Página principal



Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN

Descargar 5.03 Mb.

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN





Descargar 5.03 Mb.
Página17/107
Fecha de conversión13.12.2018
Tamaño5.03 Mb.
1   ...   13   14   15   16   17   18   19   20   ...   107
Artículo 5°:


5.1 Seguridad lógica

a) Procedimientos formales para la concesión, administración de derechos y perfiles, así como la revocación de usuarios.

b) Revisiones periódicas sobre los derechos concedidos a los usuarios.

c) Los usuarios deben contar con una identificación para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas.

d) Controles especiales sobre utilidades del sistema y herramientas de auditoría.

e) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas.

f) Controles especiales sobre usuarios remotos y computación móvil.


5.5. Administración de las operaciones y comunicaciones


a) Procedimientos documentados para la operación de los sistemas.

b) Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos.

c) Separación de funciones para reducir el riesgo de error o fraude.

d) Separación de los ambientes de desarrollo, certificación y producción.

e) Monitoreo del servicio dado por terceras partes.

f) Administración de la capacidad de procesamiento.

g) Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares.

h) Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas.

i) Seguridad sobre el intercambio de la información, incluido el correo electrónico.

j) Seguridad sobre canales electrónicos.

k) Mantenimiento de registros de auditoría y monitoreo del uso de los sistemas.


5.6. Adquisición, desarrollo y mantenimiento de sistemas informáticos


Para la administración de la seguridad en la adquisición, desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios:


a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida.

b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida.

c) Definir controles sobre la implementación de aplicaciones antes del ingreso a producción.

d) Controlar el acceso a las librerías de programas fuente.

e) Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios.

f) Controlar las vulnerabilidades técnicas existentes en los sistemas de la empresa.


5.7. Procedimientos de respaldo


a) Procedimientos de respaldo regular y periódicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con la estrategia de continuidad de negocios de la empresa.


b) Conservar la información de respaldo y los procedimientos de restauración en una ubicación a suficiente distancia, que evite exponerlos ante posibles eventos que comprometan la operación del centro principal de procesamiento.


5.8. Gestión de incidentes de seguridad de información


Para asegurar que los incidentes y vulnerabilidades de seguridad sean controlados de manera oportuna, las empresas deberán considerar los siguientes aspectos:


a) Procedimientos formales para el reporte de incidentes de seguridad de la información y las vulnerabilidades asociadas con los sistemas de información.

b) Procedimientos establecidos para dar una respuesta adecuada a los incidentes y vulnerabilidades de seguridad reportadas.


5.9. Cumplimiento normativo


Las empresas deberán asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos, y cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas.


5.10. Privacidad de la información


Las empresas deben adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la normatividad vigente sobre la materia.


Seguridad en operaciones de transferencia de fondos por canales electrónicos:

Artículo 6°.- En el caso de las operaciones de transferencia de fondos a terceros ofrecidas por las empresas para su realización a través de canales electrónicos, las empresas deberán implementar un esquema de autenticación de los clientes basado en dos factores como mínimo. Para el caso en que el canal electrónico sea Internet, uno de los factores de autenticación deberá ser de generación o asignación dinámica. Las empresas podrán utilizar otros factores de autenticación, en tanto éstos proporcionen un nivel de seguridad equivalente o superior respecto a los dos factores señalados, en particular cuando se trate de operaciones importantes según los límites que el banco determine de acuerdo a las características del producto o servicio ofrecido.


La empresa deberá tomar en cuenta los riesgos operacionales asociados, en el diseño de los procedimientos, las definiciones de límites y las consideraciones de seguridad e infraestructura requeridas para un funcionamiento seguro y apropiado en las operaciones de transferencia de fondos.”


  • Norma Técnica Peruana NTP-ISO/IEC 27001 para la administración de la seguridad de la información.


  • Normas de Seguridad de la Información de la Industria de Medios de Pago PCI/SSC (Security Standards Council).


Los componentes que formen parte del Nuevo Core Bancario, deberán cumplir con las normas de Seguridad PCI que les competa.


El contratista deberá realizar las adecuaciones necesarias a los componentes de la solución propuesta que tuviera algún incumplimiento con el estándar PCI


  • Ley de Protección de Datos Personales (Ley 29733)



      1. Para la Operación de las Aplicaciones

La solución propuesta debe contar como mínimo con los siguientes controles de seguridad para el procesamiento de la información y operación de las aplicaciones:


  • Incluir mecanismos de seguridad para proteger la información contra la modificación no autorizada, cuando esta se encuentra en tránsito, en procesamiento, almacenada y en los sistemas de respaldo o por modificación causada por errores de hardware y/o software.

  • Establecer controles especiales para salvaguardar la confidencialidad y la integridad de la data que pasa a través de las redes públicas o a través de las redes inalámbricas; también se deberá definir controles especiales para mantener la disponibilidad de los servicios de los sistemas propuestos, así como controles de autenticación, codificación y conexión de red.

  • Considerar mecanismos que garanticen la autenticidad de las operaciones. Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.

  • Contar con herramientas que permita verificar la disponibilidad de los sistemas, de acuerdo a los niveles de servicio contratados, de tal forma que los sistemas siempre se comporten de la forma esperada.

  • Considerar los parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red y para proteger los mensajes del acceso no-autorizado, modificación o negación del servicio.

  • Establecer controles para proteger la información involucrada en las transacciones en-línea para evitar una transmisión incompleta, routing equivocado, alteración no-autorizada del mensaje, divulgación no-autorizada, duplicación o repetición no-autorizada del mensaje, mediante el uso de firmas electrónicas por cada una de las partes involucradas en la transacción; asegurando que las credenciales de usuario de todas las partes sean válidas y verificadas.

  • Diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones para asegurar un procesamiento correcto. Estos controles deberán incluir la validación de la entrada de data, procesamiento interno y salida de la data:

    • En la entrada de la data se deberá considerar, chequeo de límites o limitar los campos a los rangos específicos de la entrada de data; para detectar los siguientes errores: valores fuera de rango, caracteres inválidos en los campos de data, data incompleta o faltante, exceder los límites superiores e inferiores del volumen de data y data de control no autorizada o inconsistente.

    • En el procesamiento de la data se deberá, establecer controles para evitar que los programas corran en el orden equivocado o corran después de una falla en el procesamiento previo; el uso de programas apropiados para recuperarse de fallas para asegurar el correcto procesamiento de la data; protección contra ataques utilizando excesos/desbordamientos de la memoria intermedia; controles de sesión o lote, para conciliar los saldos del archivo de data después de las actualizaciones de la transacción; controles de saldos, para chequear los saldos de apertura comparándolos con los saldos de cierre anteriores; específicamente: corrida a corrida ; totales de actualización del archivo; programa a programa; validación de la entrada de data generada por el sistema; chequeos de la integridad, autenticidad y cualquier otro dispositivo de seguridad de la data o software cargado o descargado, entre la computadora central y las remotas; totales hash de registros y archivos; chequeos para asegurar que los programas se corran en el momento adecuado; que los programas sean corridos en el orden correcto y terminados en caso de una falla, y que se detenga el procesamiento hasta que se resuelva el problema.

    • Establecer controles para validar la salida de la data de las aplicaciones para asegurar que el procesamiento de la información almacenada sea el correcto y el apropiado para las circunstancias. Deberá incluir, chequeos de plausibilidad para comprobar si la salida de data es razonable; conteo de control de conciliación para asegurar el procesamiento de toda la data; proporcionar la información suficiente para un lector o el sistema de procesamiento subsiguiente para determinar la exactitud, integridad, precisión y clasificación de la información y crear un registro de las actividades en el proceso de validación de la salida de data.


      1. Para la Gestión de Accesos e Identidades

La solución propuesta debe contar con un módulo de seguridad para la gestión de accesos e identidades, que cumpla con las siguientes características:


  • Estar integrado con los productos de la suite IBM Security Identity and Access Management (antes denominado Tivoli), enfocado particularmente a los módulos Security Identity Manager, Security Access Manager for e-Business y Security Access Manager for Enterprise Single Sign On, para la administración de las identidades, y la gestión de accesos.

  • Gestionar un repositorio de usuarios y perfiles de acceso y tener la capacidad de integrarse con el producto Microsoft Active Directory bajo el estándar tipo LDAP para la autenticación de los usuarios, así como con el producto IBM Security Access Manager for e-Business IBM para la autorización de los accesos a las aplicaciones y autenticación de usuarios.

  • Soportar las operaciones básicas del ciclo de vida de una cuenta de usuario: creación; modificación; eliminación; cambios de estado. Además deberá permitir las funcionalidades relacionadas al manejo de cuentas de usuario: bloqueo de la cuenta ante escenarios de intentos fallidos o a demanda, por ejemplo, el que se establezca para el periodo vacacional de un empleado, desbloqueo, caducidad de contraseña y cambio de contraseña, entre otras.

  • Manejar contraseñas robustas, es decir, debe permitir la configuración de contraseñas que contengan letras minúsculas, mayúsculas, números y algunos símbolos especiales, estipulado en las políticas de seguridad del Banco de la Nación. Estas contraseñas deberán ser almacenadas y transportadas de forma cifrada, de acuerdo a las políticas de cifrado de la información.

  • Operar con controles de acceso basado en roles funcionales RBAC, con niveles de autorización lo más detallados posible, deberá contemplar perfiles de acceso por: servicios; módulos; menús; transacciones; tipo de operaciones; y las que por requerimientos de operatividad del negocio sean necesarias definir.

  • Disponer de interfaces que permitan administrar y/o mantener la información relacionada a las cuentas de usuario y perfiles de acceso de la solución propuesta, a través de mecanismos de arquitectura estándar (como Web Services, API, scripts, etc.).

  • Time Stamping, almacenar datos de trazabilidad, rastreo forense y control de accesos que permitan atender los requerimientos de auditoría y cumplimiento regulatorio para todas las transacciones/operaciones realizadas en la solución con cada cuenta de usuario. Se deberá proveer herramientas que permitan un análisis exhaustivo de los datos generados.


      1. Para el Cifrado de la Información

La nueva solución propuesta deberá proveer un módulo de seguridad para la gestión de la criptografía, el cual deberá permitir el cumplimiento de todo lo requerido para el cifrado y descifrado de la información confidencial, tales como la clave secreta, número de tarjeta, saldos, estados de cuentas y datos personales, entre otros, que cumpla con los estándares de la norma PCI/SSC (Security Standards Council) y la Ley de Protección de datos personales 29733 de acuerdo a las siguientes especificaciones:

  • Incluir mecanismos de seguridad mediante el cifrado y descifrado para proteger la integridad y confidencialidad de la información que se procese, almacene y transmita a través de los diferentes canales de atención, desde el inicio hasta el final de la operación.

  • Utilizar dispositivos de seguridad HSM (Hardware Security Module) para el cifrado y descifrado de la información, así como para la generación y validación de las claves criptográficas. A la fecha el Banco de la Nación viene atendiendo las necesidades de encriptación a través de dos frentes: Cajas de Seguridad HSM contra los servidores Stratus y servicios Web y el Coprocesador Criptográfico facilidad incorporada dentro de los mainframes.

El Banco brindará los dispositivos actuales de seguridad HSM (Hardware Security Module) así como los coprocesadores criptográficos que son parte integrante de los servidores Mainframe, con los cuales el Nuevo Core bancario deberá tener la capacidad de integrarse.

  • Manejar algoritmos criptográficos robustos; como mínimo deberá soportar: 3DES, AES, RSA, de acuerdo a los requerimientos del canal de atención y medio de comunicación.

  • Operar con claves criptográficas generadas como mínimo con 3 componentes de doble o triple longitud.

  • Gestionar la administración de las claves criptográficas: inscripción, cambio y eliminación de forma segura. Permitir el cambio de forma independiente.

  • Utilizar claves criptográficas exclusivas para cada ambiente de desarrollo, certificación, producción y respaldo; por cada canal de servicio; por cada punto de conexión (PIN PAD) y por cada tipo de clave PVV, CVV, CVV2, por Zona, etc.

  • Contar con controles para proteger el PIN (clave de identificación personal) del tarjetahabiente, de manera que no pueda ser visualizado por personal del Banco de la Nación, por el Contratista ni por terceros.

  • Utilizar el formato del PIN Block de acuerdo al estándar ANSI X 9.8 formato 1 y al ISO 9564-1-formato 0, 1 y 3. El Banco cuenta con cajas de seguridad HSM marca Thales, asimismo cuenta con coprocesadores criptográficos que residen en los servidores mainframe.

  • Operar con longitud del PIN de 4 o 6 dígitos dependiendo del canal de atención donde se realice la operación.

  • Las tarjetas se deberán validar con todos los datos de la misma, tales como el número, CVV (Card Verificación Value), CVV2, Fecha de Expiración o los criptogramas de las tarjetas Chip. Estos valores deberán ser generados y validados utilizando el algoritmo Triple DES y/o RSA.

  • Operar con tarjetas de banda magnética y chip, que cumplan con las especificaciones técnicas de los estándares EMV.


      1. Para el Registro de Auditoría y Monitoreo

La nueva solución de Core Bancario deberá contar con un módulo de seguridad para la gestión y monitoreo de los registros de eventos de auditoría, respecto a la disponibilidad, integridad y confidencialidad de los datos y/o información.


El módulo de seguridad deberá proveer mecanismos para la gestión que ayuden a determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios o sistemas, los tiempos y fechas de dichas acciones, excepciones y eventos que ayuden en investigaciones y deberá cumplir con las siguientes características:

  • Ser fácilmente identificables a través de un código de identificación o similar. Deben ser fácilmente exportables a diferentes formatos digitales como un documento Word, Excel, Power Point, etc.

  • Indicar el inicio de sesión e intentos fallidos de acceso de los usuarios.

  • Incluir información que permita identificar las acciones realizadas en el procesamiento de datos en los sistemas de información, servicios informáticos y plataformas tecnológicas, según los siguientes criterios:

  • ¿Quién lo hizo?: usuario, aplicación o proceso que inició el evento.

  • ¿Qué hizo?: tipo de acción que representa el evento.

  • ¿Cuándo lo hizo?: ¿Cuando ocurrió el evento? Bajo el siguiente formato: DD/MM/AAAA para la fecha y  de HH:MM:SS para el tiempo.

  • ¿Qué objeto se vio afectado?: un objeto puede ser cualquier tipo de archivo, base de datos, aplicación, permisos, etc. que fue manipulado por el evento.

  • ¿Dónde lo hizo?: ¿Sobre qué equipo sucedió el evento? Que permita la identificación del equipo como dirección IP, puerto, dirección URL, etc.

  • ¿Desde dónde lo hizo?, ¿Qué sistema es la fuente del evento?

  • Estar en formato de texto según la plataforma operativa donde resida la información, permitiendo leerlos y desplegarlos en formatos diferentes, y facilitando la emisión de reportes con criterios parametrizables.

  • Proporcionar datos que faciliten establecer la causa de un incidente de seguridad de la información.

  • Registrar las acciones realizadas con las cuentas de usuario final, principales, privilegiadas y de integración de los sistemas de información, servicios informáticos y plataformas tecnológicas.

  • Lo registros de auditoria deben ser inalterables, inclusive los usuarios con cuentas privilegiadas no deben tener acceso para modificarlos.

  • Contar con facilidades para el almacenamiento de información histórica, así como para la recuperación de la misma en ambientes diferentes al de producción.

  • Registrar los cambios en la configuración de las aplicaciones del Nuevo Core Bancario.

  • Las operaciones financieras y consultas deberán ser registradas como eventos de auditoría desde su inicio hasta su culminación.

  • La fecha y hora deben estar sincronizadas en todos los componentes del sistema con una fuente que proporcione la hora exacta, para asegurar que los registros de eventos de auditoría reflejen el tiempo exacto de ocurrencia.

  • Los registros de eventos de auditoría de la solución propuesta deberán permitir recopilar, ordenar y correlacionar los eventos de seguridad del sistema, relacionados con las aplicaciones y los accesos del Nuevo Core Bancario.

  • Los registros de eventDos de auditoría de la solución propuesta deberán permitir automatizar la colección de eventos del Nuevo Core Bancario y dispositivos de seguridad, de forma centralizada.

El módulo de seguridad del Nuevo Core Bancario deberá proveer mecanismos para monitorear el uso de las cuentas principales, integración, privilegiadas y de usuarios de las aplicaciones que hayan ingresado por dicho módulo, para permitir identificar la cuenta del usuario, fecha y hora de acceso, archivos a los cuales se tuvo acceso, acciones realizadas, programas y herramientas utilitarios utilizadas, direcciones y protocolos de la red. Este módulo también deberá alertar en tiempo real las violaciones a las políticas de seguridad de la información.



1   ...   13   14   15   16   17   18   19   20   ...   107

Similar:

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconInstructivo para participar en el proceso de seleccióN: ¿Qué se debe hacer ?
Para participar por una plaza de trabajo, como Eduador/a del desarrollo infantil integral, el candidato debe cumplir con las siguientes...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconProceso de selección de voluntarios “¿Por qué necesitamos un proceso de selección?”

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconPropuesta de documento guía del proceso de selección de estudiantes de la funlam
Se entiende por selección el proceso por medio del cual se escogen aquellos aspirantes con mejores características y perfiles para...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconAnexo n° 1 formato de solicitud de postulantes al proceso de selección y designación de delegados ad hoc de seguridad del cenepred
De profesión con Colegiatura N° solicito a usted señor Jefe del cenepred me admita al proceso de Selección y Designación de Delegados...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCaratula de presentacion de postulacion al proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de desti
Proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de destinacion y formacion añO 2017, del articulo 8° de la...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconBases del proceso de selección de la empresa privada para el financiamiento, elaboración del expediente técnico y ejecución del proyecto de inversión pública en el marco de la ley n° 29230 proceso de seleccióN
Contratación de la elaboración del expediente técnico, ejecución y financiamiento del proyecto de inversión pública
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconLlamado a proceso de pre-seleccion de proveedor de servicio de moving de data center fisico
Registro Único de Contribuyentes (ruc) N°, presento la siguiente solicitud para intervenir en el Proceso de Pre-selección de Proveedor...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconOrganismo supervisor de las contrataciones del estado osce
Bases estándar de proceso de selección abreviado para la contratación de servicios o para consultoría en general
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCapitulo L. Condiciones generales 6
El fondo adaptacióN en cumplimiento de lo dispuesto en la Ley 850 de 2003, convoca a las veedurías ciudadanas para ejercer el control...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconMinisterio de vivienda y urbanismo
Bases del proceso de selección para la contratacion de un profesional abogado permiso de maternal en la seremi de vivienda y urbanismo...


Descargar 5.03 Mb.