Norma 052 Seguridad y calidad

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

TITULO I – CAPITULO DECIMO SEGUNDO Página 95 Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios

Circular Externa 052 de 2007 Octubre de 2007

CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN A TRAVÉS DE MEDIOS Y CANALES DE DISTRIBUCIÓN DE PRODUCTOS Y SERVICIOS

CONTENIDO

1. Ámbito de aplicación

2. Definiciones y criterios de seguridad y calidad de la información

3. Obligaciones generales 3.1. Seguridad y calidad 3.2. Tercerización – Outsourcing 3.3. Documentación 3.4. Divulgación de información

4. Obligaciones adicionales por tipo de canal 4.1. Oficinas 4.2. Cajeros Automáticos (ATM) 4.3. Receptores de cheques 4.4. Receptores de dinero en efectivo 4.5. POS (incluye PIN Pad) 4.6. Sistemas de Audio Respuesta (IVR) 4.7. Centro de atención telefónica (Call Center, Contact Center) 4.8. Sistemas de acceso remoto para clientes 4.9. Internet 4.10. Prestación de servicios a través de nuevos canales

5. Reglas sobre actualización de software

6. Obligaciones específicas por tipo de medio – Tarjetas débito y crédito

7. Análisis de vulnerabilidades

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

TITULO I – CAPITULO DECIMO SEGUNDO Página 96 Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios

Circular Externa 052 de 2007 Octubre de 2007

CAPITULO DÉCIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN A TRAVÉS DE MEDIOS Y CANALES DE DISTRIBUCIÓN DE PRODUCTOS Y SERVICIOS

1. Ámbito de aplicación

Las instrucciones de que trata el presente capitulo deberán ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de las siguientes: el Fondo de Garantías de Instituciones Financieras “Fogafín”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. “F.N.G. S.A.”, el Fondo Financiero de Proyectos de Desarrollo “Fonade”, los Almacenes Generales de Depósito, los Fondos de Garantía que se constituyan en el mercado público de valores, los Fondos Mutuos de Inversión, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación.

Sin embargo, las entidades exceptuadas de la aplicación del presente capítulo citadas en el párrafo anterior, deberán dar cumplimiento a los criterios de seguridad y calidad de la información, establecidos en los numerales 2.1. y 2.2 del presente capítulo.

El numeral 3.1.13 “Elaborar el perfil de las costumbres transacciones de cada uno de sus clientes …” deberá ser aplicado únicamente por los establecimientos de crédito, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.

El numeral 7 “Análisis de vulnerabilidades” deberá ser aplicado únicamente por los establecimientos de crédito y los administradores de sistemas de pago de bajo valor, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.

Los establecimientos de crédito que presten servicios financieros a través de corresponsales no bancarios deberán sujetarse, para el uso de este canal de distribución, a las instrucciones contenidas en el capítulo noveno, Título III de la presente circular.

En todo caso las entidades vigiladas destinatarias de las instrucciones del presente numeral, deberán implementar los requerimientos exigidos atendiendo la naturaleza, objeto social y demás características particulares de su actividad.

2. Definiciones y criterios de seguridad y calidad

Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios, las entidades deberán tener en cuenta las siguientes definiciones y criterios:

2.1. Criterios de Seguridad de la información

a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.

b) Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.

c) Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.

2.2. Criterios de Calidad de la información

a) Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.

b) Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.

c) Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

TITULO I – CAPITULO DECIMO SEGUNDO Página 97 Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios

Circular Externa 052 de 2007 Octubre de 2007

2.3. Canales de distribución de servicios financieros

Para los efectos del presente capítulo son canales de distribución de servicios financieros los siguientes:

a) Oficinas. b) Cajeros Automáticos (ATM). c) Receptores de cheques d) Receptores de dinero en efectivo e) POS (incluye PIN Pad). f) Sistemas de Audio Respuesta (IVR). g) Centro de atención telefónica (Call Center, Contact Center). h) Sistemas de acceso remoto para clientes (RAS). i) Internet. j) Dispositivos móviles. 2.4. Medios

Son instrumentos que permiten la realización de operaciones a través de los canales de distribución descritos en el numeral anterior, tales como: cheques, tarjetas débito y crédito, dinero.

2.5. Vulnerabilidad informática

Ausencia o deficiencia que permite violar las medidas de seguridad informáticas para poder acceder a un canal de distribución o a un sistema específico de forma no autorizada y emplearlo en beneficio propio o como origen de ataques por parte de terceros.

2.6. Cifrado fuerte

Técnicas de codificación para protección de la información que utilizan algoritmos de robustez reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES y/o AES.

2.7. Sistema de Acceso Remoto (RAS)

Para efectos de la presente circular, RAS hace referencia a la conexión realizada por un tercero a los sistemas de información de la entidad utilizando enlaces dedicados o conmutados.

2.8. Operaciones

Son las acciones a través de las cuales se desarrollan, ejecutan o materializan los productos o servicios que prestan las entidades a sus clientes o usuarios p. ej., consulta de saldo, cambio de clave, actualización de datos, etc. Cuando la operación implique o conlleve movimiento de dinero se denominará transacción, p. ej., retiros, transferencias, depósitos, pagos, corrección y consultas de historias laborales, etc.

2.9. Cliente

Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto o servicio propio de su actividad.

2.10. Usuario

Aquella persona natural o jurídica a la que, sin ser cliente, la entidad le presta un servicio.

2.11. Producto

Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato (V. gr. cuenta corriente o de ahorros, seguros, inversiones, CDT, giros, cuentas de ahorro pensiónales y de cesantías, etc.).

2.12. Servicio

Es toda aquella interacción de las entidades sometidas a inspección y vigilancia de la SFC con sus clientes y usuarios para el desarrollo de su objeto social.

2.13. Dispositivo

Mecanismo, máquina o aparato dispuesto para producir una función determinada.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

TITULO I – CAPITULO DECIMO SEGUNDO Página 98

...