SlideShare une entreprise Scribd logo

Capitulo X CNBV

Télécharger en tant que PPTX, PDF
Juan Carlos Carrillo
Juan Carlos Carrillo
Technologie
1  sur  20
CAPITULO X CNBV julio de 2010
Controles Regulatorios Circular Única de Bancos (Capítulo X): 2º Factor de autenticación Registro de cuentas Notificaciones Limites de operación Prevención de fraudes Registro de bitácoras Seguridad: datos y comunicaciones Contratos Clientes Back Office Aceptación del Cliente
Cuatro categorías de Autenticación Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Según el articulo 310
Autenticación de las Instituciones Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario Según el articulo 311
Protección de las sesiones Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Según el articulo 316 B2
manejo de Contraseñas Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Según el articulo 316 B4
equipos electrónicos (POS) Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes Según el articulo 316 B6
centros de atención telefónica Controles de seguridad física y lógica en la infraestructura tecnológica Delimitar las funciones de los operadores telefónicos Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios Según el articulo 316 B7
CHIP en las Tarjetas 1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo. El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo. El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo. Según el articulo 316 B8
Cifrado Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Según el articulo 316 B10
controles de acceso Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados Según el articulo 316 B11
Extravio de Información En caso de extravio de información se debe notificar a la CNBV Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados Según el articulo 316 B12
Registro de incidencias En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados Registrar operaciones no reconocidas por los Usuarios Mantener en la Institución durante un periodo no menor a cinco años Según el articulo 316 B14
Generación de Bitacoras Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Según el articulo 316 B15
Reporte de Robo de parte del Cliente Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación Políticas que definan las responsabilidades tanto del Usuario como de la Institución Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios Según el articulo 316 B16
revisiones de seguridad a la infraestructura de cómputo Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Según el articulo 316 B17
Respuesta a Incidentes Medidas preventivas, de detección, disuasivas y procedimientos de respuesta Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna Según el articulo 316 B20
HIGHLIGHTS capítulo X Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas. Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado. Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros. Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
HIGHLIGHTS capítulo X Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro. Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.
Gracias juan.carlos@sm4rt.com @juan_carrillo Sm4rt Security Services Paseos de Tamarindos400A 5º Piso Col. Bosques de las Lomas México D. F. C.P. 05120

Recommandé

Regulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBVRegulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBV
Juan Carlos Carrillo
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
PECB
 
Stock Audit of Banks
Stock Audit of BanksStock Audit of Banks
Stock Audit of Banks
Sudheer Paidi
 
Enabling Data Governance - Data Trust, Data Ethics, Data Quality
Enabling Data Governance - Data Trust, Data Ethics, Data QualityEnabling Data Governance - Data Trust, Data Ethics, Data Quality
Enabling Data Governance - Data Trust, Data Ethics, Data Quality
Eryk Budi Pratama
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
Erick Kish, U.S. Commercial Service
 
Delitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacionalDelitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacional
Carlos Andrés Pérez Cabrales
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora
Hector Chajón
 

Recommandé

Regulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBVRegulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBV
Juan Carlos Carrillo
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
PECB
 
Stock Audit of Banks
Stock Audit of BanksStock Audit of Banks
Stock Audit of Banks
Sudheer Paidi
 
Enabling Data Governance - Data Trust, Data Ethics, Data Quality
Enabling Data Governance - Data Trust, Data Ethics, Data QualityEnabling Data Governance - Data Trust, Data Ethics, Data Quality
Enabling Data Governance - Data Trust, Data Ethics, Data Quality
Eryk Budi Pratama
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
Erick Kish, U.S. Commercial Service
 
Delitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacionalDelitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacional
Carlos Andrés Pérez Cabrales
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora
Hector Chajón
 
New CISO - The First 90 Days
New CISO - The First 90 DaysNew CISO - The First 90 Days
New CISO - The First 90 Days
Resilient Systems
 
Introduction to it auditing
Introduction to it auditingIntroduction to it auditing
Introduction to it auditing
Damilola Mosaku
 
Information security governance
Information security governanceInformation security governance
Information security governance
Koen Maris
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
Schellman & Company
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
ControlCase
 
CISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfCISSP Cheatsheet.pdf
CISSP Cheatsheet.pdf
shyedshahriar
 
Data driven approach to KYC
Data driven approach to KYCData driven approach to KYC
Data driven approach to KYC
Pankaj Baid
 
IT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsIT Audit For Non-IT Auditors
IT Audit For Non-IT Auditors
Ed Tobias
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
Jisc
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
360factors
 
Nia 240 auditoria
Nia 240 auditoriaNia 240 auditoria
Nia 240 auditoria
keralya
 
2020 vrm expert reference guide
2020 vrm expert reference guide2020 vrm expert reference guide
2020 vrm expert reference guide
AnkitKumar250429
 
Auditoría Financiera: Evidencia y Papeles de Trabajo.
Auditoría Financiera: Evidencia y Papeles de Trabajo.Auditoría Financiera: Evidencia y Papeles de Trabajo.
Auditoría Financiera: Evidencia y Papeles de Trabajo.
Juan Plasencia
 
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Carlos A. Horna Vallejos
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
Saumya Vishnoi
 
NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012
S Periyakaruppan CISM,ISO31000,C-EH,ITILF
 
100 contratos de aseguramiento
100 contratos de aseguramiento100 contratos de aseguramiento
100 contratos de aseguramiento
Rocio Saenz
 
CISSP Domain 1 - Security And Risk Management.pdf
CISSP Domain 1 - Security And Risk Management.pdfCISSP Domain 1 - Security And Risk Management.pdf
CISSP Domain 1 - Security And Risk Management.pdf
hemant6552
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
PECB
 
Los delitos informaticos
Los delitos informaticosLos delitos informaticos
Los delitos informaticos
cfarfan777
 
Cnbv
CnbvCnbv
Cnbv
Italia Rizo
 
CNBV
CNBVCNBV
CNBV
Anjulli Martinez
 

Contenu connexe

Tendances

New CISO - The First 90 Days
New CISO - The First 90 DaysNew CISO - The First 90 Days
New CISO - The First 90 Days
Resilient Systems
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
PECB
 
Los delitos informaticos
Los delitos informaticosLos delitos informaticos
Los delitos informaticos
cfarfan777
 

Tendances (20)

New CISO - The First 90 Days
New CISO - The First 90 DaysNew CISO - The First 90 Days
New CISO - The First 90 Days
 
Introduction to it auditing
Introduction to it auditingIntroduction to it auditing
Introduction to it auditing
 
Information security governance
Information security governanceInformation security governance
Information security governance
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
 
CISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfCISSP Cheatsheet.pdf
CISSP Cheatsheet.pdf
 
Data driven approach to KYC
Data driven approach to KYCData driven approach to KYC
Data driven approach to KYC
 
IT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsIT Audit For Non-IT Auditors
IT Audit For Non-IT Auditors
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
 
Nia 240 auditoria
Nia 240 auditoriaNia 240 auditoria
Nia 240 auditoria
 
2020 vrm expert reference guide
2020 vrm expert reference guide2020 vrm expert reference guide
2020 vrm expert reference guide
 
Auditoría Financiera: Evidencia y Papeles de Trabajo.
Auditoría Financiera: Evidencia y Papeles de Trabajo.Auditoría Financiera: Evidencia y Papeles de Trabajo.
Auditoría Financiera: Evidencia y Papeles de Trabajo.
 
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
 
NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012
 
100 contratos de aseguramiento
100 contratos de aseguramiento100 contratos de aseguramiento
100 contratos de aseguramiento
 
CISSP Domain 1 - Security And Risk Management.pdf
CISSP Domain 1 - Security And Risk Management.pdfCISSP Domain 1 - Security And Risk Management.pdf
CISSP Domain 1 - Security And Risk Management.pdf
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
Los delitos informaticos
Los delitos informaticosLos delitos informaticos
Los delitos informaticos
 

En vedette

Sistema Financiero Mexicano
Sistema Financiero MexicanoSistema Financiero Mexicano
Sistema Financiero Mexicano
Victor Bernal
 
Ley de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valoresLey de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valores
Lic. Brenda F Castro Rocha
 
Banco de mexico
Banco de mexicoBanco de mexico
Banco de mexico
Anngiiee
 
Secretaria de hacienda y credito publico
Secretaria de hacienda y credito publicoSecretaria de hacienda y credito publico
Secretaria de hacienda y credito publico
Sharaid Cervantes
 
Secretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito PublicoSecretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito Publico
Nyme He
 
SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO
abitta
 
Estructura y funcionamiento de la hacienda pública
Estructura y funcionamiento de la hacienda públicaEstructura y funcionamiento de la hacienda pública
Estructura y funcionamiento de la hacienda pública
emisc
 

En vedette (20)

Cnbv
CnbvCnbv
Cnbv
 
CNBV
CNBVCNBV
CNBV
 
Sistema Financiero Mexicano
Sistema Financiero MexicanoSistema Financiero Mexicano
Sistema Financiero Mexicano
 
Ley de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valoresLey de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valores
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Condusef
CondusefCondusef
Condusef
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Banco de mexico
Banco de mexicoBanco de mexico
Banco de mexico
 
Estructura del sistema financiero 1
Estructura del sistema financiero 1Estructura del sistema financiero 1
Estructura del sistema financiero 1
 
SHCP
SHCPSHCP
SHCP
 
Banxico
BanxicoBanxico
Banxico
 
Sistema de ahorro para el retiro
Sistema de ahorro para el retiroSistema de ahorro para el retiro
Sistema de ahorro para el retiro
 
Banca multiple
Banca multipleBanca multiple
Banca multiple
 
Secretaria de hacienda y credito publico
Secretaria de hacienda y credito publicoSecretaria de hacienda y credito publico
Secretaria de hacienda y credito publico
 
Banco de Mexico
Banco de MexicoBanco de Mexico
Banco de Mexico
 
Secretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito PublicoSecretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito Publico
 
Entidades reguladoras
Entidades reguladorasEntidades reguladoras
Entidades reguladoras
 
CONSAR
CONSARCONSAR
CONSAR
 
SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO
 
Estructura y funcionamiento de la hacienda pública
Estructura y funcionamiento de la hacienda públicaEstructura y funcionamiento de la hacienda pública
Estructura y funcionamiento de la hacienda pública
 

Similaire à Capitulo X CNBV

Diapositivas De Los Ortiz
Diapositivas De Los OrtizDiapositivas De Los Ortiz
Diapositivas De Los Ortiz
Rafael Garcia
 
Acuerdos fac electronica
Acuerdos fac electronicaAcuerdos fac electronica
Acuerdos fac electronica
cmontielc
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
xiomarita2604
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
xiomarita2604
 
Ventjas de la Banca Electronica
Ventjas de la Banca ElectronicaVentjas de la Banca Electronica
Ventjas de la Banca Electronica
jclinares
 
Decreto 1747 de 2000
Decreto 1747 de 2000Decreto 1747 de 2000
Decreto 1747 de 2000
Jhon Pérez
 
Mecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de SeguridadMecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de Seguridad
chita21
 

Similaire à Capitulo X CNBV (20)

Regulacion Robo de Identidad
Regulacion Robo de IdentidadRegulacion Robo de Identidad
Regulacion Robo de Identidad
 
Diapositivas De Los Ortiz
Diapositivas De Los OrtizDiapositivas De Los Ortiz
Diapositivas De Los Ortiz
 
LEY DRAL DEL CONSUMIDOR/2A PARTE
LEY DRAL DEL CONSUMIDOR/2A PARTELEY DRAL DEL CONSUMIDOR/2A PARTE
LEY DRAL DEL CONSUMIDOR/2A PARTE
 
Contrato internet
Contrato internetContrato internet
Contrato internet
 
Caso práctico1
Caso práctico1Caso práctico1
Caso práctico1
 
Tendencias en Servicios Financieros Digitales
Tendencias en Servicios Financieros DigitalesTendencias en Servicios Financieros Digitales
Tendencias en Servicios Financieros Digitales
 
Acuerdos fac electronica
Acuerdos fac electronicaAcuerdos fac electronica
Acuerdos fac electronica
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Unidad # 1
Unidad # 1Unidad # 1
Unidad # 1
 
Ventjas de la Banca Electronica
Ventjas de la Banca ElectronicaVentjas de la Banca Electronica
Ventjas de la Banca Electronica
 
Credito personal contrato
Credito personal contratoCredito personal contrato
Credito personal contrato
 
Comercio
ComercioComercio
Comercio
 
Comercio
ComercioComercio
Comercio
 
Derechos y obligaciones
Derechos y obligacionesDerechos y obligaciones
Derechos y obligaciones
 
Cartilla unidad 5
Cartilla unidad 5Cartilla unidad 5
Cartilla unidad 5
 
Decreto 1747 de 2000
Decreto 1747 de 2000Decreto 1747 de 2000
Decreto 1747 de 2000
 
Decreto 1747
Decreto 1747Decreto 1747
Decreto 1747
 
Mecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de SeguridadMecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de Seguridad
 

Plus de Juan Carlos Carrillo

Proteja los Datos más Sensibles
Proteja los Datos más SensiblesProteja los Datos más Sensibles
Proteja los Datos más Sensibles
Juan Carlos Carrillo
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
Juan Carlos Carrillo
 

Plus de Juan Carlos Carrillo (20)

La falta de talento en ciberseguridad 2017
La falta de talento en ciberseguridad 2017La falta de talento en ciberseguridad 2017
La falta de talento en ciberseguridad 2017
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
 
Webinar: Privacidad y Comercio Electrónico
Webinar: Privacidad y Comercio ElectrónicoWebinar: Privacidad y Comercio Electrónico
Webinar: Privacidad y Comercio Electrónico
 
Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
Seguridad, una visión desde el Riesgo, Gobierno y CumplimientoSeguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
 
260215 ley federal de proteccion de datos personales en posesión de particul...
260215 ley federal de proteccion de datos personales en posesión de particul...260215 ley federal de proteccion de datos personales en posesión de particul...
260215 ley federal de proteccion de datos personales en posesión de particul...
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
 
La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2
 
Proteja los Datos más Sensibles
Proteja los Datos más SensiblesProteja los Datos más Sensibles
Proteja los Datos más Sensibles
 
Privacidad y seguridad
Privacidad y seguridadPrivacidad y seguridad
Privacidad y seguridad
 
The personal hedgehog
The personal hedgehogThe personal hedgehog
The personal hedgehog
 
How managers become leaders v2
How managers become leaders v2How managers become leaders v2
How managers become leaders v2
 
Más respuestas a la protección de datos
Más respuestas a la protección de datosMás respuestas a la protección de datos
Más respuestas a la protección de datos
 
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
 
Quien tiene el mono? - Who's Got the Monkey?
Quien tiene el mono? - Who's Got the Monkey?Quien tiene el mono? - Who's Got the Monkey?
Quien tiene el mono? - Who's Got the Monkey?
 
Ley protección de datos personales
Ley protección de datos personalesLey protección de datos personales
Ley protección de datos personales
 
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP? ¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
 
Datos personales y riesgos digitales
Datos personales y riesgos digitalesDatos personales y riesgos digitales
Datos personales y riesgos digitales
 
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personales
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
 

Dernier

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Dernier (10)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Capitulo X CNBV

  • 1. CAPITULO X CNBV julio de 2010
  • 2. Controles Regulatorios Circular Única de Bancos (Capítulo X): 2º Factor de autenticación Registro de cuentas Notificaciones Limites de operación Prevención de fraudes Registro de bitácoras Seguridad: datos y comunicaciones Contratos Clientes Back Office Aceptación del Cliente
  • 3. Cuatro categorías de Autenticación Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Según el articulo 310
  • 4. Autenticación de las Instituciones Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario Según el articulo 311
  • 5. Protección de las sesiones Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Según el articulo 316 B2
  • 6. manejo de Contraseñas Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Según el articulo 316 B4
  • 7. equipos electrónicos (POS) Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes Según el articulo 316 B6
  • 8. centros de atención telefónica Controles de seguridad física y lógica en la infraestructura tecnológica Delimitar las funciones de los operadores telefónicos Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios Según el articulo 316 B7
  • 9. CHIP en las Tarjetas 1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo. El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo. El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo. Según el articulo 316 B8
  • 10. Cifrado Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Según el articulo 316 B10
  • 11. controles de acceso Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados Según el articulo 316 B11
  • 12. Extravio de Información En caso de extravio de información se debe notificar a la CNBV Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados Según el articulo 316 B12
  • 13. Registro de incidencias En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados Registrar operaciones no reconocidas por los Usuarios Mantener en la Institución durante un periodo no menor a cinco años Según el articulo 316 B14
  • 14. Generación de Bitacoras Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Según el articulo 316 B15
  • 15. Reporte de Robo de parte del Cliente Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación Políticas que definan las responsabilidades tanto del Usuario como de la Institución Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios Según el articulo 316 B16
  • 16. revisiones de seguridad a la infraestructura de cómputo Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Según el articulo 316 B17
  • 17. Respuesta a Incidentes Medidas preventivas, de detección, disuasivas y procedimientos de respuesta Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna Según el articulo 316 B20
  • 18. HIGHLIGHTS capítulo X Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas. Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado. Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros. Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
  • 19. HIGHLIGHTS capítulo X Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro. Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.
  • 20. Gracias juan.carlos@sm4rt.com @juan_carrillo Sm4rt Security Services Paseos de Tamarindos400A 5º Piso Col. Bosques de las Lomas México D. F. C.P. 05120