Circular N° A6017 del Banco Central de la República de Argentina, 15-07-2016
| Fecha | 15 Julio 2016 |
| Número de circular | A6017 |
| Materia | RUNOR |
“2016 - Año del Bicentenario de la Declaración de la Independencia Nacional”
COMUNICACIÓN “A” 6017 15/07/2016
A LAS ENTIDADES FINANCIERAS: Ref.: Circular
RUNOR 1 - 1208
“Requisitos mínimos de gestión,
implementación y control de los riesgos
relacionados con tecnología informática,
sistemas de información y recursos
asociados para las entidades financieras”.
Modificaciones.
.
____________________________________________________________
Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolu-
ción:
“1. Sustituir en las normas sobre “Requisitos mínimos de gestión, implementación y control de los
riesgos relacionados con tecnología informática, sistemas de información y recursos asociados
para las entidades financieras” los siguientes puntos:
“Índice
5.6. Administración de las bases de datos.
5.7. Gestión de cambios al software de base.
5.8. Control de cambios a los sistemas productivos.
5.9. Mecanismos de distribución de información.
5.10. Manejo de incidentes.
5.11. Medición y planeamiento de la capacidad.
5.12. Soporte a usuarios.
Sección 6. Canales Electrónicos.
6.1. Alcance.
6.2. Procesos de referencia.
6.3. Requisitos generales.
6.4. Escenarios de Canales Electrónicos.
6.5. Matriz de Escenarios.
6.6. Glosario de términos utilizados en la Sección 6.
6.7. Tablas de requisitos técnico-operativos.”
“6.1. Alcance.
Se encuentran alcanzadas las entidades financieras que intervengan en la prestación, por
sí o por terceros en su nombre, de servicios financieros por intermedio de algunos de los
siguientes Canales Electrónicos (CE), cuya definición y características se encuentra en el
Glosario del punto 6.6.:
-2-
6.1.1. Cajeros Automáticos (ATM).
6.1.2. Terminales de Autoservicio (TAS).
6.1.3. Banca Móvil (BM).
6.1.4. Banca Telefónica (BT).
6.1.5. Banca por Internet (BI).
6.1.6. Puntos de Venta (POS).
6.1.7. Plataforma de Pagos Móviles (PPM).”
2. Sustituir en las normas sobre “Requisitos mínimos de gestión, implementación y control de los
riesgos relacionados con tecnología informática, sistemas de información y recursos asociados
para las entidades financieras” los siguientes puntos:
“6.2. Procesos de referencia.
De modo referencial y con el objetivo de facilitar la implementación de los requisitos de
seguridad determinados en esta sección, la Gestión de Seguridad de los Canales Electró-
nicos se entiende como el ciclo de procesos que reúnen distintas tareas, especialidades y
funciones, de manera integrada e interrelacionada, repetible y constante para la adminis-
tración, planificación, control y mejora continua de la seguridad informática en los Canales
Electrónicos.
Los Procesos de Referencia aquí señalados, reúnen el conjunto de tareas y especialida-
des que las entidades pueden poseer, con estas u otras denominaciones y en la composi-
ción orgánica que mejor atienda sus intereses y satisfaga las funcionalidades y propósitos
descriptos. Asimismo, deben informar a la Gerencia de Auditoría Externa de Sistemas la
estructura e interrelaciones orgánicas y operativas que en sus organizaciones se corres-
ponda:”
“6.3.1.4. Los errores de encuadramiento detectados por las auditorías internas y/o externas
obligan a las entidades a efectuar los ajustes correspondientes en un plazo no mayor
a 180 días corridos posteriores a su notificación, debiendo presentar a la Superinten-
dencia de Entidades Financieras y Cambiarias, un informe de las adecuaciones efec-
tuadas avalado por una verificación de conformidad de su Auditoría Interna, posterior
al vencimiento de plazo indicado. La Superintendencia de Entidades Financieras y
Cambiarias podrá realizar una verificación de lo actuado.”
“6.3.3.5. Las propuestas de implementación de un nuevo CE o modalidad diferente de las con-
templadas en esta sección, previo un análisis de riesgo de la entidad financiera, deben
ser informadas al menos con 60 días de anticipación a la Gerencia Principal de Segu-
ridad de la Información, para que en conjunto con la Gerencia Principal de Sistemas
de Pago y Cuentas Corrientes analicen los alcances particulares, características técni-
cas e impacto de la implementación y de corresponder brinden las eventuales reco-
mendaciones que consideren necesarias o realicen los ajustes normativos que corres-
pondiesen.”
-3-
“6.3.3.6. En todos aquellos casos en que la operación no esté asociada a una clave de identifi-
cación personal, ante el desconocimiento por parte del cliente de una transacción efec-
tuada mediante POS o PPM, las entidades financieras deben proceder a la inmediata
devolución/acreditación de los fondos al cliente, sin perjuicio de iniciar la investigación
de la operación y eventualmente, las acciones administrativas y/o legales que corres-
pondieran.”
“6.4.2. Criticidad y Cumplimiento.
La criticidad es un ponderador que establece el nivel de importancia relativo de un esce-
nario y sus necesidades regulatorias. Las entidades deben instrumentar los mecanismos
necesarios para considerar la aplicabilidad del escenario a su contexto particular y su in-
clusión en la matriz de riesgo operacional de tecnología que emplee en su gestión de
riesgo operacional acorde con lo indicado en los puntos 6.4.1. y subsecuentes.
El nivel de obligación de las entidades de cumplir los requisitos técnico-operativos está
determinado por tres elementos: la criticidad asignada, la vigencia determinada en cada
requisito técnico-operativo y los resultados de la gestión de riesgo de las entidades fi-
nancieras.
Los valores de criticidad, los criterios utilizados para su asignación a cada escenario y el
cumplimiento se determinan según lo indicado en la siguiente tabla.
Valor Descripción Criterios de asignación Cumplimiento
1
Alta exposición al riesgo cuya
falta o deficiencia de tratamiento
afecta de forma extendida la
disponibilidad de los servicios y la
confiabilidad de el/los CE, la
entidad financiera y el sistema
financiero en general.
Obligatorio. Las entidades financieras
deben satisfacer los requisitos técnico
operativos de cada escenario de acuer-
do con la Tabla de Requisitos corres-
pondiente (punto 6.7).
2
Moderada exposición al riesgo
cuya falta o deficiencia de trata-
miento afecta de forma limitada la
disponibilidad y la confiabilidad
de el/los CE involucrados, la
entidad financiera y el sistema
financiero en general.
Alineado. Las entidades deben realizar
sus mejores esfuerzos para satisfacer
los requisitos técnico-operativos de
cada escenario, implementando medi-
das com pensatorias y/o alt ernativas en
aquellos requisitos que no sat isfagan
los indicados en la Tabla de Requisitos
correspondiente (punto 6.7).
3
Baja exposición al riesgo cuya
falta o deficiencia de tratamiento
afecta de forma limi tada la dispo-
nibilidad y la confiabilidad en
el/los CE involucrados, la entidad
financiera o el sistema financiero
en general.
• Exposición al riesgo
sistémico y propaga-
ción del efecto nega-
tivo.
• Impacto económ ico
sobre los clientes y
la entidad financiera.
• Nivel de penetración
del Canal Electróni-
co y Medio de Pago
asociado.
• Interoperabilidad y
efectos sobre otros
CE. Esperado. Las entidades podrán satis-
facer los requisitos de acuerdo con los
resultados formales de su gestión de
riesgo
La asignación de los valores en cada escenario, es una potestad de este Banco Central.
No obstante, cuando no se encuentre asignado un valor a un determinado escenario, las
entidades financieras deben asignarlo siguiendo los criterios establecidos en la tabla y
los resultados formales de su gestión de riesgo operacional. Este Banco Central queda
facultado para realizar actualizaciones periódicas de estos valores, adecuando los mis-
mos de acuerdo con el resultado de sus verificaciones, el comportamiento del sistema
financiero y el contexto nacional.”
Para continuar leyendo
Solicita tu prueba