialidad de los datos; ..procedimientos para la implementacin de nuevos recursos y servicios de informac in; ..estndares para la clasificacin de los activos de informacin (recursos tecnolgicos, datos y ambientes fsicos); ..procedimientos para el acceso y la autenticacin de los usuarios; ..procedimientos para la generacin y distribucin de usuarios y claves de identific acin personal (contraseas, PIN, tokens, otros similares) para el ingreso a los sistema s; Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 2

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. ..sanas prcticas de seguridad para la utilizacin y seleccin de claves de identifica cin personal; ..procedimientos para la comunicacin de incidentes y debilidades relacionados con accesos no autorizados, prdidas o daos a la informacin; ..mecanismos para la asignacin y la utilizacin de los usuarios especiales y de con tingencia; ..estndares para el empleo de aquellos utilitarios que permitan el alta, la baja o la modificacin de datos operativos, por fuera de los sistemas aplicativos que los originan; ..procedimientos de control de cambios y puesta en produccin de programas; ..procedimientos para el registro y comunicacin de incidentes en materia de segur idad; ..prcticas de seguridad para la utilizacin del correo electrnico y navegacin por Int ernet; ..procedimientos para la prevencin, deteccin y eliminacin de software malicioso, ..procedimiento a seguir para la deteccin de intrusos en las redes y plataformas informticas, as como las acciones que deben implementarse luego de su deteccin; ..pautas mnimas de seguridad a contemplar en la adquisicin de nuevos recursos tecn olgicos, sistemas aplicativos y software de base, y ..toda aquella documentacin que se considere relevante de acuerdo con las caracte rsticas propias de administracin y control informtico. La poltica de seguridad y los documentos que la complementan deben someterse perid icamente a procesos de revisin y actualizacin, de acuerdo con la evaluacin de riesgos y la complejidad de la entidad financiera, asegurando la correcta implem entacin de mejores prcticas de seguridad informtica en los circuitos operativos y ambiente s computadorizados de informacin. Asimismo, la mencionada documentacin se deber reconsiderar ante la implementacin de nuevos programas y sistemas, cambios en las operaciones, actualizaciones tecnolgicas y nuevas relaciones con terceros. 3.1.4.1. Clasificacin de los activos de informacin - Niveles de acceso a los datos . Las entidades financieras deben clasificar sus activos de informacin de acuerdo con su criticidad y sensibilidad, estableciendo adecuados derechos de acceso a los datos administrados en sus sistemas de informacin. Esta clasificacin deber ser documentada, formalizada y comunicada a todas las reas de la entidad, principalmente a los propietarios de los datos. La misma puede ser parte integrante de la poltica de proteccin de los activos de informacin, o formar un documento aparte.

Los niveles de acceso deben disearse considerando los criterios de la clasificacin , junto con una adecuada separacin de tareas, determinando qu clases de usuarios o grupos poseen derechos de acceso -y con qu privilegio- sobre los datos, sistemas, funciones y servicios informticos. La asignacin de derechos de acceso debe otorgarse a travs de un proceso de autorizacin formal del propietario de los datos, verificando peridicamente los niveles y privilegios otorgados a los usuarios. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. 3.1.4.2. Estndares de acceso, de identificacin y autenticacin, y reglas de segurida d. Se deben implementar mtodos de identificacin y autenticacin para controlar el acceso lgico a los sistemas y servicios informticos, los que dependern de la criticidad y el valor de los datos a proteger, debindose considerar: .. la modificacin de las contraseas maestras y de cuentas especiales por defecto de los sistemas operativos, de los subsistemas administradores de seguridad, de las bases de datos y de las herramientas para la administracin y el control; .. el cambio obligatorio de las contraseas de acceso en el primer inicio de sesin; .. 8 (ocho) caracteres de longitud para las claves provistas a todo sistema info rmtico de la entidad; .. el control de la composicin de las contraseas (por ejemplo: caracteres alfabtico s, numricos, especiales, maysculas y minsculas); .. el registro histrico de las ltimas 12 (doce) contraseas utilizadas, evitando ser reutilizadas; .. el intervalo de caducidad automtica de las mismas a los 30 (treinta) das; .. el bloqueo permanente de la cuenta del usuario ante 3 (tres) intentos de acce so fallidos; .. la desconexin automtica de la sesin de usuario en la aplicacin y en la red por tiempo de inactividad a los 15 (quince) minutos; .. la eliminacin de las cuentas de usuario inactivas por un perodo mayor a 90 (noventa) das; .. la no utilizacin de denominaciones de usuario genrico para perfiles asignados a personas fsicas; .. tcnicas de encriptacin, con algoritmos de robustez reconocida internacionalment e, para el archivo de las contraseas; .. asignacin de contraseas para todas las cuentas; .. restriccin de accesos concurrentes; .. la identificacin nica (ID) de usuarios; .. definicin de opciones y mens para acceder a las funciones de los sistemas de informacin; .. la dinmica en la actualizacin de los derechos de acceso, revocando los usuarios que se desvincularan de la entidad y modificando los perfiles de aquellos que cambiaron de funcin; .. la permanente actualizacin de los sistemas operativos y herramientas con respecto a nuevas vulnerabilidades, y patches . Asimismo, se consideran sanas prcticas de seguridad: . el mantenimiento de la informacin codificada por mecanismos de encriptacin en los sistemas de bases de datos; . la utilizacin de adecuadas herramientas para la administracin y el control de la seguridad de acceso;

. la permanente actualizacin de las versiones de los sistemas operativos; Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 4

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. .. la deshabilitacin de los accesos remotos a los recursos de informacin; .. la utilizacin de restricciones en los das y horarios de conexin; .. la verificacin de la identidad del usuario ante solicitudes de reactivacin de cuentas; .. el uso de estndares nemotcnicos para los perfiles de acceso de usuarios, grupos y recursos de sistemas; .. el empleo de mecanismos de autenticacin biomtrica; .. la utilizacin de smart-cards como dispositivos de identificacin de accesos; .. la utilizacin de single sign-on , y .. la permanente incorporacin de prcticas y estndares reconocidos de seguridad. 3.1.4.3. Programas de utilidad con capacidades de manejo de datos - Usuarios pri vilegiados y de contingencia. Deben implementarse adecuadas restricciones para el empleo de los programas que permitan el alta, la baja o la modificacin de datos operativos por fuera de los sistemas aplicativos, en las distintas plataformas. Asimismo, deben desarrollarse mecanismos formales para la asignacin y la utilizac in de usuarios especiales con capacidades de administracin, que puedan ser usados en caso de emergencia o interrupcin de las actividades. Los usuarios definidos con estas caractersticas deben contar con adecuadas medidas de resguardo y acceso restringido. Su utilizacin ser registrada y se realizarn controles posteriores sobre los reportes de eventos, analizando la concordancia entre las tareas realizadas y el motivo por el cual se los solicit. 3.1.4.4. Registros de seguridad y pistas de auditora. Con el objeto de reducir a un nivel aceptable los riesgos internos y externos de accesos no autorizados, prdidas y daos a la informacin, se deben implementar adecuadamente: . registros operativos de las actividades de los usuarios, las tareas realizadas y las funciones utilizadas; . reportes de seguridad que registren la asignacin de claves y derechos de accesos, empleo de programas de utilidad que permitan el manejo de datos por fuera de las aplicaciones, actividades de los usuarios privilegiados, usuarios de emergencia y con accesos especiales, intentos fallidos de acceso y bloqueos de cuentas de usuario, y . reportes de auditora que registren las excepciones y actividades crticas de las distintas plataformas. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 5

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. Se deber proteger la integridad de la informacin registrada en dichos reportes, la que deber ser resguardada adecuadamente, mantenindose en archivo por un trmino no menor a 10 (diez) aos. Para ello, se utilizarn soportes de almacenamie nto no reutilizables. En caso de ser CD (Compact Disc), deber registrarse oportunamente el nmero de serie del mismo al momento de generacin y/o firmas digitales. 3.1.4.5. Alertas de seguridad y software de anlisis. Las entidades financieras deben implementar funciones de alertas de seguridad y sistemas de deteccin y reporte de accesos sospechosos a los activos de informac in, y contar con monitoreo constante de los accesos a recursos y eventos crticos, que reporten a los administradores sobre un probable incidente o anomala en los sistemas de informacin. Asimismo, se considera una sana prctica de seguridad la deteccin en tiempo real de los eventos o intrusiones, as como la utilizacin de herramientas automatizadas para el anlisis de la informacin contenida en los registros operativos, de seguridad y de auditora. De esta manera, se reducir el volumen de los datos contenidos en los reportes, minimizando los costos relacionados con su almacenamiento y tareas de revisin. 3.1.4.6. Software malicioso. Las entidades financieras deben implementar adecuados mecanismos de proteccin contra programas maliciosos, tales como: virus informticos, gusanos de red, spyware , troyanos , y otros que en el futuro puedan surgir, con el objeto de prevenir daos sobre los datos y la prdida de informacin. Deben desarrollar procedimientos de difusin a los usuarios de los sistemas de informacin y a los recursos humanos de las reas tcnicas, sobre sanas prcticas en materia de prevencin. Deben implementarse herramientas para la prevencin, deteccin y eliminacin de este tipo de software en los distintos ambientes de procesamiento, evitando su propagacin y replicacin a travs de las redes informticas, archivos y soportes de informacin. Estas herramientas deben actualizarse rutinariamente contra nuevas amenazas. Debern definirse controles de seguridad para prevenir la presencia de cdigo malicioso en archivos adjuntos a correos electrnicos y en los accesos a Internet; asimismo, se deber impedir la instalacin y utilizacin de software no autorizado. 3.1.5. Responsabilidades del rea. El rea ser responsable de observar la existencia y correcta aplicacin de los contro les considerados como prctica recomendada y de uso frecuente en la implementacin de la proteccin de los activos de informacin. Los mismos comprenden:

Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 6

4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. .. la existencia de una poltica de proteccin de los activos de informacin, correcta mente redactada, formalizada, actualizada y comunicada a toda la entidad; .. la asignacin de responsabilidades operativas en materia de administracin de la proteccin de los activos de informacin; .. la comunicacin oportuna de incidentes relativos a la seguridad, a los responsa bles propietarios de los datos; .. la existencia de procedimientos de control y monitoreo, y su aplicacin, sobre el empleo continuo de los estndares fijados de seguridad; .. la instruccin y el entrenamiento en materia de seguridad de la informacin. Adicionalmente, los controles efectuados por el rea deben establecerse formalment e a travs de reportes operativos, que permitan la supervisin continua y directa de las tareas y el anlisis del logro de las metas definidas. Estos reportes deben mantenerse en archivo por un trmino no menor a 2 (dos) aos, utilizando para ello soportes de alm acenamiento no reutilizables y preferentemente sometidos a algoritmos de funcin irreversible o como normalmente se denomina funciones hash . De acuerdo con el marco definido en la poltica de seguridad informtica, las entida des financieras deben desarrollar e implementar controles precisos, oportunos y efic aces sobre las funciones de acceso a los datos y a los recursos de informacin. 3.1.5.1. Control y monitoreo. El rea de proteccin de activos de informacin es la responsable primaria de efectuar las actividades regulares de monitoreo y controles de verificacin. La frecuencia de revisin depender del valor de la informacin administrada y del riesgo asociado a la aplicacin o servicio tecnolgico. Se deben evaluar los accesos a las funciones de administracin y procesamiento de los programas de aplicacin y sus registros de datos resultantes. Asimismo, se deben controlar especialmente los usuarios con niveles de accesos privilegiad os, su utilizacin y su asignacin. Los incidentes y debilidades en materia de seguridad deben registrarse y comunic arse inmediatamente a travs de adecuados canales de informacin, con el objeto de analizar sus causas e implementar mejoras en los controles informticos a fin de evitar su futura ocurrencia. 3.2. Implementacin de los controles de seguridad fsica aplicados a los activos de informacin.

Los recursos humanos, los equipos, los programas, los archivos y los datos que i nvolucran a las operaciones y procesos de la tecnologa de la informacin representan uno de los activos crticos de las entidades financieras. El Directorio, o autoridad equivalente, es el responsable primario por la existencia de distintos niveles de seguridad fsica en corresponde ncia con el valor, confidencialidad y criticidad de los recursos a proteger y los riesgos identific ados. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 7 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. Los datos y equipos considerados crticos deben ser instalados en ambientes confor me a estndares y normas nacionales e internacionales pertinentes, que protejan a los mismos con tra fuego, calor, humedad, gases corrosivos, acceso indebido, desmagnetizacin y todo otro tipo de evento que pueda afectarlos. El Directorio, o autoridad equivalente, debe considerar el uso de sistemas de mo nitoreo centralizado en todas las facilidades, con el objetivo de lograr un control preventivo y corr ectivo de fallas en la seguridad. Adems, se valorar la inclusin de dispositivos de video y grabacin d e eventos en aquellas reas con mayor concentracin de activos de informacin. 3.2.1. Construccin y localizacin de las instalaciones. Ser ponderado como una buena prctica en la administracin del riesgo que la localiza cin del centro de procesamiento de datos est en un rea que resulte de difcil identifica cin pblica. No deben admitirse ambientes compartidos que permitan la exposicin de las operaci ones crticas y de carcter confidencial de la entidad financiera, a personas, materiales u otro tipo agentes externos. Esas operaciones deben realizarse en ambientes segur os, con un nivel de proteccin probadamente eficaz contra las amenazas de su entorno, con el propsito de preservar la integridad de los datos y dispositivos de hardware. Las instalaciones del centro de procesamiento de datos, adems de los niveles de p roteccin fsico-ambiental adecuados, deben tener en cuenta, entre otras, las siguientes consideraciones, relevantes para los controles de seguridad fsica: . instalaciones para equipamientos de apoyo, tales como: equipos de aire acondic ionado, grupos generadores, llaves de transferencia automtica, UPS, bateras, tableros de distribucin de energa y de telecomunicaciones y estabilizadores; .. instalaciones de montaje apropiadas para los sistemas de telecomunicaciones; . instalaciones de montaje apropiadas para los sistemas de suministro elctrico, tanto primario como secundario; .. iluminacin de emergencia; . sistemas de monitoreo y control de las utilidades crticas del centro de procesa miento de datos; y, . se valorizar toda otra medida adoptada para minimizar los riesgos que afecten a

los recursos de tecnologa. 3.2.2. Acceso fsico a las instalaciones del centro de procesamiento de datos. Las instalaciones deben tener apropiados controles de acceso, por medio de los c uales se permita slo el ingreso al rea de procesamiento de datos a personal autorizado. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 8 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 3. Proteccin de activos de informacin. Se valorizar la existencia de varios niveles de acceso para los distintos recinto s del centro de procesamiento de datos, basados en las definiciones de necesidad de acceder, en relacin con la funcin o actividad primaria del personal interno o externo a la ent idad financiera que solicite el ingreso. Todos los accesos, de rutina o de excepcin, deben ser registrados por mecanismos que permitan la posterior revisin de los siguientes datos como mnimo: nombre completo, relacin (interno o externo), en caso de ser externo deber constar quin ha autorizad o el acceso, motivo, hora de ingreso y hora de egreso. 3.2.3. Mecanismos de proteccin ambiental. Los sistemas de prevencin contra incendios en los ambientes de procesamiento de d atos deben posibilitar alarmas preventivas, que tengan la capacidad de ser disparadas ante la presencia de partculas caractersticas en el recalentamiento de materiales elctri cos y otros materiales combustibles presentes en las instalaciones. Los materiales combustibles deben ser minimizados dentro del rea del centro de pr ocesamiento de datos. La mampostera, muebles y tiles deben ser constructivamente no inflamable s, y preferentemente ignfugos. Se considerarn como ventajosas la aplicacin de sanas prcticas de control para minim izar el riesgo de amenazas potenciales, la implementacin de detectores ante: robo, presencia de agua (o falta de suministro), polvo, vibraciones, sustancias qumicas , interferencia en el suministro de energa elctrica, radiacin electromagntica; y otras medidas similares. 3.2.4. Destruccin de residuos y de medios de almacenamiento de informacin Todos los documentos en papel que contengan informaciones clasificadas como crtic as deben ser triturados o destruidos, a efectos de imposibilitar su lectura, antes de ser desechados. Todos los dispositivos electrnicos que ya no se utilicen, y que hayan sido funcio nales para el almacenamiento de informacin crtica deben ser fsicamente destruidos antes d e

su desecho. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 9 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 4. Continuidad del procesamiento electrnico de datos. 4.1. Responsabilidades sobre la planificacin de la continuidad del procesamiento de datos. El Directorio, o autoridad equivalente de la entidad financiera, es el responsab le primario por la identificacin, la valorizacin, la gestin y el control de los riesgos. Debe asegurar la existencia y la provisin de los recursos necesarios para la creacin, mantenimiento y prueba d e un plan de recuperacin del procesamiento electrnico de datos. El mismo deber ser operable y funcional, acorde a los requerimientos de negocio de la entidad financiera y de los organis mos de control. Deber designarse formalmente un rea o sector, que ser responsable de la creacin, man tenimiento y prueba satisfactoria del plan de recuperacin del procesamiento electrnico de dat os. La continuidad es considerada como un proceso que se inicia con la recuperacin du rante la contingencia, y concluye con la vuelta a la normalidad una vez controladas las c ausas que generaron dicha contingencia. 4.2. Anlisis de impacto. La continuidad del procesamiento electrnico de datos, que en definitiva posibilit a la continuidad de los negocios, deber evidenciar que se han identificado los eventos que puedan ocasionar interrupciones en sus procesos crticos. Es responsabilidad del Directorio, o autoridad equivalente, observar que se haya llevado a cabo una evaluacin de riesgos para determinar el impacto de distintos eventos, tanto e n trminos de magnitud de dao como del perodo de recuperacin y la vuelta a la normalidad. Estas dos actividades deben llevarse a cabo con la activa participacin de los pro pietarios de los procesos y recursos de negocio. La evaluacin considerar todos los procesos de negocio y no se limitar slo a las instalaciones de procesamiento de la informacin, sino tambin a todos los recursos relacionados. Los resultados de la evaluacin deben ser el soporte para la seleccin de mecanismos alternativos de recuperacin y adopcin de medidas preventivas para la confeccin del plan de recup

eracin y vuelta a la normalidad del procesamiento de datos. Dichos resultados sern formalmente aprobados y tomados en conocimiento por el Dir ectorio, o autoridad equivalente de la entidad financiera, y deben estar disponibles en for ma permanente para ser auditados por la Gerencia de Auditora Externa de Sistemas de la Superint endencia de Entidades Financieras y Cambiarias. 4.3. Instalaciones alternativas de procesamiento de datos. Las instalaciones alternativas de procesamiento de datos deben atender los requi sitos mnimos establecidos por estas normas, pudiendo ser propias o de terceros. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 4. Continuidad del procesamiento electrnico de datos. El equipamiento de las instalaciones de procesamiento alternativo debe contempla r la capacidad de administracin y gestin de todos los procesos de negocios clasificados como crtic os para asegurar la actividad de la entidad financiera. En el caso en que la entidad financiera cuente con sucursales, la instalacin alte rnativa debe prever la existencia de equipamiento destinado a las telecomunicaciones para acc eder al servicio mnimo de las mismas. En caso de un siniestro o suceso contingente que torne inoperantes las instalaci ones principales, la localizacin de las instalaciones alternativas deber ser tal que no sean alcanza das por el mismo evento. Adems, debern tornarse totalmente operacionales en condiciones idn ticas, en una ventana de tiempo tal que no afecte la atencin de los clientes, ni deje a la entidad fuera del proceso de compensacin. La seleccin de la localizacin antes mencionada deber estar soportada por la evidenc ia documental de la existencia de un anlisis de riesgo de eventos simultneos, que estarn fehacien temente expresados en el mismo. 4.4. Plan de continuidad del procesamiento de datos. Se debe evidenciar la existencia de un procedimiento escrito, aprobado formalmen te, para atender a la continuidad del procesamiento de datos y actividades vinculadas, en el caso que se presenten contingencias o emergencias. El documento deber basarse en el mismo anlisis de riesgo efectuado para determinar la localizacin de las instalaciones alternativas de procesamiento de datos, enuncian do todos los posibles escenarios que haran que el plan entrara en funcionamiento. El mismo deber, como mnimo, contener lo siguiente: . Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente. Estos deben incluir disposiciones con respecto a la g estin de vnculos eficaces a establecer con las autoridades pblicas pertinentes, por ej.: entes reg uladores, polica, bomberos y otras autoridades. . Los nombres, direcciones, nmeros de telfono y "localizadores" actuales del

personal clave. . Las aplicaciones criticas y su prioridad con respecto a los tiempos de recuper acin y regreso a la operacin normal. . El detalle de los proveedores de servicios involucrados en las acciones de contingencia / emergencia. . La informacin logstica de la localizacin de recursos claves, incluyendo: ubicacin de las instalaciones alternativas, de los resguardos de datos, de los sistemas o perativos, de las aplicaciones, los archivos de datos, los manuales de operacin y documentac in de programas / sistemas / usuarios. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 2

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 4. Continuidad del procesamiento electrnico de datos. . Los procedimientos de emergencia que describan las acciones a emprender para el traslado de actividades esenciales a las ubicaciones transitorias altern ativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos. . La inclusin de los planes de reconstruccin para la recuperacin en la ubicacin original de todos los sistemas y recursos. . Todo otro recurso definido como soporte de los procesos de negocio a recuperar . 4.5. Mantenimiento y actualizacin del plan de continuidad de procesamiento de dat os. El plan de continuidad del procesamiento electrnico de datos debe mantenerse por medio de revisiones y actualizaciones peridicas para garantizar su eficacia permanente. Se debe evidenciar que existen procedimientos escritos a fin de asegurar que todo cambio en los pro cesos de negocio y en su tecnologa relacionada se reflejen en las actualizaciones sobre el plan de continuidad. Debe existir un responsable formalmente identificado para el mantenimiento y ade cuacin del plan de continuidad, al cual deber asignarse la responsabilidad de las revisiones peridicas, la identificacin de cambios y su actualizacin. Este proceso formal de control de camb ios debe garantizar que se distribuya el plan actualizado a todos los responsables involu crados en el mismo. 4.6. Pruebas de continuidad del procesamiento de datos. El plan de continuidad de procesamiento de datos debe ser probado peridicamente, como mnimo una vez al ao. Las pruebas deben permitir asegurar la operatoria integral de todo s los sistemas automatizados crticos de acuerdo con los anlisis de riesgo previos-, a efe ctos de verificar que el plan est actualizado y es eficaz. Las pruebas tambin deben garant izar que todos los miembros del equipo de recuperacin y dems personal relevante estn al corriente del plan mencionado. Deber evidenciarse la existencia de un cronograma formal de pruebas que indicar cmo debe probarse cada elemento del plan, y la fecha en la cual cada una de las pruebas d eber ser efectuada. En las pruebas deben participar las reas usuarias de los procesos de negocio, qui

enes deben verificar los resultados de las mismas. Se deber documentar formalmente su satisf accin con el resultado de la prueba como medio para asegurar la continuidad de los proceso s de negocio en caso de que ocurra una contingencia. La auditora interna de la entidad tambin d eber conformar la satisfaccin por el resultado de las mismas a tal efecto. El informe realizado por las reas usuarias y de auditora interna deber ser tomado e n conocimiento por el Directorio, o autoridad equivalente de la entidad, y mantenido en archivo para su control posterior por parte de la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. 5.1. Responsabilidad del rea. El rea de operaciones deber evidenciar la existencia de un responsable nico para la gestin, el control y el reporte de los centros productivos de procesamiento de datos, se an estos centralizados o distribuidos. La gestin operativa deber asegurar el normal funcion amiento de la infraestructura de sistemas de informacin y la tecnologa relacionada. 5.2. Inventario tecnolgico. Las entidades financieras deben contar con la capacidad de identificar sus activ os informticos y de informacin, las caractersticas, la localizacin y la criticidad e importancia d e los mismos. Sobre la base de esta informacin, las entidades financieras podrn asignar niveles de proteccin proporcionales a la importancia de los activos, realizar una continua categoriza cin de los mismos, mantenerlos actualizados y efectuar el mantenimiento preventivo de sus r ecursos fsicos. Por ello, las entidades financieras deben elaborar y mantener un inventario de l os activos asociados a cada sistema de informacin. Se debe identificar claramente cada activo, estable ciendo su propietario y su clasificacin en cuanto a seguridad. El inventario, como mnimo, debe contener los siguientes elementos: .. recursos de software: software de aplicaciones, software de sistemas, herrami entas de desarrollo y utilitarios; .. recursos de informacin: bases de datos y archivos, documentacin de sistemas, ma nuales de usuario, procedimientos operativos o de soporte, planes de continuidad, dispo siciones relativas a sistemas de emergencia; .. activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems, otros), equipos de comunicaciones (routers, firewalls, switches, encriptad ores, otros), medios magnticos (cintas, discos, resguardos varios), otros equipos tcnico s; .. servicios descentralizados en terceros: servicios informticos y de comunicacio nes, fabricas de software, otros. 5.3. Polticas y procedimientos para la operacin de los sistemas informticos y manej adores de

datos. Debe existir una adecuada planificacin, y documentacin escrita y actualizada, de l as actividades que se desarrollan normalmente en el centro de procesamiento de informacin, que d ebern incluir -como mnimo- el detalle de los procesos a realizar, los controles que se efectan, los mecanismos para el registro de los eventos y problemas, los procedimientos s obre cancelaciones y reproceso en cada una de las actividades, las relaciones con otras reas y los m ecanismos de distribucin de la informacin. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. Deben establecerse procedimientos de control para garantizar la efectiva y corre cta realizacin de cambios cuando corresponda, por ejemplo: modificaciones de programas en bibli otecas de produccin o archivos, definiciones de diccionarios de datos, rdenes de corrida de programas, etc. 5.4. Procedimientos de resguardos de informacin, sistemas productivos y sistemas de base. EL Directorio, o autoridad equivalente, es el responsable primario de la existen cia de soluciones para el almacenamiento y resguardo de datos, programas y todo otro componente de informacin relevante para las funciones de negocio, para las acciones de recuperacin del pro cesamiento de datos en caso de contingencias, de necesidades de reproceso y por requisitos de disposiciones legales y reguladoras. Deber evidenciarse la existencia de procedimientos donde est formalmente documenta da la metodologa de resguardos utilizada, las responsabilidades del personal apropiado, las prioridades de resguardo, los ciclos de rotacin, los lugares de almacenamiento, las convencio nes de rotulacin. Adems, debern establecer la frecuencia de las pruebas sobre los resgu ardos, el mecanismo de seleccin de resguardos histricos para la realizacin de las mismas, la participacin de los usuarios propietarios de los datos en ellas, y otros puntos que la entida d considere relevantes. Las pruebas de recuperacin y de integridad de los resguardos de datos deben ser f ormalizadas y debidamente documentadas. Las pruebas deben abarcar tanto resguardos actuales como histricos. Las mismas deben contemplar la antigedad y el medio de almacenamiento u tilizado. La documentacin del resultado de las pruebas debe evidenciar la participacin y con formidad por los resultados obtenidos de los usuarios propietarios de los datos. Los perodos de retencin de los resguardos de datos, programas y todo otro componen te de informacin (diarios, semanales, mensuales, etc.) deben asegurar la recuperacin de los mismos ante cualquier inconveniente de procesamiento que se presente al momento ms cerca no anterior el evento contingente.

Los procedimientos para el resguardo de datos, programas y todo otro componente de informacin deben prever, como mnimo, la generacin de 2 (dos) copias de resguardos sincronizad as, manteniendo el almacenamiento de una de ellas en una localizacin distinta a la pr imaria, ubicada a una distancia determinada de acuerdo con el anlisis de riesgos simultneo s que la entidad haya formalmente realizado. Cuando sea factible, las entidades financieras podrn desarrollar mecanismos de re dundancia automtica para los resguardos de datos (duplicado o espejado on-line), cuyo alcan ce deber abarcar tanto resguardos actuales como histricos. En dicho caso, este resguardo p odr ser considerado como una de las copias enunciadas en el prrafo anterior. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. Se debern mantener inventarios de todos los resguardos, tanto en el sitio primari o como en el secundario, con clara identificacin de su denominacin nemotcnica, el tipo de contenido, la fech a de resguardo, los ciclos de rotacin, perodos de retencin, cantidad de usos del medio, fecha esperada de destruccin, responsable del resguardo, fecha de ltima prueba del resguardo, res ponsable de la prueba, y otros datos que la entidad financiera considere relevantes. 5.5. Mantenimiento preventivo de los recursos tecnolgicos. Se deber observar la existencia de una poltica para la realizacin de mantenimiento preventivo de los recursos tecnolgicos que soportan a los sistemas de informacin y de los rec ursos relacionados. Tambin se crearn procedimientos formales para llevar a cabo dicha tarea, que conta rn con cronogramas de mantenimiento. Se deben documentar las tareas realizadas y ma ntener en archivo los reportes, como mnimo por el doble del perodo que se haya fijado par a el ciclo de mantenimiento. Los cronogramas de mantenimiento deben estar coordinados con los de produccin a f in de no impactar en la operatoria normal. Cuando las tareas de mantenimiento sean efectuadas por recursos humanos externos , deben contemplarse las medidas de control de acceso fsico enunciadas en la presente. 5.6. Administracin de las bases de datos. Las bases de datos son, en casi todos los casos, el repositorio de la informacin crtica de las entidades financieras. Las fallas en el manejo de las mismas pueden ocasionar, en forma in tencional o no, la modificacin no autorizada, la destruccin o exposicin de datos e informacin crtica. Los responsables del rea de proteccin de activos de informacin y el rea de operacion es y procesamiento de datos deben considerar cuidadosamente las implicancias en la se guridad de los sistemas administradores de bases de datos. Muchas veces, los sistemas de administracin de bases de datos (DBMS) cuentan con la posibilidad de mantener un registro de los accesos que se han realizado a las bases, en todo s sus niveles, pero son desactivados.

Sin embargo, estos sistemas brindan la posibilidad de modificar, agregar o elimi nar datos. Adicionalmente, es posible modificar derechos de acceso a los mismos, con el consecuente riesgo que esto implica cuando se ha imposibilitado el control de las actividades efect uadas sobre las bases de datos. En todos los casos se deber evidenciar la existencia de un fuerte control por opo sicin de responsabilidades en las actividades que realizan los encargados de gestionar los sistemas adminis tradores de las bases mencionadas. Los controles ejercidos deben estar en concordancia co n la frecuencia de administracin de los DBMS, ser formalmente documentados, y en ca so de no ser efectuados por el rea de proteccin de activos de informacin, deben ser reportad os a ella, en especial cuando se detecten distorsiones en el uso normal o intrusiones sobre los datos. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. Los reportes deben ser mantenidos al menos por 2 (dos) aos, a efectos de posterio res controles por parte de la Gerencia de Auditora Externa de Sistemas de la Superintendencia d e Entidades Financieras y Cambiarias. 5.7. Gestin de cambios al software de base. Se deben controlar los cambios en el software de base e instalaciones de procesa miento de informacin. Se deben establecer responsabilidades y procedimientos formalmente documentados, para garantizar un control satisfactorio de todos los cambios en el equipamiento, el software de base o los procedimientos operativos de procesamiento por lotes. Los sistemas operativo s deben estar sujetos a un control estricto de los cambios. Cuando se cambien los programas, s e debe retener un registro de auditora que contenga toda la informacin relevante. Los procedimientos deben contemplar e identificar las responsabilidades por la c ancelacin de los cambios fallidos y la recuperacin respecto de los mismos. Los cambios en el ambiente operativo pueden tener impacto en las aplicaciones. P or este motivo, se debe considerar la existencia -como mnimo- de la siguiente informacin: .. aprobacin formal de los cambios propuestos; .. identificacin y registro de los cambios significativos realizados; .. comunicacin de detalles de cambios a todas las reas pertinentes. Esta documentacin deber ser mantenida, como mnimo por 2 (dos) aos, a efecto de poste riores controles por parte de la Gerencia de Auditora Externa de Sistemas de la Superint endencia de Entidades Financieras y Cambiarias. 5.8. Control de cambios a los sistemas productivos. A fin de minimizar el riesgo de actualizaciones accidentales en el entorno produ ctivo, ingresar programas no probados y evitar accesos no autorizados a los datos, las entidades financieras deben definir un adecuado esquema de separacin entre sus ambientes informticos de procesamiento (desarrollo, prueba y produccin). Se deber asegurar que los analistas y programado res de sistemas no tengan acceso al entorno productivo, ni los operadores accedan al ambiente

ni a las herramientas utilizadas para el desarrollo y el mantenimiento de los si stemas de aplicacin, de acuerdo con el cuadro del punto 2.5.4. sobre segregacin de funciones . El proceso de actualizacin de nuevas versiones de sistemas deber ser estrictamente controlado y realizado por personal que no tenga relacin con el rea de desarrollo y mantenimi ento, mediante mecanismos que garanticen la correspondencia entre los programas "fuent es" y los programas "ejecutables". Asimismo, las nuevas versiones y las modificaciones de los programas aplicativos deben someterse a procedimientos formales de revisin, registro y aprobacin, antes de la implementa cin definitiva en el ambiente de produccin. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 4 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. En los casos de implementaciones de sistemas informticos adquiridos, desarrollado s o mantenidos por servicios externos, se deben registrar adecuadamente los cambios efectuados, verificando que todos los programas fuentes en custodia se correspondan con los programas ejecutables , antes de su puesta operativa en el ambiente de produccin. 5.9. Mecanismos de distribucin de informacin. La informacin generada por los sistemas informticos, sea sta en medios electrnicos o en copias impresas, deber contemplar los recaudos mnimos de seguridad a efectos de im pedir su difusin a personas no autorizadas. Los responsables del rea de proteccin de activos de informacin y el rea de operacion es y procesamiento de datos son responsables del anlisis y la implementacin de los cont roles necesarios para limitar la prdida de confidencialidad en la distribucin de la informacin, tant o dentro como fuera de la entidad financiera. Se valorar la aplicacin de medidas tales como: utilizacin de sobres cerrados, cofre s de seguridad para el transporte, el acceso limitado a los nichos de distribucin de listados y la seguridad en las comunicaciones de los medios que soportan informacin. 5.10. Manejo de incidentes. Se debe evidenciar la existencia de procedimientos formalmente documentados para la gestin, registro, accionar y comunicacin de anomalas de los sistemas productivos y de soft ware de base. Se deben considerar, como mnimo, las siguientes acciones: .. advertir y registrar los sntomas del problema y los mensajes que aparecen en pantalla, fecha y hora del incidente; .. dejar constancia de la comunicacin a los sectores responsables de la resolucin; .. documentar las acciones realizadas, fecha y hora de la resolucin. Asimismo, deben implementarse adecuados procesos de respuesta para garantizar qu e las personas que comunican los incidentes sean notificadas de los resultados una vez tratados los mismos. 5.11. Medicin y planeamiento de la capacidad.

El rea de operaciones y procesamiento de datos deber evidenciar la realizacin de anl isis y planificacin de capacidad, los que deben contemplar los planes estratgicos de la e ntidad financiera, la expansin de la base de clientes activos, los nuevos productos y servicios, la implementacin de nueva tecnologa y la adicin de nuevos usuarios, entre otros factores. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 5 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 5. Operaciones y procesamiento de datos. 5.12. Soporte a usuarios. Deber existir una funcin -que, de acuerdo con la complejidad que presente la entid ad financiera podr ser un rea, sector o persona- para el soporte, registro y seguimiento de los incidentes que surjan con los sistemas, la tecnologa informtica y los recursos asociados. De esta manera, se asegurar a los usuarios de los sistemas productivos, tanto internos co mo externos al centro de procesamiento de datos, que continuamente tengan disponibles y en c orrecto funcionamiento los recursos de sistemas de informacin y la tecnologa asociada que los soporta. Esta funcin deber mantener un registro con los inconvenientes que hayan surgido (p aradas de programa, fallos de sistemas, cancelacin, fallas de hardware, y todo otro tipo de incidente relevante), cuyo detalle permita identificar el tipo de problema, el recurso afe ctado, el/los usuario/ s involucrados, el tiempo de ocurrencia, la accin inmediata realizada, la derivac in a los responsables, la resolucin final de inconveniente, entre otros detalles que la en tidad financiera estime registrar. Esta documentacin deber ser mantenida como mnimo por 2 (dos) aos, a efectos de poste riores controles por parte de la Gerencia de Auditora Externa de Sistemas de la Superint endencia de Entidades Financieras y Cambiarias. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 6 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. A los efectos de la presente normativa, la banca electrnica se define como la entre ga de los productos y servicios de las entidades financieras, a travs de medios electrnicos, a los usu arios internos o externos (clientes) de la entidad. En esta definicin se involucra a las tradicionales sucursales de las entidades fi nancieras -donde la explotacin de los servicios electrnicos est destinada a usuarios internos de las mi smas- y a los accesos de clientes a los productos y servicios por medio de dispositivos electrn icos de acceso directo, tales como: cajeros automticos (ATM); dispositivos de auto-consulta; com putadores personales en lo tradicionalmente denominado home banking , aunque en la actualidad los acceso s pueden realizarse por computadores personales conectados a la Internet, desde cu alquier emplazamiento, no solo desde el hogar del cliente; asistentes digitales personales (PDA); dispo sitivos mviles de comunicacin con capacidad de navegacin por Internet (telfonos celulares, d ispositivos mviles con capacidad de conexin a Internet, otros); banca telefnica por dispositivo s de tonos, y toda otra tecnologa presente o futura que sea de aplicacin para que el usuario e xterno (cliente) acceda a los servicios ofrecidos por las entidades financieras. 6.1. Controles generales. El Directorio, o autoridad equivalente, es el responsable primario del reconocim iento y comprensin de los riesgos y amenazas que cada uno de los distintos canales por los que se o frecen productos y servicios presenta para la entidad financiera. Deber evidenciarse la existencia de anlisis de riesgos formalmente realizados para cada uno de los canales y para los servicios por ellos ofrecidos. Todos los aspectos precedentemente mencionados en la presente normativa deben se r considerados para aquellos canales por los cuales las entidades financieras ofrecen sus produ ctos y servicios. No obstante, existe un conjunto adicional de requisitos particulares para algunos de ellos que son delineados en este apartado. Independientemente del canal por el cual se ofrece el servicio, ste se conforma d e una comunicacin electrnica de datos entre el centro de procesamiento de datos y el dispositivo de

l cliente final usuario del servicio. En este sentido, toda comunicacin electrnica d eber mantener, como mnimo, los criterios de confidencialidad e integridad de los datos en trnsito . Para ello, se deber evidenciar la aplicacin de mecanismos de encriptacin de robustez rec onocida internacionalmente. El grado de especificidad y complejidad de las comunicaciones electrnicas, y la c onsecuente gestin que stas requieren, conlleva a que se aplique a las mismas la existencia de un responsable de su administracin y monitoreo permanente. Las tareas llevadas a cabo por dicho responsable deben estar formalmente documentadas. La documentacin resultante debe r ser mantenida, como mnimo durante 2 (dos) aos, a efectos de posteriores controles por parte de la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades F inancieras y Cambiarias. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. 6.2. Operatoria y control de las transacciones cursadas por cajeros automticos (A TM s). El rea o sector en el cual se haya delegado la responsabilidad sobre esta operato ria, debe evidenciar la existencia y cumplimiento de las medidas de seguridad y la aplicac in de controles especficos sobre los cajeros automticos y las transacciones que con ellos se reali zan. Entre otros que la entidad financiera estime aplicar, los siguientes son los de cumplimiento obligatorio: .. Los cajeros automticos (ATM) que conformen una red administrada por una entida d y/o por terceros, deben funcionar en un esquema de proceso en tiempo real y conexin en lne a directa (on-line), con el computador que administra la red y la base de datos que opera. .. En caso de interrupcin del vnculo entre un cajero automtico y el computador que lo opera, el cajero deber quedar fuera de servicio para todo tipo de transacciones monetari as hasta la normalizacin del proceso, no debiendo operar un ningn caso en modalidad fuera d e lnea. .. Cuando, por razones contingentes, los cajeros automticos slo estn operando en lne a con el computador de la entidad, y no con la red que los administra, ser responsabili dad de la entidad el mantenimiento y registro de todos los datos y eventos que surjan dura nte la operacin, de igual forma que se registraran en el computador de la red que los administra. .. La apertura de los cajeros automticos debe ser realizada por dos personas, dej ando constancia escrita en un acta de su participacin y del resultado de la conciliacin, balanceo de billetes, conformidad de depsitos, tarjetas retenidas, totales, diferencias si la s hubiera, etc. Este requerimiento se aplica de igual forma cuando esta actividad sea tercerizad a, y al menos uno de los responsables firmantes deber ser un funcionario de la entidad financie ra. .. En las transacciones cursadas por medio de cajeros automticos que impliquen mo vimientos de fondos, se deber emitir el comprobante correspondiente o, como mnimo, se deber d ar al usuario la opcin de su impresin. En caso de que el cajero automtico haya agotado el papel para la impresin de los comprobantes, el mismo deber quedar fuera de servici o para ese tipo de transacciones. .. Los cajeros automticos, en todos los casos, deben imprimir en tiempo real una

cinta de auditora, donde quede reflejada toda su actividad (consultas, transacciones, mensajes del software y estado de los sensores, etc.) con detalle de fecha, hora e identifica cin del cajero automtico. Preferentemente, la misma deber estar alojada en el interior del cuerpo del cajero. Estas cintas de auditora deben reunir todas condiciones de seguridad e integridad en relacin con la no alteracin del estado registrado originalmente, con el fin de garantizar su confiabilidad y mantenerse en guarda durante 10 (diez) aos y deber estar disponible e n caso de que la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Enti dades Financieras y Cambiarias lo requiera para su control. No deber utilizarse papel de transferencia trmica, pues su legibilidad se pierde c on el transcurso del tiempo. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. Se podr optar, como medio alternativo a la cinta de auditora, por la grabacin de to dos los eventos a travs de medios electrnicos y/u pticos de escritura de nica vez, como ejem plo: compact discs no reutilizables (CD). En este caso los sistemas de los cajeros au tomticos deben registrar, al momento de recambio del CD, el nmero de serie del mismo, medi ante el uso de algoritmos de funcin irreversibles (denominados de hashing ). El valor obt enido deber incluirse como un dato ms en el ticket provisto al cliente, y dentro de cada movimiento o mensaje emitido por el cajero automtico. .. Se deben registrar, en tiempo real, todas las transacciones y mensajes del si stema que administra a los cajeros automticos, para uso de los responsables del control y de la audito ra. Este registro debe reunir todas las condiciones de seguridad e integridad en rel acin con la no alteracin del estado registrado originalmente, con el fin de garantizar su con fiabilidad y conservacin durante 10 (diez) aos. Adems, deber estar disponible en caso de que la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Fina ncieras y Cambiarias lo requiera para su control. .. La operacin de los cajeros automticos por parte de los usuarios deber basarse en un sistema de identificacin de dos factores, en la actualidad tarjeta y clave de identificac in (PIN). Se deben fijar medidas para establecer apropiadamente la clave de identificacin d el cliente, con una longitud no inferior a la estandarizada internacionalmente para el uso e n cajeros automticos. .. Las claves de identificacin deben gestionarse y administrarse manteniendo su c onfidencialidad en todas las instancias. Debern estar encriptadas en todos los lugares en que se alojen o transmitan, y se restringir su acceso con apropiados y justificados niveles de seguridad. .. Los programas, los archivos y los medios magnticos que contengan frmulas, algor itmos y datos utilizados en la generacin de la clave de identificacin para ser utilizada e n los cajeros automticos deben estar sujetos a medidas de seguridad que garanticen la confidenc ialidad y no divulgacin de los mismos. .. Los procedimientos utilizados para el embozado de tarjetas y la generacin de l

as claves de identificacin personal deben contemplar una adecuada separacin de funciones, a fin de no concentrar en un mismo sector o funcionario ambas actividades. Adems, debe evitar se que permanezcan en un mismo sitio, o en poder de un mismo responsable, ambas partes. .. En aquellos casos que por cualquier causa una tarjeta sea retenida por un ATM , la entidad responsable de este ltimo deber regularizar la situacin planteada ante la entidad e misora de la tarjeta, en el lapso de 48 horas. Una vez producido esto, el cliente dispo ndr de 20 das hbiles para retirar la misma. Transcurrido dicho lapso, la tarjeta deber ser destr uida y se confeccionarn los registros pertinentes que evidencien la correcta destruccin d e la misma. Esto ltimo es aplicable tambin para aquellas situaciones en que la entidad haya emitido una tarjeta de dbito y el cliente no la haya retirado dentro del menciona do plazo, el cual se computar a partir de su puesta a disposicin. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 3

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. .. Los procesos de generacin e impresin de las claves de identificacin personal deb en asegurar que las mismas no aparezcan impresas, ni puedan ser visualizadas y/o asociadas a l nmero de cliente, cuenta y tarjeta, a fin de garantizar su estricta confidenciali dad. .. Las claves de identificacin personal y las tarjetas no deben ser entregadas en forma conjunta, deben formar parte de procedimientos separados. En caso de que la entidad financ iera utilice terceras partes para la distribucin de las mismas, ser la responsable de c ontrolar que stas no queden en depsito del proveedor de los servicios de entrega en forma c onjunta. .. Los sistemas de seguridad, aplicativos y operativos que operen con los cajero s automticos y requieran el ingreso de la clave de identificacin personal, deben restringir el acceso del cliente despus de tres intentos de acceso fallido. Slo deben reactivarlo por solic itud del titular de la cuenta asociada a la clave de identificacin personal, comprobando fehacient emente su identidad en forma previa. La reactivacin deber basarse en la asignacin de una nueva clave de identificacin personal, con la obligatoriedad de que el usuario de l sistema la cambie una vez ingresada. La asignacin de la nueva clave deber seguir los procedim ientos de seguridad, y no podr ser comunicada verbalmente al usuario. .. Cada operacin realizada por los cajeros automticos debe tener asociada un nmero de transaccin, el cual deber ser informado en el comprobante que recibe el usuario. Toda prctica aplicada a efectos de mejorar la seguridad y la confianza de los sis temas de cajeros automticos, y la identificacin y autenticacin de los usuarios, como el uso de tarje tas inteligentes, identificacin biomtrica u otra tecnologa relacionada, ser valorizada a sus efectos. 6.3. Operatoria y control de las transacciones cursadas por medio de puntos de v enta (POS) utilizando dbito directo en cuentas con tarjetas de dbito. La operatoria realizada por medio de puntos de venta (POS) con el uso de las tar jetas de dbito en cuenta, conllevan un importante nivel de riesgo operacional. Para minimizar l a exposicin al mismo, se deben aplicar las siguientes medidas de seguridad: .. Las entidades deben requerir a los comercios asociados a la red de puntos de venta que soliciten al cliente la presentacin de su documento de identidad, a efectos de verificar la

correspondencia con el titular de la tarjeta de dbito. .. La tarjeta de dbito, habilitada para realizar compras a travs de puntos de vent a, deber permitir la asociacin de una clave de identificacin personal distinta a la utiliza da para el resto de los canales electrnicos (cajeros automticos, banca por Internet, otros). Las transacciones de compra deben, en todos los casos, requerir el ingreso de la clave de identificacin personal, y se emitir un comprobante que deber ser firmado por el tit ular de la tarjeta, quedando una copia en poder del mismo. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 4 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. .. Los sistemas de seguridad, aplicativos y operativos que operen con los sistem as de punto de venta, deben restringir el acceso para la realizacin de transacciones despus de tr es intentos de acceso fallido. Slo deben reactivarlo por solicitud del titular de la cuenta a sociada a la clave de identificacin personal, comprobando fehacientemente su identidad en f orma previa. .. Se deben registrar, en tiempo real, todas las transacciones y mensajes del si stema que administra los puntos de venta, para uso de los responsables del control y de la auditora. E ste registro debe reunir todas condiciones de seguridad e integridad en relacin con l a no alteracin del estado registrado originalmente, con el fin de garantizar su confiabilidad. Se conservar durante 10 (diez) aos, y deber estar disponible en caso de que la Gerencia de Audi tora Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias lo requiera para su control. 6.4. Operatoria y control de las transacciones cursadas por medio de Internet (e -banking). Dada la naturaleza de la exposicin de Internet, ste es uno de los canales que repr esenta mayor nivel de riesgo. Por ello, es relevante que las entidades financieras consideren polticas y prcticas adecuadas para la gestin del mismo. En este apartado se detalla un conjunto de medidas mnimas de seguridad y control, adicionales a las ya especificadas en esta normativa, cuya aplicacin permanente la entidad de ber evidenciar. stas son: .. Se aplicarn mecanismos de seguridad para delimitar la red interna de la entida d y la red externa, y controlar la no existencia de intromisiones indeseadas a los sistemas internos de las entidades financieras, mediante la utilizacin de barreras (firewalls), sistemas d e deteccin de intrusos, tanto a nivel de red, de servidores, como al procesador de datos ce ntral, y sistemas de deteccin de virus. Se valorizar que todo dispositivo de control de trfico de red y de deteccin cuente con capacidad de registro de actividad. Dicho registro deber evidenciar la realizacin de control es por los responsables designados para tal fin.

.. Toda tecnologa utilizada a efectos de ofrecer servicios Web para los usuarios externos (clientes o potenciales), deber evidenciar las mismas medidas de seguridad fsica y lgica expresadas en los apartados correspondientes de la presente normativa. Ser valora do que las entidades financieras apliquen medidas de seguridad y control adicionales a las requeridas por esta normativa, acordes a los anlisis de riesgos realizados para la actividad desarrollada por este canal. .. Deben contar con diagramas detallados de la infraestructura tecnolgica utiliza da para los servicios de e-Banking, donde quedar claramente evidenciada la utilizacin de prest adores de servicios relacionados a Internet. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 5

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. .. La pgina Web de las entidades financieras, con la que se brindan los servicios a los usuarios externos, deber: . informar claramente cual es la poltica de seguridad con que la entidad opera; . enunciar claramente cual ser la ventana de tiempo en la cual se puede operar con los servicios y productos bancarios; . cuando se utilicen enlaces a otras pginas Web, informar al usuario que est abandonando la pgina Web de la entidad financiera y que no se tiene responsabilid ad sobre la pgina Web en la cual se est por ingresar. .. Se valorizar la utilizacin de entidades certificadoras a efectos de que los usu arios externos puedan certificar la validez del sitio Web de la entidad financiera; .. Todo acceso a funciones monetarias (sean stas de consulta o transaccionales) e n la banca por Internet, debe basarse en la utilizacin de una identificacin de usuario y una clave de identificacin personal distinta a la utilizada en otros canales de banca electrnic a. Sus caractersticas deben ser, como mnimo, las enunciadas en el apartado de Estndares de acceso, de identificacin y autenticacin, y reglas de seguridad . .. Se valorizar la utilizacin de mecanismos de autenticacin de los usuarios y de no repudio de las transacciones, tales como: certificados digitales de usuarios, tarjetas i nteligentes para el acceso, dispositivos biomtricos, teclados virtuales, entre otros que determine la entidad. .. Reafirmando la naturaleza de ser la banca por Internet un entorno sin papeles , las entidades deben poseer registros lgicos de toda la actividad realizada por los usuarios ext ernos. Estos registros deben ser resguardados en carcter de histricos y por un trmino no menor a 10 (diez) aos. .. Las entidades financieras deben contar con planes de continuidad de operacion es, como los requeridos en la presente normativa, que involucren las acciones de recuperacin d e los servicios ofrecidos a los usuarios externos por medio de Internet. Se valorizar, adicionalmente, la implementacin de una infraestructura tecnolgica con replicacin de sus com ponentes, a efectos de ofrecer un servicio a los usuarios por Internet sin paradas (Non St op Service) . .. En el caso de que las entidades financieras hayan decidido delegar en tercero s actividades de hosting, housing, o incluso la actividad total de e-Banking, sern responsables directos por exigir a los terceros la existencia de planes de continuidad de procesamient

o de datos y servicios por Internet. Adems, debern asegurarse de que dichos planes sean formal e integralmente probados, con los mismos requisitos que se expresan en la Seccin 4. Versin: 1a. COMUNICACIN A 4609 Vigencia: 27/12/2006 Pgina 6

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. 6.5. Operatoria y control de las transacciones cursadas por medio de dispositivo s mviles, que utilicen comunicaciones de telefona celular o de redes inalmbricas de rea amplia. En adicin a los requerimientos enunciados en el punto 6.4., las entidades financi eras que ofrezcan servicios por medio del canal denominado como Banca Mvil (m-Banking), debe n contemplar los siguientes aspectos: .. Asegurar la confidencialidad de los datos que se comunican por medio de las r edes de comunicacin inalmbrica y redes de comunicacin de telefona celular, por medio de encriptacin extremo a extremo. .. Con el objeto de mantener la encriptacin mencionada, debern evidenciar la aplic acin de controles permanentes a efectos de asegurar que no se empleen dispositivos de co nversin (gateways) que apliquen desencriptacin de datos y exposicin de los mismos. 6.6. Operatoria y control de las transacciones cursadas por medio de atencin tele fnica (Phone Banking). Las operatorias y transacciones que las entidades financieras ofrezcan por medio de atencin telefnica, no podrn basarse en la comunicacin oral de datos crticos de los usuarios, como las claves de seguridad relacionadas con cualquiera de los sistemas de identific acin, o cualquier otro dato que requiera medidas de confidencialidad. En ningn caso, la clave de id entificacin personal -en su totalidad o partes que la compongan- podr ser visualizada por el operador que atiende o monitorea la llamada. Por cada transaccin realizada a travs de este canal, se deber proveer al usuario el nmero de transaccin registrado y, en caso de atencin personalizada, la identificacin del operador interviniente. Para toda transaccin de ndole monetaria o vinculada con la gestin de claves de segu ridad, se deben registrar en tiempo real toda la informacin cursada por este medio, para uso de los responsables del control y de la auditora. Este registro debe reunir todas condic iones de seguridad e integridad en relacin con la no alteracin del estado registrado originalmente, c on el fin de garantizar su confiabilidad. Adems, se conservar durante 10 (diez) aos y deber es tar disponible en caso de que la Gerencia de Auditora Externa de Sistemas de la Super

intendencia de Entidades Financieras y Cambiarias lo requiera para su control. Se valorizar como conveniente el uso de sistemas de grabacin en el transcurso de l a gestin telefnica. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 7 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 6. Banca electrnica por diversos medios. 6.7. Operatoria y control de las transacciones cursadas por medio de otros mecan ismos no contemplados en la presente normativa. De surgir otro canal -no contemplado en las presentes normas- por el cual la ent idad financiera decidiera ofrecer sus productos y servicios, el mismo deber ser considerado por e l Directorio, o autoridad equivalente de la entidad financiera, con el fin de tomar conocimien to de los posibles riesgos e instrumentar la aplicacin de todas las medidas de seguridad y control c onducentes a minimizar su exposicin. Se deber remitir a la Gerencia de Auditora Externa de Sistemas de la Superintenden cia de Entidades Financieras y Cambiarias, con no menos de 90 das de antelacin a la imple mentacin, la informacin relacionada al proyecto de desarrollo del nuevo canal. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 8 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 7. Delegacin de Actividades Propias de la Entidad en Terceros. 7.1. Actividades factibles de delegacin. Las entidades financieras podrn delegar en terceros actividades vinculadas a la a dministracin y/o procesamiento de datos, sistemas o tecnologas relacionadas, en las condicione s fijadas por la Comunicacin CREFI 2 en su Captulo II, Seccin 6, o posteriores modificaciones. Las condiciones normativas y reguladoras sern exigibles y aplicables de igual for ma cuando las actividades se realicen en dependencias de terceros. No podrn delegarse actividades con proveedores que a su vez tengan contratada la funcin de auditora interna y/o externa de las mismas. 7.2. Responsabilidades propias de la entidad. El Directorio, o autoridad equivalente de la entidad financiera, debe establecer y aprobar formalmente polticas basadas en un previo anlisis de riesgos, con el fin de gestionar eficient emente el proceso de delegacin de actividades que le son propias, vinculadas a la administracin y/o procesamiento de datos, sistemas o tecnologas relacionadas. La delegacin de las actividades antes mencionadas, nunca debe entenderse como tra nsferencia de las responsabilidades primarias enunciadas en la presente normativa. Las polticas deben reconocer el nivel de riesgo al que se expone la entidad finan ciera en las relaciones de delegacin de actividades en terceros. Las mismas deben ser apropiad as al tamao y complejidad de las actividades delegadas. Para toda actividad vinculada a la administracin y/o procesamiento de datos, sist emas o tecnologas relacionadas, deber evidenciarse la existencia de contratos que definan clarament e el alcance de los servicios, las responsabilidades y acuerdos sobre confidencialida d y no divulgacin. En los casos de entidades que cuenten con servicios de tecnologa delegados a terc eras partes, el control de la gestin de las facilidades para la proteccin de activos de informa cin debe ser realizado con recursos propios, ya sea en locacin de la entidad o en locacin d el tercero. 7.3. Formalizacin de la delegacin.

Los contratos deben fijar como mnimo: el alcance de las actividades; los niveles mnimos de prestacin de servicios y su tipo; la participacin de subcontratistas; los derechos a realizar auditoras por parte de la entidad; compromisos de confidencialidad; los mecanismos de reso lucin de disputas; la duracin del contrato; clusulas de terminacin del contrato; los meca nismos de notificacin de cambios en el control accionario y en los cambios de niveles ge renciales; el procedimiento por el cual la entidad pueda obtener los datos, los progra mas fuentes, los manuales y la documentacin tcnica de los sistemas, ante cualquier situacin que pudi era sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 7. Delegacin de Actividades Propias de la Entidad en Terceros. Adems, los contratos deben establecer claramente la inexistencia de limitaciones para la Superintendencia de Entidades Financieras y Cambiarias, en cuanto a: el acceso a los datos, la revisin y tenencia de toda documentacin tcnica relacionada (diseo de archivos, tipo de organizacin, etc.) y a la realizacin de auditoras peridicas en las instalaciones del proveedor, a fin de verificar el cumplimiento de todos los aspectos contemplados en estas nor mas. 7.4. Responsabilidades del tercero. Los terceros, en los cuales se hayan delegado actividades vinculadas a la admini stracin y/o procesamiento de datos, sistemas o tecnologas relacionadas, deben mantener la apl icacin de las pautas mnimas establecidas en las presentes normas. 7.5. Implementacin del procesamiento de datos en un tercero. La delegacin de las actividades vinculadas a la administracin y/o procesamiento de datos, sistemas o tecnologas relacionadas, deben evidenciar una clara separacin de activi dades, en aquellos casos en que el tercero brinde servicios a mltiples organizaciones, ya s ean entidades financieras o de otro tipo de negocio. La gestin y la guarda de los datos de una entidad financiera evidenciarn una separ acin lgica y/o fsica de los datos de otra organizacin. Los sistemas de administracin de la seguridad de los datos, y de los programas re lativos a una entidad financiera, tendrn un entorno de seguridad individual que pueda ser contr olado y monitoreado exclusivamente por los responsables indicados por la propia entidad financiera. 7.6. Control de las actividades delegadas. El Directorio, o autoridad equivalente de la entidad, es el responsable primario sobre el control y monitoreo continuo del cumplimiento de los niveles de servicios acordados, el ma ntenimiento de confidencialidad de la informacin y de todos los aspectos normados por la pres ente comunicacin para las actividades que hayan sido delegadas. El control y monitoreo debern mostrar una continuidad en su ejecucin, relacionada con el nivel de riesgos que la entidad haya analizado y asumido. Debern existir planes de ejec ucin de controles y documentacin formalizada de los mismos, como as tambin de los requerimi

entos de mejoras solicitados al tercero, en caso de incumplimientos. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 7. Delegacin de Actividades Propias de la Entidad en Terceros. 7.7. Planificacin de continuidad de la operatoria delegada. El Directorio, o autoridad equivalente de la entidad, es el responsable primario en establecer la existencia de un plan de continuidad de las actividades delegadas en terceros, a los fines de no cesar con las actividades normales de la entidad financiera y asegurar la contin uidad de los servicios ante cualquier situacin que pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios. Asimismo, el Directorio, o autoridad equivalente de la entidad, es responsable d e asegurar que el proveedor de servicios cuente con un adecuado plan de recuperacin del procesam iento de datos, acorde a los requerimientos de negocio de la entidad y los niveles de rie sgo asumidos por la misma. Este plan deber ser probado en forma integral con frecuencia anual, la gerencia de la entidad deber asegurar su resultado satisfactorio, y mantener documentacin f ormal de las pruebas realizadas. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 8. Sistemas aplicativos de informacin. 8.1. Cumplimiento de requisitos normativos. Las entidades financieras deben considerar, en el diseo de los sistemas aplicativ os que procesan su informacin comercial y de gestin, la implementacin de apropiados controles segn los requerimientos legales y reguladores vigentes, establecidos en las distintas comunicaciones emitidas por el Banco Central de la Repblica Argentina. Los requisitos mnimos de gestin, implementacin y control de tecnologa informtica para los sistemas de informacin que se detallan en los siguientes puntos son aplicables a todas las entidades financieras, independientemente del tamao, estructura, volumen y naturaleza de su s procesos de negocios. Asimismo, no son excluyentes de todos aquellos mecanismos adicionales que las entidades consideren que deben formar parte de su estrategia de administ racin y control informtico. 8.2. Integridad y validez de la informacin. En los sistemas aplicativos de informacin se deben implementar controles automati zados que permitan minimizar errores en la entrada de datos, en su procesamiento y consoli dacin, en la ejecucin de los procesos de actualizacin de archivos y bases, y en la salida de la informacin. Los datos que se registren en los sistemas deben ser sometidos a controles progr amados que aseguren la integridad, validez, confiabilidad y razonabilidad de la informacin p rocesada, incluyendo: dgitos verificadores, validaciones de cdigos, tipo y tamao de campos, rangos de val ores, signos, referencias cruzadas, registro de operaciones fecha-valor, correlativida d de las operaciones, plazos, cierres y reaperturas de perodos, entre otros. Se deben contemplar controles programados que limiten la modificacin y la elimina cin de datos -bsicos y pactados- de las operaciones concretadas, movimientos y saldos. Asimism o, se deben implementar procesos automticos para el devengamiento de intereses, el clcul o de cuotas, el redondeo de las cifras, y la aplicacin de movimientos. Debe existir una adecuada integracin entre los sistemas aplicativos que procesan la informacin de la entidad y el sistema aplicativo de contabilidad. Se registrarn automticament e en

cada cuenta contable, en forma correcta y oportuna, todos los movimientos produc to de las operaciones efectuadas. En el sistema que administre la informacin sobre los clientes, se deben implement ar adecuados controles de integridad, validez y razonabilidad, considerando la identificacin ni ca del cliente y los datos obligatorios de acuerdo con las normas vigentes. Adems, debern realizarse procesos peridicos de control y depuracin sobre los mismos. Los parmetros que limiten el ingreso de datos deben tener adecuados niveles de ac ceso para su actualizacin, y restricciones en cuanto a la posibilidad de ser modificados a travs de funciones especficas. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 1 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 8. Sistemas aplicativos de informacin. Todos los sistemas aplicativos deben generar registros de auditora que contengan mnimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas, y quin ingres y autoriz cada transaccin. Estos registros d eben ser revisados regularmente por los responsables del control. Se debe proteger la int egridad de la informacin registrada en dichos reportes, la que debe ser resguardada adecuadamen te y permanecer en condiciones de ser recuperada, mantenindose disponible por un trmino no menor a 10 (diez) aos, en soportes de almacenamiento no reutilizables, y deber estar dis ponible en caso de que la Gerencia de Auditora Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias lo requiera para su control. . 8.3. Administracin y registro de las operaciones. Las entidades financieras deben registrar y procesar sus operaciones en los sist emas aplicativos de informacin correspondientes. No deber gestionarse ninguna operacin en forma manu al, en hojas de clculo, herramientas de escritorio u otro software utilitario. 8.4. Sistemas de informacin que generan el rgimen informativo a remitir y/o a disp osicin del Banco Central de la Repblica Argentina. Las entidades financieras deben contar con sistemas aplicativos o procesos autom atizados para la generacin de los regmenes informativos requeridos por el Banco Central de la Re pblica Argentina. Se deber evitar el reingreso o intercambio no automatizado de datos en tre distintos sistemas, el ingreso de datos significativos en forma manual, y no se podrn efect uar ajustes a la informacin generada previamente en forma automtica. En los casos en que se deba ingresar informacin manual por no residir sta en los a rchivos o bases de datos de la entidad, se debe realizar a travs de programas especficos, en archivos independientes, con un adecuado esquema de seguridad, controles de integridad y validez, y sin la posibilidad de modificar la informacin generada en forma automatizada. La informacin generada debe ser sometida a procesos de control, que analicen la c onsistencia e integridad de la informacin a remitir y/o mantener a disposicin del Banco Centra l de la Re-

publica Argentina, y que en ningn caso permitan su modificacin fuera de los sistem as aplicativos que la originaron. 8.5. Documentacin de los sistemas de informacin. 8.5.1. Estndares para el proceso de ingeniera del software. De acuerdo con la estructura y complejidad de sus funciones informticas, las enti dades financieras deben contar con estndares de metodologa para el proceso de ingeniera del software, que comprendan aspectos tales como: estudio de factibilidad, anlisi s y especificaciones, diseo, desarrollo, pruebas, migraciones de datos preexistentes, implementacin y mantenimiento de los sistemas aplicativos de informacin. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 2 4609 Vigencia:

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS B.C.R.A. ENTIDADES FINANCIERAS Seccin 8. Sistemas aplicativos de informacin. Los mismos deben ser tenidos en consideracin, tanto para desarrollos de sistemas propios de la entidad, como para aquellos que hayan sido tercerizados a travs de la contr atacin de personal o proveedores externos. Asimismo, deben contar con procedimientos que definan el circuito para el tratam iento de los requerimientos de usuarios y pautas para la evaluacin, seleccin y adquisicin de sistemas aplicativos. 8.5.2. Documentacin tcnica y manuales de usuarios. Las entidades financieras deben contar con documentacin funcional y tcnica actuali zada de sus sistemas aplicativos de informacin, en la cual se deben considerar aspecto s tales como: objetivo, alcance, diagrama del sistema y de los programas component es de los mismos, diseo de archivos y bases de datos, registro de modificaciones, lengu aje de programacin utilizado, propiedad de los programas fuentes, descripcin del "hardwar e" y "software", su interrelacin con las redes de telecomunicaciones y descripcin de la s funciones que permitan la modificacin directa de datos de produccin (cambio de parmetros, frmulas, tasas, datos y otros). Adems, deben poseer manuales de usuarios finales de cada sistema aplicativo de in formacin que contengan, por ejemplo: objetivo, alcance, descripcin de las funciones y mens, descripcin de los listados operativos y de control, e instrucciones para el caso de cancelaciones, entre otros. Versin: 1a. COMUNICACIN A 27/12/2006 Pgina 3 4609 Vigencia:

ORIGEN DE LAS DISPOSICIONES INCLUIDAS EN EL TEXTO ORDENADO DE LAS NORMAS SOBRE REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y B.C.R.A. CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS TEXTO ORDENADO NORMA DE ORIGEN Seccin Punto Prrafo Com. Anexo Punto Prrafo Observaciones 1. 1 a 3 A 4609 nico 1. 1 a 3 4 A 3198 1. 1 1.1. A 4609 nico 1.1. 1.2. A 3198 1.2. 1.3. A 3198 1.3. 1.4. A 3198 1.4. 1.5. A 4609 nico 1.5. 1.6. A 3198 1.6. 1.7. A 3198 1.7. 12 y 13 A 3198 9 y 10 2. 2.1. A 3198 2.5. Segn Com. A 4609 2.2. A 3198 3.1. a 3.3. Segn Com. A 4609 2.3. A 4609 nico 2.3. 2.4. A 3198 2.1. y 2.5. Segn Com. A 4609 2.5.1. A 3198 2.3. Segn Com. A 4609 2.5.2. A 3198 2.4. 2.5.3. A 3198 2.2. Segn Com. A 4609 2.5.4. A 4609 nico 2.5.4. 2.5.5. A 4609 nico 2.5.5. 3. 3.1. A 4609 nico 3.1. 3.1.1. A 3198 6.1. Segn Com. A 4609 3.1.2. A 4609 nico 3.1.2. 3.1.3. A 4609 nico 3.1.3. 3.1.4. A 3198 6.3. a 6.5. Segn Com. A 4609 3.1.5. A 4609 nico 3.1.5. 3.2. A 4609 nico 3.2. 3.2.1. A 4609 nico 3.2.1. 3.2.2. A 3198 7.3. Segn Com. A 4609 3.2.3. A 3198 7.3. Segn Com. A 4609 3.2.4. A 4609 nico 3.2.4. 4. 4.1. A 4609 nico 4.1. 4.2. A 4609 nico 4.2. 4.3. A 3198 7.2. Segn Com. A 4609. 4.4. A 3198 7.2. Segn Com. A 4609. 4.5. A 3198 7.2. Segn Com. A 4609 4.6. A 3198 7.2. Segn Com. A 4609 5. 5.1. A 3198 4.2.3. Segn Com. A 4609 5.2. A 4609 nico 5.2. 5.3. A 3198 4.1. Segn Com. A 4609.

REQUISITOS MNIMOS DE GESTIN, IMPLEMENTACIN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGA INFORMTICA, SISTEMAS DE INFORMACIN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS TEXTO ORDENADO NORMA DE ORIGEN Seccin Punto Prrafo Com. Anexo Punto Prrafo Observaciones 5. 5.4. A 3198 7.1. Segn Com. A 4609. 5.5. A 4609 nico 5.5. 5.6. A 4609 nico 5.6. 5.7. A 4609 nico 5.7. 5.8. A 3198 4.2.1., 6.6. y 6.7. Segn Com. A 4609. 5.9. A 4609 nico 5.9. 5.10. A 4609 nico 5.10. 5.11. A 4609 nico 5.11. 5.12. A 4609 nico 5.12. 6. 1 y 2 A 4609 nico 6. 1 y 2 6.1. A 4609 nico 6.1. 6.2. A 3198 11.1. a 11.6. Segn Com. A 4609. 6.3. A 4609 nico 6.3. 6.4. A 4609 nico 6.4. 6.5. A 4609 nico 6.5. 6.6. A 3198 11.7. Segn Com. A 4609. 6.7. A 4609 nico 6.7. 7. 7.1. A 4609 nico 7.1. 7.2. A 4609 nico 7.2. 7.3. A 3198 5.1. Segn Com. A 4609. 7.4. A 3198 5.2. a 5.4. Segn Com. A 4609. 7.5. A 3198 5.5. Segn Com. A 4609. 7.6. A 3198 5.4. Segn Com. A 4609. 7.7. A 3198 5.6. Segn Com. A 4609. 8. 8.1. A 3198 9.2. Segn Com. A 4609. 8.2. A 3198 4.2.2. Segn Com. A 4609. 8.3. A 4609 nico 8.3. 8.4. A 3198 9.4. Segn Com. A 4609. 8.5.1. A 4609 nico 9.1. 8.5.2. A 3198 9.1. Segn Com. A 4609.