Please enable JavaScript.
Coggle requires JavaScript to display documents.
CRITERIOS DE SEGURIDAD Y CALIDAD DE LA INFORMACION - Coggle Diagram
CRITERIOS DE SEGURIDAD Y CALIDAD DE LA INFORMACION
Ámbito de aplicación
Entidades sometidas a vigilancia y control de la Superintendencia Financiera de Colombia
Obligaciones adicionales por tipo de canal
Oficinas
Los sistemas informáticos estar respaldado por soporte técnico por parte del proveedor
Camaras de vídeo con al menos 1 año de grabación
Mecanismos que eviten que los clientes sean atendidos por terceros
Procedimientos que garanticen que los clientes sean atendidos siempre
Elementos que garanticen la atención al cliente
Cajeros automáticos ATM
Cifrado extremo de la información del cliente
Autenticaciòn del cliente protegida por cifrado
Protección física de los ATM y que garantice la confidencialidad
Sistemas de grabación con almacenamiento de al menos un año
Herramientas de identificación que garanticen el reconocimiento de los ATM
Receptores de cheques
Herramientas que lean de manera automática aspectos como entidad, numero de cuenta y numero de cheque
Un vez se registre el cheque, se deben poder confirmar los datos mediante el sistema
Los cheques devueltos deben ser entregados inmediatamente al cliente, explicando el por qué
Receptores de dinero en efectivo
Herramientas que permitan verificar la autenticidad del dinero
Totalizar e informar la cantidad de dinero entregada
Operaciones realizadas de manera electrónica, que permita verificar su afectación en la cuenta
Billetes no aceptados deben ser devueltos de manera inmediata
Presentación de servicios a través de nuevos canales
Obligaciones generales
Seguridad y calidad
Contar con Software, Hardware equipos y demás procedimientos que garanticen la seguridad de la información
Preservar la seguridad de la información
Garantizar que la información enviada a los clientes se realice de manera discreta
Disponer seguridad a la información de los clientes
Procurar que la información enviada a los clientes no contenga Software maliciosos
Salvaguardar las contraseñas para el ingreso a los sistemas de información
Implementar programas que no permitan la instalación de dispositivos que captar la información de la entidad o sus clientes
Garantizar porque los controles de seguridad funcionen por la totalidad de su vida útil
Permitir que los clientes establezcan las cualidades por medio de las cuales usarán los medios proporcionados
Gestionar una contraseña distinta para cada canal, siempre y cuando el cliente lo requiera
Gestionar las acciones en los dispositivos solo por personal autorizado
Establecer medidas que permitan al cliente bloquear sus canales, o hacerlo automático en caso de actividad sospechosa
Tercerización - Outsoursing
Limitaciones en el Software
Lineamientos a seguir cuando se evidencie manipulación de la información
Establecer en el contrato aspectos como nivel de servicios, acuerdos de confidencialidad
Procedimiento para entrega y destrucción la de información, manipulada por el tercero
Definir criterios para seleccionar las empresas tercerizadas
Reglas sobre la actualización del software
Análisis de las vulnerabilidades
Tomar acción en las vulnerabilidades encontradas
Comparar las vulnerabilidades encontradas en el proceso anterior con el presente
Producir un informe donde se especifiquen las vulnerabilidades informáticas de la organización
Las vulnerabilidades encontradas deberán ser homologadas y actualizadas
Contar con un Hardware separado de toda la parte informática de la entidad
Para la realización del informe se debe tener en cuenta la lista de vulnerabilidades que se encuentran en la corporación Mitre
Definiciones y criterios seguridad y calidad
Criterios de calidad
Eficiencia
Los recursos para el manejo de la información deben ser usados con el mejor desempeño
Confiabilidad
La información debe ser acorde a las necesidades de la organización
Efectividad
La información debe ser de utilidad
Criterios de seguridad
Integridad
El proceso para la trata de la información debe ser concisa en todo momento
Disponibilidad
La información debe poderse presentar de manera oportuna en el momento que se necesite
Confidencialidad
Salvaguardar la información que no debe ser difundida
Canales de distribución de servicios financieros
Medios
Instrumentos, que son los que serán repartidos en los canales
Vulnerabilidad informática
Ausencia o deficiencia de controles en la trata de la información, que facilitan el acceso a la información por personas malintencionadas
Cifrado fuerte
Codificaciones que permiten el aseguramiento de la información
Sistema de acceso retomo (RAS)
ingreso de un tercero al sistema por medio de enlaces específicos
Operaciones
Acciones que permiten materializar los productos o servicios que prestan las empresas
Cliente
Persona con la cual la entidad mantiene relación para la venta de productos o servicios
Producto
Operaciones que pueden realizar las organizaciones vigiladas, que se rigen mediante un contrato
Servicio
Acción de las entidades para su cliente, que incentiva su objeto social
Dispositivo
Objeto con determinada función
Información confidencial
Información amparada por la reserva bancaria