Please enable JavaScript.
Coggle requires JavaScript to display documents.
SEGURIDAD Y CALIDAD DE LA INFORMACIÓN, :<3:Referencias:, :<3: NOMBRE…
SEGURIDAD Y CALIDAD DE LA INFORMACIÓN
CRITERIOS DE SEGURIDAD
Calidad de la Información
Eficiencia:
Es el procesamiento de información donde utilizan los recursos.
Confiabilidad:
Es la información apropiada para administrar la empresa y a su vez cumplir sus obligaciones.
Efectividad:
Es la información correcta, relevante y oportuna.
Seguridad de la Información
Confidencialidad:
Se refiere a la información que no se puede divulgar, sino que es privada y solo ciertas personas autorizadas, podrán tener acceso a ella.
Integridad:
Es la información que debe ser precisa , confiable y coherente.
Disponibilidad:
Es la información que debe tener los recursos necesarios y debe ser información oportuna.
CANALES
Distribución
Cajeros Automaticos
Receptores de cheques
Oficinas
Receptores de dinero en efectivo :
Pos
Sistema de Audio
Internet
Dispositivos Moviles
Medios
Tarjeta Debito
Tarjeta Credito
Cheques
Efectivo
Vulnerabilidad Informatica
Hace referencia a la ausencia o deficiencia la cual está permitiendo violar las medidas de seguridad para que a su vez puedan acceder al canal de forma no autorizada y beneficiarse por parte de terceros.
Cifrado Fuerte
Protegen la información que utilizan los algoritmos , brindando por lo menos los niveles de seguridad ofrecidos por AES Y 3DES.
Sistema de Acceso Remoto
Hace referencia a la conexión realizada por un tercero , el cual tiene en cuenta los enlaces conmutados o dedicados.
Operaciones
Son las que se desarrollan los productos o servicios que presta la entidad al igual implica movimientos en sus cuentas como:
Transacción
Depositos
Pagos
Consulta de historias laborales
Cliente
Son las personas naturales o jurídicas con la que la entidad establece una relación legal y suministran cualquier producto o servicio que sea propio de la actvidiad.
Usuario
Es la persona natural o jurídica que sin ser cliente, la entidad le presta un servicio.
Producto
Se refiere a las operaciones que son autorizadas legalmente que pueden adelantar las entidades que son por medio de:
Seguros
Cuenta Corriente o de Ahorros
Inversiones
CDT
Servicio
Es la relación que tiene las entidades sometidas a inspección y la vigilancia de la SFC.
Dispositivo
Se refiere a una maquina la cual es para producir alguna función determinada.
INFORMACIÓN CONFIDENCIAL
Se considera información confidencial, toda aquella que este amparada por la reserva bancaria, como un numero de cuenta o de identificación , para así conservar su información privada y a su vez que este acompañada por nombre o numero de identificación del cliente para mayor privacidad.
OBLIGACIONES GENERALES
Las entidades deben adoptar las obligaciones generales como lo son:
Requerimientos de Seguridad y Calidad
:check: Dar seguridad de la información , donde se tienen como base de referencia ISO 17799 y 27001.
:check: Dar disposición sobre envíos de información a los clientes , tales como certificaciones , extractos, notificaciones y a su vez tarjetas de debito o de crédito, para que así la información que se está dando a los clientes sea de manera confidencial y se adjunte por medio de un correo electrónico.
:check: Deben disponer de software, equipos y hadware , los cuales permitan prestar sus servicios y a su vez manejar información de seguridad y calidad.
:check: Dar mucha confianza y seguridad en la información confidencial de los clientes que manejen los equipos y redes de la compañia.
:check: Dar confiabilidad o velar por la información que se esté enviando a los clientes que esté libre de algún software con virús.
:check: Tener seguridad y protección sobre las claves de acceso a los sistemas de información.
:check:Tener suficientes equipos de cómputos dotados , los cuales eviten capturas de información privada de los clientes y de las operaciones.
:check: Que los niveles de seguridad de los elementos usados en los canales no sean disminuidos en toda la vida útil.
:check: Solo personas autorizadas pueden entrar al sistema sin ningún inconveniente.
:check: Dar ofrecimiento cuando el cliente exija las posibilidades de manejar una contraseña diferente para cada uno de los canales.
:check: Crear o establecer procedimientos para el bloqueo de canales o de medios cuando se den a conocer situaciones que lo ameriten después de cierto numero de intentos fallidos.
:check: Elaborar un perfil por cada cliente sobre sus costumbres transaccionales y que defina los procedimientos para la confirmación de operaciones que no hagan parte de sus hábitos.
:check: Tener operación de los protocolos , servicios, aplicaciones , equipos necesarios que sean para el desarrollo de sus actividades y competencias.
Tercerización -Outsourcing
Deben cumplir los siguientes requerimientos, las entidades que contraten bajo modalidad de tercerización:
:star: Deben definir los criterios y procedimientos a partir de la selección de terceros y de los servicios de los cuales se encargarán.
:star: Se deben incluir los contratos a partir de la entrada los cuales tengan en vigencia, estos aspectos:
Aspectos
:smiley: Niveles de servicio y operación.
:smiley: Acuerdos de confidencialidad sobre la información que se maneja en la entidad.
:smiley: Propiedad de la información.
:smiley: Tener restricciones sobre el software del empleado.
:smiley: Tener en cuenta las normas de informática físicas que deben ser aplicadas.
:smiley: Conocer el procedimiento a seguir cuando se refleje alguna evidencia de alteración o manipulación de información o incluso de los equipos.
:smiley: Llevar a cabo los controles para la entrega de información manejada y la destrucción por parte del tercero cuando se finalice el servicio.
:smiley: Ser exigente con los planes de contingencia que dispongan los terceros contratados.
Documentación
:pencil2:Requerimientos
:pencil2: Se debe dejar constancia de todas las operaciones que se realicen en los diferentes canales de distribución.
:pencil2:Se debe velar por los oranos de control que incluyan en sus informes evaluaciones acerca del cumplimiento del control y seguridad y sus normas que son establecidas por la entidad.
:pencil2: Se debe mantener las estadísticas anuales a 31 de diciembre de cada año a disposición de la superintendencia financiera de Colombia SFC , hay que tener en cuenta que esta información se debe conservar mínimo 3 años.
:pencil2: Conservar todos los soportes y documentos donde se establecieron los compromisos tanto de las entidades como de sus clientes.
:pencil2:Tener un control de registros de las consultas realizadas por los funcionarios de la entidad sobre la información confidencial.
:pencil2: Tener en cuenta el registro de actividades adelantadas con los dispositivos finales a cargo de la entidad que son usados para los canales de distribución de servicios.
Divulgación de Información
:no_entry: Requerimientos:
:no_entry: Se debe conocer la realización previa de la operación , el costo a sus respectivos clientes y usuarios.
:no_entry: Verificar las condiciones bajo las cuales los clientes pueden ser informados acerca de las operaciones que son realizadas con sus productos.
:no_entry: Se debe suministrar a los clientes la información clara, completa y oportuna de los productos.
:no_entry: Se debe capacitar e informar a los clientes acerca de las medidas de seguridad que deberán implementar para la realización de las operaciones.
:no_entry: Establecer y públicar canales de distribución sobre las medidas de seguridad que debe adoptar el cliente.
:no_entry: Crear nuevos procedimientos para dar a conocer los riesgos derivados del uso de los diferentes medios tanto a los clientes como a los usuarios y funcionarios.
:no_entry: Expedición de soporte en papel por medios electronicos al momento de realizar cada transacción.
OBLIGACIONES ADICIONALES POR TIPO DE CANAL
Oficinas
Requerimientos
:<3: Deben cumplir con el acceso controlado de protección nivel de seguridad C2 .
:<3: Deben haber cámaras de video con el fin de cubrir el acceso principal y las areas de atención público.
:<3: Sistemas informaticos que son empleados para la prestación de servicios el cual las oficinas debencontar con soporte del fabricante.
:<3:Tener ciertos mecanismos , con el fin de evitar que las personas sin autorización atiendan a los clientes o usuarios de la entidad.
:<3: Información cifrada por hardware de propósito especifico.
:<3: Realizar procedimientos necesarios para atender de manera segura y confiable a los clientes.
:<3:Contar con suficientes elementos al momento de atender al público.
Cajeros Automaticos
Requerimientos
:star: Deben tener sistemas de grabación que asocien los datos e imagenes de cada transacción.
:star: La información que viaja de la oficina al cajero debe ser protegida utilizando hardware de propósito especifico indeoendiente.
:star: Crear un intercambio de llaves entre los sistemas de cifrado, para aprtar seguridad en las operaciones realizadas.
:star: En los sitios donde se instalen los cajeros automáticos deben contar con medidas de seguridad y adicional de esto deben tener mecanismos que garanticen la privacidad en la relación de transacciones.
Receptores de cheques
Requerimientos
:smiley: Cuando el cliente deposite el cheque ,lo que debe hacer el sistema es mostrar una imagen de la información y se asocia con la transacción.
:smiley: Dar a conocer mecanismos que identifiquen y acepten los cheques sobre los datos de la entidad emisora, numero de cuenta y numero de cheque.
:smiley: Al cheque se le debe colocar una marca que indique que fue depositado en algún modulo.
Receptores De Dinero En Efectivo
Requerimientos
:fire: Se debe contar con mecanismos que verifiquen autenticidad y denominación de los billetes.
:fire: Se debe totalizar el monto de la operación con el dinero aceptado y además de esto permite que el cliente nos de confirmación de la realización.
:fire: Cuando las operaciones son efectivo se deben realizar en línea.
:fire: Cuando los billetes no son aceptados , no pueden ser retenidos sino que se retorna inmediatamente al cliente o al usuario.
POS
Requerimientos
:<3:La lectura de las tarjetas se deben hacer a través de datafonos y por medio de los PIN Pad.
:<3: Debe cumplir con el sistema EMV (Mastercad o VISA)
:<3: Los administradores del canal deben permitir la autenticidad del datafono que se conecta entre ellos.
:<3: Se deben establecer procedimientos que permitan confirmar la entidad de los funcionarios autorizados por los responsables del datáfono para retirar o para hacer mantenimientos a los equipos.
:<3: Se deben contar con mecanismos que reduzcan la posibilidad de que los terceros puedan observar la clave que es digitada por el cliente.
Sistema De Audio Respuesta
Requerimientos
:star: Se debe permitir transferir la llamada en los horarios de atención al público.
:star: Deben permitir al cliente que confirme la información suministrada en la realización de la transacción.
Centro De Atención Telefónica
Requerimientos
:explode: Se debe impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información que no es suministrada por la entidad.
:explode: Deben garantizar que los equipos destinados a los centros de atención telefónica solo sean utilizados en la prestación de servicios por el canal.
:explode: Se debe destinar una área exclusivamente para los recursos necesarios en la prestación del servicio.
:explode: Se deben dotar los equipos que operan en el centro de atención telefónica de los elementos para que impidan el uso de dispositivos de almacenamiento no autorizados por la entidad.
Internet
Requerimientos
:check: Se debe realizar una prueba de vulnerabilidad al año.
:check: Se debe redurcir las posibilidad de que las personas o autorizadas puedan captar información confidencial.
:check: Se deben implementar algoritmos para así brindar comunicación segura.
:check: Se debe establecer el tiempo maximo de inactividad.
:check: Se debe informar a el cliente la hora y la fecha de su ultimo ingreso a internet.
Prestación De Servicios A Través De Nuevos Canales
Requerimientos
:star: Debe tener adelantado el análisis de riesgos del nuevo canal.
:star: Debe remitir al SFC con 15 día de antelación para el inicio de distribución de servicio con los siguientes aspectos:
:check: Tecnología que utilice el nuevo canal.
:check: Descripción del procedimiento para la prestación del servicio.
:check: Análisis de riesgos y medidas de seguridad y precaución.
:check: Planes de contingencia y continuidad.
:check: Capacticación dirigida a los clientes y usuarios sobrelos riesgos.
Reglas Sobre Actualización De Software
Requerimientos
:smiley: Se deben mantener 3 ambientes , uno para el desarrollo de software , otro para realización de pruebas y el ultimo para los sistemas de ambiente .
:smiley: Se debe implementar procedimientos que verifiquen los programas de ambiente de la producción correspondiente.
:smiley: Se deben establecer ciertos controles para garantizar la destrucción de copias de información de los clientes.
Obligaciones Específicas Por Tipo de Medio
:<3: Se deben establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, devolución y destrucción de las tarjetas y además de esto se debe estipular el tiempo máximo de permanencia de las tarjetas.
:<3: Se puede ofrecer a los clientes, tarjetas de debito o de crédito que manejen internamente cualquiera de los mecanismos como OTP y que sus transacciones sean en cajero automático. POS, o en internet.
Vulnerabilidades
:star: Generar 2 veces al año,el informe de vulnerabilidad que se encontraron.
:star: Estas deben remediar las vulnerabilidades encontradas.
:star: Realizar análisis diferencial de vulnerabilidades comparativas.
:star: Se deben tener herramientas para los análisis y debe ser homologado por la CVE y además debe ser actualizado en la fecha que se utilizó.
:<3:Referencias:
• Información Tomada de documentos aula virtual
o Word: CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN A TRAVÉS DE MEDIOS Y CANALES DE DISTRIBUCIÓN DE PRODUCTOS Y SERVICIOS.
o Power Point : Criterios de seguridad y calidad de la información Auditoria de sistemas C.P. Oscar Mauricio Corredor M 2021
:<3: NOMBRE: DENNIS XIMENA AVILA GOMEZ
ID:684895
