Página principal



Seguridad en operaciones de transferencia de fondos por canales electrónicos

Descargar 5.03 Mb.

Seguridad en operaciones de transferencia de fondos por canales electrónicos





Descargar 5.03 Mb.
Página57/107
Fecha de conversión13.12.2018
Tamaño5.03 Mb.
1   ...   53   54   55   56   57   58   59   60   ...   107
Seguridad en operaciones de transferencia de fondos por canales electrónicos:
Artículo 6°
En el caso de las operaciones de transferencia de fondos a terceros ofrecidas por las empresas para su realización a través de canales electrónicos, las empresas deberán implementar un esquema de autenticación de los clientes basado en dos factores como mínimo. Para el caso en que el canal electrónico sea Internet, uno de los factores de autenticación deberá ser de generación o asignación dinámica. Las empresas podrán utilizar otros factores de autenticación, en tanto éstos proporcionen un nivel de seguridad equivalente o superior respecto a los dos factores señalados, en particular cuando se trate de operaciones importantes según los límites que el banco determine de acuerdo a las características del producto o servicio ofrecido.
La empresa deberá tomar en cuenta los riesgos operacionales asociados, en el diseño de los procedimientos, las definiciones de límites y las consideraciones de seguridad e infraestructura requeridas para un funcionamiento seguro y apropiado en las operaciones de transferencia de fondos.”

 

77

Norma Técnica Peruana NTP-ISO/IEC 27001 para la administración de la seguridad de la información.

 

78

Normas de Seguridad de la Información de la Industria de Medios de Pago PCI/SSC (Security Standards Council).
Los componentes que formen parte del nuevo Core Bancario, deberán cumplir con las normas de Seguridad PCI que les competa. El contratista deberá realizar las adecuaciones necesarias a los componentes de la solución propuesta que tuviera algún incumplimiento con el estándar PCI.

 

79

Ley de Protección de Datos Personales (Ley 29733)

 


10 .1.1 Para la Operación de las Aplicaciones
La solución propuesta debe contar como mínimo con los siguientes controles de seguridad para el procesamiento de la información y operación de las aplicaciones:

 

80

Incluir mecanismos de seguridad para proteger la información contra la modificación no autorizada, cuando esta se encuentra en tránsito, en procesamiento, almacenada y en los sistemas de respaldo o por modificación causada por errores de hardware y/o software.

 

81

Establecer controles especiales para salvaguardar la confidencialidad y la integridad de la data que pasa a través de las redes públicas o a través de las redes inalámbricas; también se deberá definir controles especiales para mantener la disponibilidad de los servicios de los sistemas propuestos, así como controles de autenticación, codificación y conexión de red.

 

82

Considerar mecanismos que garanticen la autenticidad de las operaciones. Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.

 

83

Contar con herramientas que permita verificar la disponibilidad de los sistemas, de acuerdo a los niveles de servicio contratados, de tal forma que los sistemas siempre se comporten de la forma esperada.

 

84

Considerar los parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red y para proteger los mensajes del acceso no-autorizado, modificación o negación del servicio.

 

85

Establecer controles para proteger la información involucrada en las transacciones en-línea para evitar una transmisión incompleta, routing equivocado, alteración no-autorizada del mensaje, divulgación no-autorizada, duplicación o repetición no-autorizada del mensaje, mediante el uso de firmas electrónicas por cada una de las partes involucradas en la transacción; asegurando que las credenciales de usuario de todas las partes sean válidas y verificadas.

 

86

Diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones para asegurar un procesamiento correcto. Estos controles deberán incluir la validación de la entrada de data, procesamiento interno y salida de la data:
- En la entrada de la data se deberá considerar, chequeo de límites o limitar los campos a los rangos específicos de la entrada de data; para detectar los siguientes errores: valores fuera de rango, caracteres inválidos en los campos de data, data incompleta o faltante, exceder los límites superiores e inferiores del volumen de data y data de control no autorizada o inconsistente.
- En el procesamiento de la data se deberá, establecer controles para evitar que los programas corran en el orden equivocado o corran después de una falla en el procesamiento previo; el uso de programas apropiados para recuperarse de fallas para asegurar el correcto procesamiento de la data; protección contra ataques utilizando excesos/desbordamientos de la memoria intermedia; controles de sesión o lote, para conciliar los saldos del archivo de data después de las actualizaciones de la transacción; controles de saldos, para chequear los saldos de apertura comparándolos con los saldos de cierre anteriores; específicamente: corrida a corrida ; totales de actualización del archivo; programa a programa; validación de la entrada de data generada por el sistema; chequeos de la integridad, autenticidad y cualquier otro dispositivo de seguridad de la data o software cargado o descargado, entre la computadora central y las remotas; totales hash de registros y archivos; chequeos para asegurar que los programas se corran en el momento adecuado; que los programas sean corridos en el orden correcto y terminados en caso de una falla, y que se detenga el procesamiento hasta que se resuelva el problema.
- Establecer controles para validar la salida de la data de las aplicaciones para asegurar que el procesamiento de la información almacenada sea el correcto y el apropiado para las circunstancias. Deberá incluir, chequeos de plausibilidad para comprobar si la salida de data es razonable; conteo de control de conciliación para asegurar el procesamiento de toda la data; proporcionar la información suficiente para un lector o el sistema de procesamiento subsiguiente para determinar la exactitud, integridad, precisión y clasificación de la información y crear un registro de las actividades en el proceso de validación de la salida de data.

 


10 .1.2 Para la Gestión de Accesos e Identidades
La solución propuesta debe contar con un módulo de seguridad para la gestión de accesos e identidades, que cumpla con las siguientes características:

 

87

Estar integrado con los productos de la suite IBM Security Identity and Access Management (antes denominado Tivoli), enfocado particularmente a los módulos Security Identity Manager, Security Access Manager for e-Business y Security Access Manager for Enterprise Single Sign On, para la administración de las identidades, y la gestión de accesos.

 

88

Tener un repositorio de usuarios y perfiles de acceso propio y tener la capacidad de integrarse con el producto Microsoft Active Directory bajo el estándar tipo LDAP para la autenticación de los usuarios, así como con el producto IBM Tivoli Access Manager for e-Business IBM para la autorización de los accesos a las aplicaciones y autenticación de usuarios.

 

89

Soportar las operaciones básicas del ciclo de vida de una cuenta de usuario: creación; modificación; eliminación; cambios de estado. Además deberá permitir las funcionalidades relacionadas al manejo de cuentas de usuario: bloqueo de la cuenta ante escenarios de intentos fallidos o a demanda, por ejemplo, el que se establezca para el periodo vacacional de un empleado, desbloqueo, caducidad de contraseña y cambio de contraseña, entre otras.

 

90

Manejar contraseñas robustas, es decir, debe permitir la configuración de contraseñas que contengan letras minúsculas, mayúsculas, números y algunos símbolos especiales, estipulado en las políticas de seguridad del Banco de la Nación. Estas contraseñas deberán ser almacenadas y transportadas de forma cifrada, de acuerdo a las políticas de cifrado de la información

 

91

Operar con controles de acceso basado en roles funcionales RBAC, con niveles de autorización lo más detallados posible, deberá contemplar perfiles de acceso por: servicios; módulos; menús; transacciones; tipo de operaciones; y las que por requerimientos de operatividad del negocio sean necesarias definir.

 

92

Disponer de interfaces que permitan administrar y/o mantener la información relacionada a las cuentas de usuario y perfiles de acceso de la solución propuesta, a través de mecanismos de arquitectura estándar (como Web Services, API, scripts, etc.).

 

93

Time Stamping, almacenar datos de trazabilidad, rastreo forense y control de accesos que permitan atender los requerimientos de auditoría y cumplimiento regulatorio para todas las transacciones/operaciones realizadas en la solución con cada cuenta de usuario. Se deberá proveer herramientas que permitan un análisis exhaustivo de los datos generados.

 


10.1.3 Para el Cifrado de la Información

 

94

La nueva solución propuesta deberá proveer un módulo de seguridad para la gestión de la criptografía, el cual deberá permitir el cumplimiento de todo lo requerido para el cifrado y descifrado de la información confidencial, tales como la clave secreta, número de tarjeta, saldos, estados de cuentas y datos personales, entre otros, que cumpla con los estándares de la norma PCI/SSC (Security Standards Council) y la Ley de Protección de datos personales 29733 de acuerdo a las siguientes especificaciones:

 

95

Incluir mecanismos de seguridad mediante el cifrado y descifrado para proteger la integridad y confidencialidad de la información que se procese, almacene y transmita a través de los diferentes canales de atención, desde el inicio hasta el final de la operación.

 

96

Utilizar dispositivos de seguridad HSM (Hardware Security Module) para el cifrado y descifrado de la información, así como para la generación y validación de las claves criptográficas.

 

97

Manejar algoritmos criptográficos robustos; como mínimo deberá soportar: 3DES, AES, RSA, de acuerdo a los requerimientos del canal de atención y medio de comunicación.

 

98

Operar con claves criptográficas generadas como mínimo con 3 componentes de doble o triple longitud.

 

99

Gestionar la administración de las claves criptográficas: inscripción, cambio y eliminación de forma segura. Permitir el cambio de forma independiente.

 

100

Utilizar claves criptográficas exclusivas para cada ambiente de desarrollo, certificación, producción y respaldo; por cada canal de servicio; por cada punto de conexión (PIN PAD) y por cada tipo de clave PVV, CVV, CVV2, por Zona, etc

 

101

Contar con controles para proteger el PIN (clave de identificación personal) del tarjetahabiente, de manera que no pueda ser visualizado por personal del Banco de la Nación, por el Contratista ni por terceros.

 

102

Utilizar el formato del PIN Block de acuerdo al estándar ANSI X 9.8 formato 1 y al ISO 9564-1-formato 0, 1 y 3. El Banco cuenta con cajas de seguridad HSM marca Thales, asimismo cuenta con coprocesadores criptográficos que residen en los servidores mainframe.

 

103

Operar con longitud del PIN de 4 o 6 dígitos dependiendo del canal de atención donde se realice la operación.

 

104

Las tarjetas se deberán validar con todos los datos de la misma, tales como el número, CVV (Card Verificación Value), CVV2, Fecha de Expiración o los criptogramas de las tarjetas Chip. Estos valores deberán ser generados y validados utilizando el algoritmo Triple DES y/o RSA.

 

105

Operar con tarjetas de banda magnética y chip, que cumplan con las especificaciones técnicas de los estándares EMV.

 



1   ...   53   54   55   56   57   58   59   60   ...   107

Similar:

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconInstructivo para participar en el proceso de seleccióN: ¿Qué se debe hacer ?
Para participar por una plaza de trabajo, como Eduador/a del desarrollo infantil integral, el candidato debe cumplir con las siguientes...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconProceso de selección de voluntarios “¿Por qué necesitamos un proceso de selección?”

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconPropuesta de documento guía del proceso de selección de estudiantes de la funlam
Se entiende por selección el proceso por medio del cual se escogen aquellos aspirantes con mejores características y perfiles para...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconAnexo n° 1 formato de solicitud de postulantes al proceso de selección y designación de delegados ad hoc de seguridad del cenepred
De profesión con Colegiatura N° solicito a usted señor Jefe del cenepred me admita al proceso de Selección y Designación de Delegados...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCaratula de presentacion de postulacion al proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de desti
Proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de destinacion y formacion añO 2017, del articulo 8° de la...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconBases del proceso de selección de la empresa privada para el financiamiento, elaboración del expediente técnico y ejecución del proyecto de inversión pública en el marco de la ley n° 29230 proceso de seleccióN
Contratación de la elaboración del expediente técnico, ejecución y financiamiento del proyecto de inversión pública
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconLlamado a proceso de pre-seleccion de proveedor de servicio de moving de data center fisico
Registro Único de Contribuyentes (ruc) N°, presento la siguiente solicitud para intervenir en el Proceso de Pre-selección de Proveedor...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconOrganismo supervisor de las contrataciones del estado osce
Bases estándar de proceso de selección abreviado para la contratación de servicios o para consultoría en general
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCapitulo L. Condiciones generales 6
El fondo adaptacióN en cumplimiento de lo dispuesto en la Ley 850 de 2003, convoca a las veedurías ciudadanas para ejercer el control...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconMinisterio de vivienda y urbanismo
Bases del proceso de selección para la contratacion de un profesional abogado permiso de maternal en la seremi de vivienda y urbanismo...


Descargar 5.03 Mb.