Download Medidas de seguridad para la migración de tarjetas a tecnología

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
Document related concepts
no text concepts found
Transcript 
Medidas de seguridad para la migración de tarjetas a tecnología chip y protección de usuarios de banca electrónica
XII Reunión Responsables de Sistemas de Información
La Antigua, Guatemala
Septiembre, 2010
Javier De la Rosa Gutiérrez
1
Agenda
9 Marco Regulatorio
9 Alcance regulación Banca Electrónica
9
9
9
9
Contratación
Operación
Controles de Seguridad
Monitoreo y control de las operaciones
9 Fechas críticas
2
Cambios y Emisión de Nuevas Reglas para que la Inclusión Financiera aumente
3
Disposiciones del Uso del Servicio de Banca Electrónica
9 Capítulo X de la Circular Única de Bancos. Sustituyen a las
“Disposiciones del Uso de Medios Electrónicos” (Marzo 2006)
9 Publicadas en Diario Oficial de la Federación
9 Enero 27, 2010
9 Febrero 10, 2010 (Modificación al Artículo 307, contratación de los
servicios)
9 Entran en vigor:
9 Día siguiente de su publicación para Banca Móvil y Pago Móvil
9 Julio 28, 2010 para los demás servicios de Banca Electrónica
(excepto Host to Host)
9 Diversos plazos aplicables a controles específicos (TPV, ATMs,
CATs, Internet)
4
Alcance Reglas Banca Electrónica
Banca Electrónica: al conjunto de servicios y operaciones bancarias que las Instituciones de
Crédito pactan con el público, a través de Medios Electrónicos
Banca por Internet / Banca Host to Host
Banca Móvil / Pago Móvil
Banca Telefónica Audio‐respuesta / Voz a Voz
Terminales Punto de Venta / Cajeros Automáticos
5
Cumplimiento
Cumplimiento a las Disposiciones aplicables a los
servicios de Banca Electrónica
2010
1T 2T
3T
4T
2011
1T 2T
3T
4T
2012
1T 2T
3T
4T
2013
1T 2T
3T
4T
2014
1T 2T
3T
4T
Controles en Banca Móvil y Pago Móvil (1)
Entrega del programa para migración de ATM a lectores
de chip de tarjetas por nivel de riesgo
Cumplimiento de controles en los servicios de ATM,
TPV, BxI, BxT (IVR y V2V) (1)
Controles en la contratación de servicios de Banca
Electrónica
Migración de TPV a lectores de chip de tarjetas
Validación de respuestas mediante sistemas
informáticos en CAT
Migración de ATM de alto riesgo a lectores de chip de
tarjetas
Autorización para continuar usando tarjetas de
contraseñas como FAC3
Contraseñas de ocho caracteres en BxI
Cifrado de la Información Sensible del Usuario en TPV
Responsabilidad por operaciones realizadas en TPV y
ATM con tarjetas sin chip
Cumplimiento de controles en H2H (1)
Migración de ATM de mediano riesgo a lectores de chip
de tarjetas
Migración de ATM de bajo riesgo a lectores de chip de
tarjetas
(1) Registro de cuentas, límites transaccionales, uso de Factores de Autenticación, notificaciones, cifrado de Información Sensible del Usuario, seguridad en sesiones, registro de cuentas
destino)
6
¿Por qué modificar las Disposiciones?
9 Para adecuarlas al constante desarrollo de nuevas tecnologías, nuevos
productos y canales que generan nuevos riesgos
9 Para establecer controles que ofrezcan seguridad y confidencialidad en
el uso de la información a través de Medios Electrónicos
9 Para prevenir la realización de operaciones irregulares con medidas
que respondan a las nuevas y constantes técnicas de fraude a través
de Medios Electrónicos
7
Estructura de las Disposiciones
8
Detalle de las Disposiciones
9
Clasificación de las Operaciones Monetarias
Para fines de estas disposiciones, las Operaciones Monetarias se clasifican
en:
a) Micro Pagos: transacciones de hasta 70 UDIs. El saldo disponible de
la cuenta no puede ser mayor en ningún momento a 70 UDIs
b) De Baja Cuantía: transacciones de hasta 250 UDIs diarias
c) De Mediana Cuantía: transacciones de hasta 1,500 UDIs diarias
d) Por montos superiores al equivalente a 1,500 UDIs diarias
10
Especificaciones por Servicio
de Banca Electrónica
11
Banca por Internet
12
Riesgos en Operaciones Banca por Internet
Phishing
Pharming
Ingeniería social
Robo de identidad
Spam
Keylogger
Spyware
Adware
13
Puntos de Riesgo
Transmisión
Ingreso de las operaciones
Infraestructura tecnológica
Interior de los Bancos
Externa
14
Reclamaciones de Operaciones de Banca por Internet 2006 – 2009
$
1
1) 3 de marzo de 2006
Publicación de las
Disposiciones del Uso de
Medios Electrónicos
2
3
2) Septiembre 2006
Entra en vigor la primera fase
de las reglas con medidas de
seguridad básicas
3) 3 de Marzo de 2007
2ª. Fase – Segundo factor de
autenticación.
Reforzamiento en visitas de inspección en sitio
Fuente: CNBV a través de visitas de inspección al tercer trimestre 2009
15
Resumen por servicio
Banca por Internet
• Las disposiciones vigentes requieren:
• Pre-registro de cuentas destino
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
• Se refuerza la seguridad de la operación mediante los siguientes controles:
• La institución proporcione información para dar certeza de que el Cliente
accederá a la página de la Institución
• Construcción de contraseñas con mayor longitud (8 caracteres)
• Pre-registro de cuentas destino, habilitándolas en un periodo de 30
minutos
• Uso de un Segundo Factor de Autenticación en un mayor número de
ocasiones (Registro de una cuenta destino, establecimiento de límites
transaccionales y realizar una operación, principalmente)
16
Banca por Teléfono
• Voz a Voz
• Audiorespuesta
17
Resumen por servicio, cont.
Banca por Teléfono de Audio Respuesta
• Las disposiciones vigentes requieren:
• Pre-registro de cuentas destino
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
• Estamos reforzando la seguridad de la operación mediante los siguientes
controles:
• Pre-registro de cuentas destino, habilitándolas en un periodo de 30
minutos
• Uso de un Segundo Factor de Autenticación en un mayor número de
ocasiones (Registro de una cuenta destino, establecimiento de límites
transaccionales y realizar una operación, principalmente)
18
Principales Modificaciones, cont.
Banca por Teléfono Voz a Voz
• Este servicio no se encontraba regulado. Lo hemos incorporado regulando su
operación mediante los siguientes controles:
• Pre-registro de cuentas destino en otro servicio de Banca Electrónica o
con firma autógrafa
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
19
Cajeros Automáticos
Terminales Punto de Venta
20
Capítulo X
Fraudes en ATM
Dispositivo para leer y almacenar datos de bandas magnéticas Dispositivo “Dispensador de Folletos” para filmar saldo y NIP Enero 2010
CNBV
21
Capítulo X
Monto de fraudes TDD y TDC
$
Fuente: CNBV con datos de Banco de México
22
Principales Modificaciones
Cajeros Automáticos
• Este servicio ya se encontraba regulado, sin embargo, estamos reforzando
los controles de seguridad mediante los siguientes aspectos:
• Uso de un segundo Factor de Autenticación, pueden utilizarse tarjetas
con circuito integrado (chip). En caso que la Institución permita el uso de
tarjetas con otra tecnología, la Institución deberá asumir los riesgos y
costos
• Lectores para tarjetas con circuito integrado (chip). Su implementación
se puede hacer agrupando por nivel de riesgo iniciando en 2011 y
terminando en 2014.
• No requiere pre-registro de cuentas destino
• Límite transaccional de 1,500 UDIs diarias por cuenta
• Notificaciones al Usuario cuando el acumulado de las operaciones
monetarias sea mayor a 600 UDIs o bien, cada operación sea igual o
mayor a 250 UDIs
• Los bancos que autoricen operaciones con tarjetas que no tengan
circuitos integrados (chip) serán responsables de los costos de las
reclamaciones de los clientes. Esto entrará en vigor a partir de
2013.
23
Principales Modificaciones
Terminales Punto de Venta
• Requiere el uso de un segundo Factor de Autenticación para operaciones
monetarias
• Pueden utilizarse tarjetas con circuito integrado (chip). En caso que la
Institución permita el uso de tarjetas con otra tecnología, la Institución
deberá asumir los riesgos y costos
• Puede considerarse la firma autógrafa como Factor de Autenticación
• No requiere el uso de Factores de Autenticación para operaciones
monetarias menores a 70 UDIS (siempre que el banco asuma los
riesgos y costos)
• Requiere lectores para tarjetas con circuito integrado (chip).
• No requiere pre-registro de cuentas destino
• Posibilidad de establecer límites transaccionales definidos por el usuario
• Notificaciones al Usuario cuando el acumulado de las operaciones
monetarias sea mayor a 600 UDIs o bien, cada operación sea igual o mayor
a 250 UDIs
• Los bancos que autoricen operaciones con tarjetas que no tengan
circuitos integrados (chip) serán responsables de los costos de las
reclamaciones de los clientes. Esto entrará en vigor a partir de 2013.
24
¡Muchas Gracias por su atención!
Javier De la Rosa
[email protected]
25
26
Contratación
Se definen procesos para la contratación de los servicios
9 De forma presencial
(excepto Pago Móvil y cuando se usen tarjetas prepagadas y de baja
transaccionalidad –art 115 de la LIC- en ATM y POS)
9 Se permite contratar servicios adicionales a través de otros Medios
Electrónicos que usen 2FA (el cliente debe confirmar después de mínimo 30 minutos)
9 Pago Móvil puede contratarse en Centros de Atención Telefónica
9 El proceso para cancelar los servicios deberá ser similar en tiempo de
respuesta y canales, al de contratación
Banco
Primer Servicio
Más Servicios
27
Contratación
Los Usuarios podrán, en cualquier momento, desactivar y reactivar el uso
de un servicio de Banca Móvil y Pago Móvil en forma temporal
9 La desactivación puede realizarse en el mismo servicio o en otro,
requiriendo un Factor de Autenticación
9 La reactivación podrá realizarse vía CAT o con un procedimiento similar
al de contratación
28
Factores de autenticación
Se establecen criterios para verificar la identidad de los clientes a
través del uso de Factores de Autenticación:
Factor de Autenticación Categoría 1 (FAC1)
Procesos en CAT que utilizan cuestionarios de información que no ha
sido impresa o enviada al usuario. Algunas características son:
9 Los cuestionarios son definidos por la Institución evitando la
discrecionalidad para su aplicación
9 Deben utilizarse herramientas informáticas para la validación de
respuestas
9 Cuando se incluya una contraseña, ésta debe ser única para el servicio
y se debe solicitar información parcial
Se permite el uso de este factor para:
9 Autenticar usuarios en servicios Voz a Voz
9 Contratar servicios de Pago Móvil
9 Desbloquear los Factores de Autenticación,
reactivar o desactivar temporalmente el servicio
29
Factores de Autenticación
Factor de Autenticación Categoría 2 (FAC2)
Información que solo el usuario conoce, tales como contraseñas y NIP. Sus
características principales son:
9 Permite al usuario definir y cambiar su contraseña o NIP
9 Longitud mínima de ocho caracteres en general
•
•
•
Pago Móvil, cinco
Banca Móvil e IVR, seis
ATM y TPV, cuatro
9 Se debe proteger de lectura en pantalla
30
Factores de Autenticación
Factor de Autenticación Categoría 3 (FAC3)
Se compone de información contenida o generada por medios o dispositivos
proporcionados por las Instituciones a los usuarios, tales como dispositivos generadores
de contraseñas dinámicas de un solo uso.
31
Factores de Autenticación
Factor de Autenticación Categoría 3 (FAC3), cont.
Algunas características son:
9 El medio o dispositivo debe contar con propiedades que impidan su duplicación o
alteración, así como de la información que éstos contengan o generen
9 Debe contener información dinámica
9 Su vigencia es temporal (dos minutos) a menos que haya sido generada con datos
de la operación
9 No podrá ser utilizada en más de una ocasión
9 La información de autenticación no deberá ser conocida por la Institución ni por el
usuario con anterioridad a su generación y uso
Se considerarán dentro de esta categoría la información contenida
en el circuito integrado de tarjetas bancarias, siempre y cuando se
utilicen en dispositivos que obtengan dicha información
directamente de dicho circuito (chip)
Las Instituciones que en un periodo de tres años autoricen
operaciones con tarjetas sin uso del chip, deberán asumir los
costos de operaciones no reconocidas por los clientes.
32
Factores de Autenticación
Factor de Autenticación Categoría 3 (FAC3), cont.
Tablas aleatorias de contraseñas
Deben cumplir con:
9 El medio o dispositivo debe contar con
propiedades que impidan su duplicación
o alteración
9 Debe contener información dinámica que
no podrá ser utilizada en más de una
ocasión
9 La información de autenticación no
deberá ser conocida por la Institución ni
por el usuario con anterioridad a su
generación y uso
Las
Instituciones
deberán
obtener
autorización para el uso de este tipo de
tablas, debiendo asumir los costos de
operaciones no reconocidas.
Quienes la usen actualmente, tienen un
periodo de dos años para obtener dicha
autorización.
33
Factores de Autenticación
Factor de Autenticación Categoría 4 (FAC4)
Se compone de información del usuario derivada de sus propias características
físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o
retina, entre otras. Sus principales características son:
9 Los dispositivos biométricos deberán mantener elementos que aseguren
que la información sea distinta cada vez que sea generada, a fin de
constituir claves de acceso de un sólo uso y que en ningún caso pueda
repetirse o duplicarse con la de otro usuario
34
Autenticación Banco – Cliente - Banco
Se fortalece el procedimiento de Autenticación en Internet
9 Las Instituciones proporcionarán información personalizada para que el
usuario se asegure que está operando con la Institución correspondiente
•
Información que el usuario haya proporcionado a la Institución (nombre, alias, o
imágenes)
•
Información que pueda verificar en un dispositivo o medio de autenticación
(challenge/response)
9 La Institución deberá mostrar la fecha del último acceso y el nombre completo
del cliente
35
Uso de un Segundo Factor de Autenticación
Se requiere utilizar un segundo Factor de Autenticación (FAC3 o FAC4) para los
siguientes servicios:
9
9
9
9
9
9
9
9
9
Transferencias a cuentas de terceros u otros bancos
Pagos de créditos, de servicios e impuestos
Establecimiento e incremento de límites de montos
Registro de cuentas destino de terceros u otros bancos
Alta y modificación del medio de notificación
Consulta de estados de cuenta
Contratación de otros servicios de Banca Electrónica
Desbloqueo del servicio y reactivación
Retiro de efectivo en cajeros automáticos
Es posible realizar transferencias con un solo factor de
autenticación si la cuenta destino se dio de alta en sucursal
mediante firma autógrafa del cliente.
36
Registro de cuentas
Para la celebración de Operaciones Monetarias los Usuarios deberán registrar
las Cuentas Destino previo a su uso, considerando lo siguiente:
9 Se permitirá el registro de cuentas destino en un servicio de Banca Electrónica
para utilizarlas en dicho servicio o en otros
9 En el caso de servicios e impuestos, se considera como registro de cuentas
destino el registros de los convenios, referencias o beneficiarios
9 Las cuentas deberán quedar habilitadas después de un período no menor a
treinta minutos
9 Validar estructura de las cuentas destino
9 Las Instituciones no podrán registrar cuentas destino a través del servicio de
Banca Telefónica Voz a Voz
37
Excepciones para el Registro previo de cuentas destino
Las Instituciones podrán permitir a sus clientes realizar operaciones monetarias sin
que para ello les requieran el registro previo de las cuentas destino, siempre que:
9 Las operaciones sean realizadas a través de Banca host to host, terminales
punto de venta y cajeros automáticos
9 En operaciones de Banca Móvil y Pago Móvil cuando las operaciones no
excedan el monto definido para las operaciones de Baja Cuantía
38
Límites de monto
Las Instituciones deberán proveer lo necesario para que sus usuarios establezcan
límites de monto para las transferencias y pagos a cuentas de terceros u otros
bancos para los servicios de Banca por Internet, Banca Telefónica Voz a Voz,
Banca Telefónica Audio Respuesta y Banca Móvil :
9 En los servicios de Pago Móvil, el monto acumulado no podrá exceder del
equivalente a las operaciones de Mediana Cuantía en un día ni 4,000 UDIs
mensuales.
9 Tratándose de Micro Pagos, el saldo de la cuenta asociada no podrá ser mayor
a 70 UDIs
9 El límite máximo para operaciones en ATM será de 1,500 UDIs diarias
39
Confirmaciones y comprobantes
Las
Instituciones
deberán
solicitar
confirmación del usuario antes de realizar
operaciones monetarias con terceros u
otros bancos.
Las
Instituciones
deberán
generar
comprobantes para todas las operaciones
realizadas en un servicio de Banca
Electrónica
40
Notificaciones
Se deberá notificar a los usuarios a través de un medio diferente las siguientes
operaciones:
9
9
9
9
9
9
9
9
9
Transferencias a cuentas de terceros u otros bancos
Pagos de créditos, servicios e impuestos
Modificación de límites de montos
Registro de cuentas destino de terceros u otros bancos
Alta y modificación del medio de notificación
Contratación de otros servicios de Banca Electrónica
Desbloqueo del servicio y reactivación
Cambios de contraseñas
Retiro de efectivo en Cajeros Automáticos
Se exceptúan de notificación las operaciones de Pago Móvil, así como aquellas
realizadas en ATM y TPV cuando el acumulado sea menor a 600 UDIs ó 250 UDIs
en operaciones individuales si existen esquemas de prevención de fraudes.
41
Seguridad de la Información
La información sensible(1) debe ser protegida durante el uso
en Medios Electrónicos, cumpliendo con lo siguiente:
9 Siempre debe ser transmitida en forma cifrada, desde
el dispositivo de acceso hasta la recepción en la
Institución, así como para su almacenamiento, en su
caso.
9 Para los servicios de Pago Móvil, Banca Telefónica Voz a
Voz y Banca Telefónica Audio Respuesta, podrán
implementar controles compensatorios
(1)
Información personal del Usuario en conjunto con números de tarjetas de débito, crédito o
prepagadas bancarias, números de cuenta, información de autenticación
42
Sesiones seguras
Las Instituciones deberán asegurarse que una vez autenticado el usuario, la
sesión no pueda ser utilizada por un tercero, estableciendo mecanismos para:
9 Terminar sesiones en forma automática por inactividad del usuario de veinte
minutos como máximo, exceptuando:
9 Pago Móvil, ATM y TPV, un minuto máximo
9 Banca Telefónica Host to Host
9 Terminar sesiones en caso de detectar cambios en parámetros del enlace de
comunicación en Banca por Internet
9 Evitar sesiones simultáneas
9 Informar del cierre de sesión en caso de ingresar a servicios de terceros
ofrecidos por la misma Institución
43
Seguridad Informática
Establecer mecanismos de bloqueo automático de Factores de Autenticación
en los siguientes casos:
9 Cuando se intente ingresar al servicio con información de autenticación
incorrecta, en un número no mayor a 5 ocasiones
9 Cuando el usuario no utilice el servicio por un período que determine la
Institución, no mayor a un año
Se podrán utilizar preguntas secretas para el desbloqueo, si éstas se almacenan en
forma cifrada.
44
Prevención de operaciones irregulares
Las Instituciones deberán contar con los siguientes mecanismos para detectar y
evitar operaciones irregulares:
9 Aplicativos y procedimientos para prevención de fraudes en las operaciones
realizadas en Banca Electrónica
9 Registro detallado (bitácoras) de todos los eventos, servicios y operaciones
realizados en Banca Electrónica, incluyendo grabaciones del servicio Voz a Voz,
el cual debe ser revisado en forma periódica por la Institución y proporcionarse a los
clientes en caso de requerirlo
9 Medios y procedimientos para que los clientes reporten el robo o extravío de los
Factores de Autenticación
Mantener una base de datos centralizada, con todas las
operaciones no reconocidas por los Usuarios
Las Instituciones deben realizar revisiones de seguridad a la
Infraestructura de los servicios de Banca Electrónica, al menos
una vez al año, incluyendo a los dispositivos dispuestos para
su uso por los usuarios
La infraestructura para proporcionar los servicios de Banca
Electrónica, debe incluir dispositivos y aplicativos de detección
y prevención de eventos de seguridad
45
Monitoreo de incidentes
En caso de que la información sensible del usuario sea
extraída, extraviada o las Instituciones supongan o
sospechen de algún incidente que involucre accesos
no autorizados a dicha información, las Instituciones
deberán:
9 Enviar a la CNBV dentro de los cinco días
naturales siguientes al evento un reporte de pérdida
de información
9 Llevar a cabo una investigación inmediata para
determinar la posibilidad de que la información ha
sido o será mal utilizada, por lo que en este caso
deberán notificar, tan pronto como sea posible, esta
situación a los usuarios afectados, a fin de
prevenirlos de los riesgos derivados del mal uso de
la información que haya sido extraída, extraviada o
comprometida, debiendo informarle de las medidas
que deberán tomar.
9 Deberán enviar a la CNBV el resultado de la
investigación
46
Related documents
Archivo Adjunto
Archivo Adjunto
(11-dic-09) (OBSERVACIONES COFEMER) (LIMPIO).
(11-dic-09) (OBSERVACIONES COFEMER) (LIMPIO).
Capítulo X
Capítulo X
clonacion de tarjetas
clonacion de tarjetas
Arturo Murillo CNBV Mexico
Arturo Murillo CNBV Mexico
Como contabilizar los TPV.
Como contabilizar los TPV.
RDS Poliptico 17 - Banco Nacional de Bolivia
RDS Poliptico 17 - Banco Nacional de Bolivia
Acuerdo permite a los bancos extender plazo para la implementar
Acuerdo permite a los bancos extender plazo para la implementar
Reestructura tu Crédito de UDIS o VSM a Pesos
Reestructura tu Crédito de UDIS o VSM a Pesos
Archivo Adjunto
Archivo Adjunto
sudeban 641-10, regulación sobre los servicios electrónicos en
sudeban 641-10, regulación sobre los servicios electrónicos en
1 Informe de Comisiones y Comités 2016 Asociación de
1 Informe de Comisiones y Comités 2016 Asociación de
Descargar PDF - Sucursal Electrónica
Descargar PDF - Sucursal Electrónica
resol riesgo operativo-oficinas-seguridades informáticas JB-2148
resol riesgo operativo-oficinas-seguridades informáticas JB-2148
Conoce más
Conoce más
AUT-11 MANUAL DE TECNOLOGIAS DE LA INFORMACION
AUT-11 MANUAL DE TECNOLOGIAS DE LA INFORMACION
mpos instructivo2 - Banco Internacional
mpos instructivo2 - Banco Internacional
redes de cajeros automáticos bancarios y la estructura en
redes de cajeros automáticos bancarios y la estructura en
Recomendaciones BE - Banco Interacciones
Recomendaciones BE - Banco Interacciones
+ info aquí
+ info aquí
Diapositiva 1 - Banco Pichincha
Diapositiva 1 - Banco Pichincha
Presentación de PowerPoint
Presentación de PowerPoint