COMUNICACION “A” 5374. 12/12/2012.

• Fecha de disposición: 08 Febrero 2013
• Fecha de publicación: 08 Febrero 2013
• Sección: Primera Sección - Legislación y Avisos Oficiales

A LAS ENTIDADES FINANCIERAS:

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolución:

“-Sustituir, a partir del 1.3.13, la Sección 6. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”, por la que se acompaña en anexo que forma parte de la presente comunicación.”

Saludamos a Uds. atentamente.

BANCO CENTRAL DE LA REPUBLICA ARGENTINA

MARA I. MISTO MACIAS, Gerente Principal de Seguridad de la Información. — ALFREDO A. BESIO, Subgerente General de Normas.

ANEXO

B.C.R.A.REQUISITOS MINIMOS DE GESTION, IMPLEMENTACION Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGIA INFORMATICA, SISTEMAS DE INFORMACION Y RECURSOS ASOCIADOS PARA

LAS ENTIDADES FINANCIERAS

Indice

5.6. Administración de las bases de datos.

5.7. Gestión de cambios al software de base.

5.8. Control de cambios a los sistemas productivos.

5.9. Mecanismos de distribución de información.

5.10. Manejo de incidentes.

5.11. Medición y planeamiento de la capacidad.

5.12. Soporte a usuarios.

Sección 6 Canales Electrónicos.

6.1. Alcance.

6.2. Procesos de referencia.

6.3. Requisitos generales.

6.4. Escenarios de Canales Electrónicos.

6.5. Matriz de Escenarios.

6.6. Glosario de términos utilizados en la Sección 6.

6.7. Tablas de requisitos técnico-operativos mínimos.

Sección 7 Delegación de actividades propias de la entidad en terceros.

7.1. Actividades Factibles de Delegación.

7.2. Responsabilidades propias de la entidad.

7.3. Formalización de la delegación.

7.4. Responsabilidades del tercero.

7.5. Implementación del procesamiento de datos en un tercero.

7.6. Control de las actividades delegadas.

7.7. Planificación de continuidad de la operatoria delegada.

Sección 8 Sistemas aplicativos de información.

8.1. Cumplimiento de requisitos normativos.

8.2. Integridad y validez de la información.

8.3. Administración y registro de las operaciones.

8.4. Sistemas de información que generan el régimen informativo a remitir y/o a disposición del Banco Central de la República Argentina.

8.5. Documentación de los sistemas de información.

Versión: 2a.COMUNICACION “A” 5374Vigencia:

01/03/2013Página 2

B.C.R.A.REQUISITOS MINIMOS DE GESTION, IMPLEMENTACION Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGIA INFORMATICA, SISTEMAS DE INFORMACION Y RECURSOS ASOCIADOS PARA

LAS ENTIDADES FINANCIERASSección 6. Canales Electrónicos.

6.1. Alcance.

Se encuentran alcanzadas las entidades financieras que intervengan en la prestación, por sí o por terceros en su nombre, de servicios financieros por intermedio de algunos de los siguientes Canales Electrónicos (CE), cuya definición y características se encuentra en el Glosario del punto 6.6.:

6.1.1. Cajeros Automáticos (ATM).

6.1.2. Terminales de Autoservicio (TAS).

6.1.3. Banca Móvil (BM).

6.1.4. Banca Telefónica (BT).

6.1.5. Banca por Internet (BI).

6.1.6. Puntos de Venta (POS).

6.2. Procesos de referencia.

De modo referencial y con el objetivo de facilitar la implementación de los requisitos de seguridad determinados, la Gestión de Seguridad de los Canales Electrónicos se entiende como el ciclo de procesos que reúnen distintas tareas, especialidades y funciones, de manera integrada e interrelacionada, repetible y constante para la administración, planificación, control y mejora continua de la seguridad informática en los Canales Electrónicos.

Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden poseer, con éstas u otras denominaciones y en la composición orgánica que mejor satisfaga sus intereses y funcionamiento. Las entidades deben poseer la funcionalidad y propósito descriptos en los siguientes Procesos de Referencia e informar a este Banco Central, la estructura e interrelaciones orgánicas y operativas que en sus organizaciones se corresponda:

6.2.1. Concientización y Capacitación (CC).

Proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para el desarrollo de tareas preventivas, detectivas y correctivas de los incidentes de seguridad en los Canales Electrónicos.

6.2.2. Control de Acceso (CA).

Proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso a los Canales Electrónicos.

Versión: 2a.COMUNICACION “A” 5374Vigencia:

01/03/2013Página 1

6.2.3. Integridad y Registro (IR).

Proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los Canales Electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación.

6.2.4. Monitoreo y Control (MC).

Proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los Canales Electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.

6.2.5. Gestión de Incidentes (GI).

Proceso relacionado con el tratamiento de los eventos y consecuentes incidentes de seguridad en Canales Electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.

6.3. Requisitos generales.

Complementariamente a los requisitos técnico-operativos que se indiquen, las entidades financieras, deben satisfacer los siguientes requisitos generales con independencia de la naturaleza, composición y estructura de los servicios que presten por medio de sus Canales Electrónicos.

6.3.1. De la Matriz de Escenarios y la Gestión de Riesgo Operacional de Tecnología.

6.3.1.1. Deben encuadrar la operatoria de los Canales Electrónicos que gestionen, dentro de los escenarios comprendidos en la Matriz de Escenarios del punto 6.5., implementando cómo mínimo y según la criticidad que se establezca, los requisitos indicados para cada escenario aplicable.

6.3.1.2. Atento a las normas sobre “Lineamientos para la Gestión de Riesgos en las Entidades Financieras”, las entidades deben incluir en su análisis de riesgo operacional, todos los activos informáticos relacionados con los escenarios aplicables, estableciendo un nivel de criticidad equivalente al indicado por este Banco Central para cada escenario o cuando no esté indicado, por lo establecido en el punto 6.4.2.

6.3.1.3. Lo indicado en el punto 6.3.1.2., debe encontrarse documentado y formar parte de la metodología de gestión de riesgos operacionales de la entidad financiera. A su vez, es complementario de los análisis de riesgo periódicos y los mecanismos de seguridad informática implementados para minimizar los riesgos detectados.

Versión: 3a.COMUNICACION “A” 5374Vigencia:

01/03/2013Página 2

6.3.1.4. Los errores de encuadramiento detectados por las auditorías internas y/o externas obligan a las entidades a efectuar los ajustes correspondientes en un plazo no mayor a 180 días corridos posteriores a su notificación, debiendo presentar a la Superintendencia de Entidades Financieras y Cambiarias, un informe de las adecuaciones efectuadas avalado por una verificación de conformidad de su Auditoría Interna, posterior al vencimiento de plazo indicado. Esa Superintendencia podrá realizar una verificación de lo actuado.

6.3.2. Del cumplimiento de los requisitos técnico-operativos mínimos.

6.3.2.1. Las...