Please enable JavaScript.
Coggle requires JavaScript to display documents.
CAPÍTULO II: REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACIÓN -…
CAPÍTULO II: REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACIÓN
SECCION 1: DISPOSICIONES GENERALES
Articulo 1-(Objeto)
Este reglamento establece las directrices mínimas para
Entidades de Intermediación Financiera (EIF)
Empresas de Servicios Financieros Complementarios (ESFC)
tamaño
estructura
naturaleza
complejidad de las operaciones de cada entidad.
Sociedades Controladoras de Grupos Financieros (SCGF)
Artículo 2° - Ámbito de aplicación
Aplica a Entidades Supervisadas con licencia de ASFI
EIF
ESFC (excepto Casas de Cambio)
SCGF
Artículo 3° - Definiciones
a. Activo de información
Datos, sistemas y elementos de tecnología que tienen valor para la entidad.
Registrar y controlar el inventario de equipos, sistemas y datos. (OCS Inventory)
b. Acuerdo de nivel de servicio (SLA: Service Level Agreement )
Documento sobre las condiciones de un servicio
entre un
proveedor
la entidad supervisada.
Auditoría de cumplimiento de SLA, monitoreo de niveles de servicio.
c. Ambientes de desarrollo, prueba y producción
Recursos de Tecnologías de Información
destinados al
desarrollo
pruebas
uso oficial de sistemas informáticos
Separación de ambientes, control de versiones, validación de acceso. (Jenkins)
d. Análisis y evaluación de riesgos en seguridad de la información
Proceso para identificar
activos de información
amenazas
con el fin de establecer controles de seguridad.
riesgos
Análisis FODA, matriz de riesgos, evaluaciones periódicas.
e. Área de exclusión:
Área de acceso restringido identificada en las instalaciones de la
Entidad Supervisada
Control de acceso físico, registros de entrada/salida,
f. Banca electrónica:
Servicios financieros a través de Internet u otros medios electrónicos.
Auditoría de transacciones, análisis de logs, pruebas de penetración.
g. Cajero automático (CA): P
Dispositivo para realizar transacciones financieras de manera automatizada.
Revisión de registros de operación, monitoreo de transacciones, control físico.(APTRA Vision)
h. Centro de procesamiento de datos (CPD):
Infraestructura para procesar información
Auditoría de infraestructura, control ambiental, planes de recuperación.
i. Centro de procesamiento de datos alterno (CPDA):
Infraestructura que soporta procesamiento alterno de información en un lugar geográficamente diferente al CPD.
j. Cifrar:
Proceso de convertir información en un formato ilegible para evitar que sea accedida por personas no autorizadas.
Cifrado de datos en tránsito y reposo, revisión de políticas criptográficas.
k. Contraseña o clave de acceso (Password):
Conjunto de caracteres que sirve para autenticar al usuario.
Verificar la fortaleza de contraseñas y su cumplimiento con políticas.(Specops Auditor)
l. Computación en la nube (Cloud Computing):
Acceso bajo demanda a recursos compartidos (ej. servidores remotos).
Evalúan seguridad en entornos de nube (usuarios, accesos, configuraciones). (Azure Security Center)
m. Cortafuegos (Firewall):
Dispositivo que controla el tráfico entre sistemas y redes, permitiendo solo el tráfico autorizado.
Revisión de reglas, monitoreo de tráfico, pruebas de vulnerabilidad.
n. Encargado del tratamiento:
Proveedor de servicios de computación en la nube.
Auditoría de terceros, control de contratos, revisión de acuerdos de seguridad.
o. Equipo crítico:
Equipos esenciales para las operaciones de la entidad.
Análisis de dependencia, pruebas de continuidad operativa, control de mantenimiento.
p. Hardware:
Componentes físicos de una computadora.
Inventario y licenciamiento, verificación de uso autorizado, revisiones periódicas
q. Incidente de seguridad de la información:
Sucesos que amenazan la seguridad de la información o los recursos tecnológicos de la entidad.
.Detectar y registrar eventos sospechosos o ataques.(Splunk, Wazuh)
r. Interfaz de programación de aplicaciones de la computación en la nube (Cloud API):
Interfaces que permiten la comunicación entre servicios en la nube y otras aplicaciones.
Revisión de permisos API, auditoría de llamadas, controles de autenticación.
s. Internet:
Red mundial que permite la comunicación de datos.
Monitoreo de tráfico de redes, políticas de uso aceptable, filtrado de contenido.(Wireshark,Tshark)
t. Intranet:
Red interna que permite compartir información dentro de la entidad.
u. Infraestructura de tecnología de la información:
Conjunto de hardware, software, redes y otros recursos para el procesamiento de información.
v. Mecanismo de autenticación robusta:
Verificación de identidad basada en la combinación de dos de tres factores (algo que el usuario sabe, tiene o es).
Doble factor de autenticación, control de accesos, revisión de sesiones.
w. Medios de acceso a la información:
Equipos y redes que permiten acceder a la información.
Control de dispositivos, políticas de uso seguro, segmentación de red.
x. Plan de contingencias tecnológicas:
Procedimientos a seguir en caso de un evento que afecte los recursos tecnológicos de la entidad.
Pruebas de recuperación, revisión de planes BCP/DRP, simulacros.
y. Plan de continuidad del negocio (BCP: Business Continuity Planning):
Plan para restaurar servicios críticos después de una interrupción.
z. Portabilidad:
Característica de los servicios de nube que permite mover datos de un proveedor a otro sin pérdida de información.
Evaluación de compatibilidad, pruebas de migración, control de integridad.
Artículo 3° - Definiciones (PARTE 2)
aa. Principio de menor privilegio:
Los usuarios y programas deben operar con los privilegios estrictamente necesarios.
Revisión de roles, asignación mínima necesaria, separación de funciones.
bb. Proceso crítico:
Sistema cuya interrupción afecta las operaciones de la entidad.
cc. Procedimiento de enmascaramiento de datos:
Modificación de datos en pruebas para mantener la confidencialidad.
Control de enmascaramiento de datos, Técnicas de pseudonimización, anonimización, segmentación de datos.
dd. Procesamiento de datos o ejecución de sistemas en lugar externo:
Procesos informáticos realizados fuera de las instalaciones de la entidad.
Evaluación de seguridad de proveedores, cláusulas contractuales, revisión de SLA.
ee. Propietario de la información:
Responsable del control y seguridad de los activos de información.
ff. Protección física y ambiental:
Medidas para proteger las instalaciones y equipos de procesamiento de datos.
gg. Pruebas de intrusión (Pen test):
Pruebas para identificar vulnerabilidades que podrían ser explotadas por intrusos.
Pentesting, escaneo de vulnerabilidades, simulación de ataques.
hh. Punto de venta (POS: Point Of Sale):
Equipos que permiten realizar pagos electrónicos mediante tarjetas.
Monitoreo de transacciones, revisión de logs, segmentación de red.
ii. Respaldo o copia de seguridad (Backup):
Copia periódica de datos para recuperación en caso de pérdida.
Pruebas de restauración, validación de integridad, políticas de respaldo.
jj. Responsable del tratamiento:
Persona o entidad que contrata servicios de computación en la nube.
Auditoría de contratos, validación de medidas de seguridad, revisión de datos compartidos.
kk. Seguridad de la información:
Medidas para proteger la información, asegurando su confidencialidad, integridad y disponibilidad.
Aplicación de políticas, formación y concienciación, monitoreo continuo.
ll. Servicio de Pago Móvil: C
Servicios relacionados con el uso de billeteras móviles y pagos electrónicos.
Análisis de logs, control de autenticación, validación de cifrado en transacciones.
mm. Sistema de información:
Conjunto de procedimientos y tecnologías que permiten gestionar la información.
Auditoría técnica, validación de integridad, revisión de accesos.
nn. Sitio externo de resguardo:
Lugar externo para almacenar recursos tecnológicos críticos.
oo. Software:
Conjunto de programas que permiten realizar tareas específicas.
Control de versiones, auditoría de licencias, revisión de vulnerabilidades.
pp. Tarjeta electrónica:
Dispositivo que permite realizar pagos electrónicos y consultas
Revisión de uso, monitoreo de transacciones, validación de autenticación.
qq. Transferencia electrónica de información:
Envío de datos y archivos a través de medios electrónicos.
Validación de cifrado, control de integridad, monitoreo de tráfico.
rr. Tecnología de la información (TI):
Conjunto de herramientas y recursos que facilitan el almacenamiento, procesamiento y transmisión de información.
Evaluación de infraestructura, análisis de brechas de seguridad, control de cumplimiento de políticas.
ss. Transacción electrónica:
Operaciones realizadas por medios electrónicos que afectan cuentas financieras.
Auditoría de logs, verificación de trazabilidad, detección de anomalías.
tt. Usuario del sistema de información:
Persona identificada, autenticada y autorizada para acceder y utilizar los sistemas de información.
Ésta puede ser
funcionario
Cliente
Control de accesos, monitoreo de actividad, validación de permisos según rol.
Artículo 4° - (Criterios de la seguridad de la información)
a. Autenticación:
Identificación del generador y el usuario de la información.
Autenticación multifactor, control de identidad, tokens de acceso.
b. Confiabilidad:
La información debe ser precisa y veraz para apoyar la toma de decisiones.
Control de calidad de datos, trazabilidad, validación cruzada.
c. Confidencialidad:
La información debe estar disponible solo para usuarios autorizados.
Cifrado, control de acceso, políticas de clasificación.
d. Cumplimiento:
Cumplir con leyes y regulaciones aplicables.
Auditorías internas, revisión normativa, controles de cumplimiento.
e. Disponibilidad:
Asegurar que la información esté disponible cuando se requiera.
Monitoreo de disponibilidad, redundancia, planes de contingencia.
f. Integridad:
Mantener la información tal cual fue generada, sin modificaciones no autorizadas.
Controles de cambio, hash de datos, registros de modificaciones.
g. No repudio:
Asegurar que el emisor y el receptor no puedan negar el envío o la recepción de la información.
Firmas digitales, trazabilidad, registros inalterables.
Debe cumplir con los siguientes criterios de seguridad:
SECCIÓN 2: PLANIFICACIÓN ESTRATÉGICA, ESTRUCTURA Y ORGANIZACIÓN DE LOS RECURSOS DE TI
Artículo 1° - Planificación Estratégica
La entidad debe desarrollar un Plan Estratégico de TI alineado con su estrategia institucional.
Debe considerar tamaño, procesos, operaciones y análisis de riesgos en seguridad de la información.
Debe ser aprobado por el Directorio .
El área de TI debe actualizar el plan según las tendencias tecnológicas y regulaciones de ASFI.
Artículo 2° - Estrategia de Seguridad de la Información
La entidad debe definir una estrategia de seguridad de la información dentro de su Plan Estratégico de TI.
Debe permitir una gestión y control efectivo de la información.
Artículo 3° - Infraestructura de TI
La infraestructura de TI debe ser adecuada según el tamaño, estructura y complejidad de la entidad.
Debe basarse en los análisis de riesgos en seguridad de la información.
Artículo 4° - Estructura Organizativa
La entidad debe definir una estructura organizativa clara para la gestión de TI y seguridad de la información.
Las funciones y responsabilidades deben estar documentadas en un manual de organización aprobado por el Directorio.
Artículo 5° - Comité de Tecnologías de la Información
Responsable de definir políticas, procedimientos y prioridades en TI.
Presidido por un miembro del Directorio , incluye Gerente General y responsables de TI.
Debe documentar reuniones y acuerdos en actas.
Artículo 6° - Comité Operativo de Tecnologías de la Información
Coordinar internamente la gestión de TI.
Formado por ejecutivos y responsables del área de TI.
Debe registrar sus decisiones y reuniones en actas.
Artículo 7° - Responsable de la Seguridad de la Información
La entidad debe contar con un responsable o instancia encargada de la seguridad de la información.
Debe ser independiente del área de TI, unidades operativas y auditoría.
Gestiona la implementación y actualización de la Política de Seguridad de la Información (PSI)
SECCIÓN 3: ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Artículo 8 - Análisis de Vulnerabilidades Técnicas:
Las entidades deben realizar evaluaciones anuales de vulnerabilidades técnicas y pruebas de intrusión controladas. Estas evaluaciones pueden ser internas o externas, y los proveedores de estos servicios deben contar con certificaciones y acuerdos de confidencialidad.
Artículo 6 - Clasificación de la Información:
Se debe establecer un esquema de clasificación de la información según su criticidad y sensibilidad, con restricciones de acceso documentadas y comunicadas a todas las áreas.
Artículo 7 - Propietarios de la Información:
La propiedad de la información debe ser asignada a un responsable jerárquico, quien coordinará con el área de seguridad para establecer controles de protección adecuados.
Artículo 4 - Acuerdo de Confidencialidad:
Todo el personal, incluidos directores, ejecutivos y consultores, debe firmar acuerdos de confidencialidad que cubran la protección de la información incluso después de finalizada la relación contractual.
Artículo 5 - Inventario de Activos de Información:
Las entidades deben mantener un inventario actualizado de sus activos de información, asignando responsables para su protección. Este inventario debe reportarse anualmente a la ASFI.
Artículo 3 - Licencias de Software:
El software utilizado debe contar con licencias legales y vigentes. La entidad debe definir procedimientos para la instalación, mantenimiento y control de las licencias.
Artículo 2 - Política de Seguridad de la Información (PSI):
Cada entidad debe contar con una PSI formalizada, actualizada y aprobada por el Directorio. Esta política debe ser comunicada a toda la organización y revisada anualmente, considerando cambios operacionales.
Artículo 1 - Análisis y Evaluación de Riesgos:
Las entidades supervisadas deben realizar un análisis y evaluación de riesgos en seguridad de la información, adaptado a su naturaleza y complejidad. El resultado debe reflejarse en un informe dirigido a la Gerencia General y posteriormente al Directorio. Este proceso debe revisarse y actualizarse anualmente.
Artículo 9 - Clasificación de Áreas de Exclusión:
Se deben identificar y clasificar las áreas de tecnología de información como zonas de acceso restringido, estableciendo medidas de protección.
Artículo 10 - Centro de Procesamiento de Datos (CPD):
El CPD debe cumplir con requisitos de ubicación, espacio, energía regulada, cableado seguro y eliminación de materiales inflamables. Los equipos deben estar protegidos y asegurados.
Artículo 11 - Manuales de Procedimientos del CPD:
Las entidades deben contar con manuales para la operación, mantenimiento, administración de accesos y pruebas de dispositivos de seguridad del CPD.
Artículo 12 - Protección de Equipos:
El CPD debe tener sistemas de ventilación, extintores, detectores de temperatura y humedad, suministro de energía ininterrumpida, control de accesos y videovigilancia.
Artículo 13 - Suministro Eléctrico:
La entidad debe contar con una fuente eléctrica independiente para sus equipos críticos, asegurando la continuidad del servicio en línea con su Plan de Continuidad del Negocio.
Artículo 14 - Seguridad del Cableado de Red:
El cableado de red debe cumplir con estándares de cableado estructurado para garantizar la seguridad y funcionalidad.
Artículo 15 - Pruebas a Dispositivos de Seguridad:
Los dispositivos de seguridad física deben ser probados al menos dos veces al año, manteniendo la documentación de las pruebas para la ASFI.
Artículo 16 - Responsabilidad en la Gestión de Seguridad de la Información:
Las responsabilidades en seguridad de la información deben estar claramente definidas y documentadas. Deben implementarse procesos disciplinarios para violaciones de la PSI.
Artículo 17 - Custodia y Conservación de Datos:
Los registros deben conservarse por al menos 10 años, o 20 años en casos de operaciones crediticias castigadas. Documentos en litigio no deben ser destruidos.
Artículo 17 - Custodia y Conservación de Datos:
Los registros deben conservarse por al menos 10 años, o 20 años en casos de operaciones crediticias castigadas. Documentos en litigio no deben ser destruidos.
Artículo 18 - Destrucción Controlada de Medios:
Las entidades deben establecer procedimientos para la destrucción segura de medios de almacenamiento de información, garantizando la eliminación completa de datos confidenciales.
SECCIÓN 6: GESTIÓN DE OPERACIONES DE TECNOLOGÍA DE INFORMACIÓN
Gestión de Operaciones de Tecnología de Información
Art. 1 Gestión de Operaciones
• Documentación de procesos en el Centro de Datos.
• Revisión periódica de procedimientos.
Art. 2 Administración de Bases de Datos
• Procedimientos para instalación, migración y mantenimiento.
• Control de acceso y estudios de desempeño.
Art. 3 Respaldo y Copia de Seguridad
• Políticas para respaldo seguro.
• Protección física y lógica de la información.
Art. 4 Mantenimiento Preventivo
• Cronograma documentado para los recursos tecnológicos.
SECCIÓN 5: DESARROLLO, MANTENIMIENTO E IMPLEMENTACIÓN DE SISTEMAS DE
INFORMACIÓN
Desarrollo, Mantenimiento e Implementación de Sistemas de Información
Artículos
Art. 1 Políticas y Procedimientos
• Desarrollo, mantenimiento e implementación de sistemas.
• Basado en análisis y evaluación de riesgos
Art. 2 Desarrollo y Mantenimiento de Programas
• Cumplimiento con legislación y normativa vigente.
• Alineación con políticas internas.
Art. 3 Requisitos de Seguridad de los Sistemas
Controles de seguridad consensuados con áreas involucradas.
Art. 4 Estándares para Ingeniería de Software
• Metodologías estándar.
• Documentación obligatoria.
Art. 5 Integridad y Validez de la Información
• Controles automatizados para minimizar errores.
• Verificación periódica de datos.
Art. 6 Controles Criptográficos
• Métodos de cifrado estándar para confidencialidad e integridad.
Art. 7 Control de Acceso al Código Fuente
• Restricciones para evitar modificaciones no autorizadas.
Art. 8 Procedimientos de Control de Cambios
• Documentación y resguardo de versiones del código fuente.
Art. 9 Ambientes de Desarrollo, Prueba y Producción
• Separación lógica y física de los entornos.
• Control de acceso en producción.
Art. 10 Datos de Prueba en Desarrollo
• Enmascaramiento de datos de producción.
SECCIÓN 8: GESTIÓN DE SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES ELECTRÓNICAS
Artículo Único - Gestión de Seguridad de la Información
La Entidad Supervisada debe contar con una política de seguridad de la información, formalizada y aprobada por el Directorio u Órgano equivalente.
Debe definir claramente las responsabilidades para la seguridad de la información.
Implementar controles de acceso, auditorías y monitoreo.
Garantizar la protección de la información sensible mediante medidas de confidencialidad, integridad y disponibilidad.
SECCIÓN 9: GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Artículo Único - Gestión de Incidentes de Seguridad de la Información
Aspectos Claves del Procedimiento:
Responsabilidades y Procedimientos
Registro y Monitoreo de Incidentes
Clasificación de Incidentes
Base de Datos de Incidentes
SECCIÓN 10: CONTINUIDAD DEL NEGOCIO
Artículo 1° - Plan de Contingencias Tecnológicas
La Entidad Supervisada debe contar con un Plan de Contingencias Tecnológicas que incluya:
Objetivo y metodología basada en:
Evaluación de riesgos en seguridad de la información.
Definición de eventos que afectan la operación.
Identificación de procesos críticos.
Procedimientos de recuperación de operaciones críticas.
Descripción de funciones y personal responsable de ejecutar el plan.
Medidas preventivas y recursos mínimos asignados.
Convenios de recuperación de servicios.
Revisión y evaluación anual del plan.
Pruebas regulares para verificar su efectividad.
Identificación de situaciones no cubiertas.
Artículo 2° - Plan de Continuidad del Negocio (BCP)
Inicio del proyecto.
Análisis de riesgos y evaluación de impacto al negocio (BIA).
Desarrollo de estrategias de continuidad.
Respuesta ante emergencias.
Implementación del BCP.
Capacitación al personal.
Mantenimiento y pruebas periódicas.
Comunicación en crisis.
Artículo 3° - Capacitación
Todas las partes involucradas deben recibir capacitaciones regulares sobre su rol en los planes de contingencia y continuidad.
Artículo 4° - Pruebas del Plan
Se debe realizar al menos una prueba anual por cada escenario de contingencia.
Si una prueba no es exitosa, se deben aplicar acciones correctivas y repetir la prueba.
El cronograma de pruebas debe aprobarse hasta el 20 de diciembre del año anterior.
ASFI puede solicitar los resultados de las pruebas.
Artículo 5° - Control del Plan
Se deben mantener los niveles de seguridad definidos para cada etapa del plan.
Artículo 6° - Centro de Procesamiento de Datos Alterno (CPDA)
La Entidad Supervisada debe contar con un CPDA que garantice la continuidad de los servicios en caso de contingencia.
Si no es posible instalarlo en una ubicación separada, debe estar en un espacio sin servicios activos pero con seguridad física y tecnológica.
SECCIÓN 7: GESTIÓN DE SEGURIDAD EN REDES Y COMUNICACIONES
Gestión de Seguridad en Redes y Comunicaciones
Articulos
Art. 6 Documentación Técnica
• Diagramas de red y cableado.
• Planos de trayectoria y certificaciones.
Art. 5 Configuración de Hardware y Software
• Registro formal de configuraciones y actualizaciones.
• Verificación de software no autorizado.
Art. 4 Activos de Información de la Red
• Instalación segura de componentes de red.
Art. 3 Exclusividad del Área de Telecomunicaciones
• Ambientes físicos dedicados para telecomunicaciones.
Art. 2 Estudio de Capacidad y Desempeño
• Evaluación periódica de hardware y líneas de comunicación.
Art. 1 Políticas y Procedimientos
• Protección de datos mediante cifrado.
• Control de acceso a redes y puertos.
SECCIÓN 11: ADMINISTRACIÓN DE SERVICIOS Y CONTRATOS CON TERCEROS RELACIONADOS
CON TECNOLOGÍA DE LA INFORMACIÓN
Artículo 1° – Administración de servicios y contratos con terceros
Deben existir políticas y procedimientos formales.
Objetivo: asegurar servicios contratados con bajo riesgo.
Gerencia General define y formaliza responsabilidades.
Artículo 2° – Evaluación y selección de proveedores
Procedimiento documentado, actualizado e implementado.
Aprobado por el Directorio u Órgano equivalente.
Debe realizarse antes de contratar.
Artículo 3° – Procesamiento de datos tercerizado / sistemas externos
Requisitos para contratar procesamiento o ejecución externa:
a. Verificar experiencia/capacidad del proveedor.
b. Infraestructura debe garantizar continuidad, confidencialidad y disponibilidad.
c. Verificar cumplimiento de políticas de seguridad.
d. Asegurar continuidad ante fallas del proveedor.
e. Comunicar si el servicio se realiza fuera del país.
f. Informe anual a ASFI con datos de proveedores y cumplimiento de normas.
Artículo 4° – Contrato con proveedor de procesamiento externo
Debe incluir:
a. Naturaleza y detalle del servicio.
b. Responsabilidad sobre seguridad y confidencialidad.
c. Reacción ante vulneraciones o pérdidas.
d. Facultad de la Entidad para auditar al proveedor.
Documentación debe estar disponible para ASFI.
Artículo 5° – Adquisición de sistemas de información
Evaluación previa obligatoria:
a. Justificación de compra.
b. Viabilidad técnica y económica.
c. Evaluación de riesgos.
d. Fuente disponible del software.
e. Cumplimiento de seguridad de la información.
Si no cumple, se deben reconsiderar riesgos y controles.
Artículo 6° – Desarrollo/mantenimiento de sistemas por terceros
Requisitos para contratar:
a. Experiencia y personal calificado del proveedor.
b. Licencias válidas de herramientas utilizadas.
c. Garantizar continuidad ante fallas o salidas del proveedor.
d. Cumplimiento de requisitos de seguridad.
e. Cumplir con requisitos establecidos por la Entidad.
Artículo 7° – Contrato con empresas de desarrollo
Contrato debe incluir cláusulas para:
a. Propiedad intelectual.
b. Tecnología, lenguaje y herramientas utilizadas.
c. Confidencialidad del equipo de desarrollo.
d. Cronograma, pruebas y tiempos de entrega.
e. Acceso a código fuente si el proveedor se retira.
f. Autorización de acceso remoto (si aplica).
g. Entrega de documentación técnica:
Diccionario de datos
Diagramas
Manual técnico
Manual de usuario
Documentación del flujo de información
Artículo 8° – Otros servicios (soporte, hosting, etc.)
Contrato debe incluir:
a. Tipo de servicio.
b. Soporte y asistencia.
c. Seguridad de datos.
d. Garantías y tiempos de respuesta.
e. Disponibilidad del servicio.
f. Multas por incumplimiento.
Artículo 9° – Acuerdo de Nivel de Servicio (SLA)
Obligatorio antes de contratar servicios TI.
Debe incluir:
Tipo de servicio.
Soporte, seguridad, tiempos de respuesta.
Disponibilidad y multas por caídas o fallas.
Artículo 10° – Servicio de computación en la nube
Se requiere autorización previa de ASFI.
Debe incluir:
a. No vulnerar la Ley N°393.
b. No estar en servicios restringidos por ASFI.
c. Cumplir con seguridad de la información.
d. Cumplir con legislación boliviana.
e. Justificar necesidad del uso de la nube.
f. Incluir cláusulas señaladas en contrato.
ASFI puede rechazar si no se cumple lo anterior.
Artículo 11° – Protección de datos en la nube
Debe haber políticas para proteger datos personales.
Aplicar normativa nacional e internacional vigente.
Artículo 12° – Nivel de riesgo del servicio en la nube
Se debe hacer diagnóstico previo:
Evaluar nivel de riesgo y sensibilidad de datos.
Debe estar documentado en el “Proyecto de implementación en la nube”.
SECCIÓN 12: ROL DE LA AUDITORÍA INTERNA
Artículo Único – Auditoría Interna
Funciones clave del Auditor Interno o Unidad de Auditoría Interna:
a. Verificación del cumplimiento del Reglamento
Se debe enviar informe anual a ASFI (hasta el 15 de enero).
Puede basarse en evaluaciones internas y/o externas.
b. Informe de pruebas de intrusión
Reporte anual a ASFI (hasta el 15 de noviembre).
Debe incluir:
Resultado del análisis de vulnerabilidades.
Informe del evaluador.
Plan de acción para corregir debilidades.
c. Informe sobre pruebas de contingencia
Evaluación de planes de continuidad tecnológica y del negocio.
El informe queda en custodia de la Entidad Supervisada.
d. Refrendar informe sobre procesamiento externo de datos
Referido al inciso f, Artículo 3° de la Sección 11 (procesamiento externo).
Confirma la veracidad y cumplimiento del informe emitido.
e. Inclusión en el Plan Anual de Trabajo
Verificación de cumplimiento de políticas sobre protección de datos en la
nube.
En concordancia con el Artículo 11° y Sección 11 sobre servicios en la nube.
SECCIÓN 13: : OTRAS DISPOSICIONES
Otras Disposiciones
Art. 3 Herramientas Informáticas
• Uso por ASFI para auditoría y evaluaciones.
Art. 2 Normas y Estándares Internacionales
• Aplicación en situaciones no previstas.
Art. 4 Régimen de Sanciones
Art. 1 Responsabilidad
• Cumplimiento del reglamento por parte del Directorio y Gerencia.
SECCIÓN 14: DISPOSICIONES TRANSITORIAS
Artículo 1° - (Adecuación y cronograma)
Plazo límite: Las entidades supervisadas deben cumplir con este reglamento hasta el 31 de diciembre de 2014 .
Plan de adecuación: Cada entidad debe elaborar un cronograma de cumplimiento , que debe ser aprobado por su Directorio u Órgano equivalente .
Supervisión: El cronograma debe estar disponible para la ASFI .
Artículo 2° - (Plazo de adecuación)
Modificaciones de mayo de 2016:
Entraron en vigencia el 3 de octubre de 2016 .
Medidas de seguridad para transacciones electrónicas:
Las medidas de seguridad para verificación y control de transacciones y transferencias electrónicas (inciso h, Artículo 1°, Sección 8) entran en vigencia el 1 de febrero de 2017
Excepción de certificación digital:
No aplica el plazo general para la certificación digital establecida en el inciso d, Artículo 1°, Sección 8 .
ASFI notificará el plazo específico una vez que la ATT emita las regulaciones necesarias.
SECCIÓN 4: ADMINISTRACIÓN DEL CONTROL DE ACCESOS
Artículo 1° - (Administración de cuentas de usuarios)
Se debe implementar procedimientos formalizados, acordes con la (PSI)
Se controlen los privilegios de acceso (crear, modificar o eliminar permisos).
La creación o eliminación de cuentas solo se haga con autorización.
Se respeta el principio de menor privilegio , es decir, otorgar solo los permisos necesarios.
Se controla qué usuarios pueden navegar en la intranet e Internet.
Se asigna responsabilidad sobre hardware y software.
Se administre correctamente las estaciones de trabajo (computadoras personales).
Artículo 2° - (Administración de privilegios)
Los privilegios de acceso deben restringirse y controlarse en todos los sistemas (bases de datos, aplicaciones, redes, etc.)
Cuando un usuario deja su carga o termina su contrato, se deben eliminar sus accesorios.
Si un usuario cambia de función, sus accesorios deben ajustarse a sus nuevas responsabilidades.
Artículo 3° - (Administración de contraseñas de usuarios)
Cada entidad debe definir políticas de contraseñas basadas en:
Un análisis de riesgos de seguridad.
La clasificación de la información.
Esto significa que las contraseñas deben ser seguras y adaptadas a la importancia de los datos protegidos.
Artículo 4° - (Monitoreo de actividades de los usuarios)
Implementar procedimientos para detectar incidentes de seguridad
mediante el seguimiento de actividadesmediante el seguimiento de actividades.
Artículo 5° - (Registros de seguridad y pistas de auditoría)
Para minimizar riesgos internos y externos (como accesos no autorizados o pérdida de información),
las entidades deben:
Registrar accesos y actividades de los usuarios.
Guarde excepciones e incidentes de seguridad.
Implementar pistas de auditoría que permitan rastrear cualquier anomalía en la seguridad.
INTEGRANTES
Bautista Poma Walter Abdon
Carlo Aquino Paola Susi
Loza Gutierrez Jesiel Franklin
Riveros Lopez Jhadir
Vela Alvarado Maria Isabel
TEMA: CIRCULAR ASFI-505 (SEGURIDAD DE LA INFORMACION "CAP#2")