AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Ttulo VII * 1 TITULO VII
REQUISITOS MNIMOS DE SEGURIDAD TABLA DE CONTENIDO Captulo
I:Reglamento para Remesas al Banco Central de Bolivia Captulo
II:Reglamento para la Gestin de Seguridad de la Informacin Seccin
1:Disposiciones generales Seccin 2:Planificacin estratgica,
estructura y organizacin de los recursos de tecnologa de la
informacin(TI) Seccin 3:Administracin de la seguridad de la
informacin Seccin 4:Administracin del control de accesos Seccin
5:Desarrollo, mantenimiento e implementacin de sistemas de
informacin Seccin 6:Gestin de operaciones de tecnologa de
informacin Seccin 7:Gestin de seguridad en redes y comunicaciones
Seccin 8:Gestin de seguridad en transferencias y transacciones
electrnicas Seccin 9:Gestin de incidentes de seguridad de la
informacin Seccin 10:Continuidad del negocio Seccin
11:Administracin de servicios y contratos con terceros relacionados
con tecnologa de informacin Seccin 12:Rol de la auditora interna
Seccin 13:Otras disposiciones Seccin 14:Disposiciones transitorias
Captulo III:Reglamento para la Gestin de Seguridad Fsica Seccin
1:Aspectos generales Seccin 2:Gestin de Seguridad Fsica Seccin
3:Medidas generales de Seguridad Fsica AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Ttulo VII * 2 Seccin 4:Medidas especficas de Seguridad Fsica Seccin
5:Otras disposiciones Seccin 6:Rol de la Unidad de Auditoria
Interna Seccin 7:Disposiciones transitorias AUTORIDAD DE SUPERVISIN
DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS
FINANCIEROS Libro 3Ttulo VIICaptulo IPgina 1/2CircularSB/288/99
(04/99)Inicial CAPTULO I:REGLAMENTO PARA REMESAS AL BANCO CENTRAL
DE BOLIVIA Artculo1- (SeguridadenelenvoderemesasalBCB) Con la
finalidadde precautelar la seguridad en el envo de remesas de
billetes y monedas metlicas en moneda nacional al Banco Central de
Bolivia (BCB), por parte de los bancos locales, as como el control
y recuento de este material, se instruye lo siguiente:a)El envo de
los depsitos o remesas al BCB debe efectuarse en maletas de
seguridad, cuales debern ser abiertas en la sala de recuento en
presencia del personal del banco depositante; b)Para efectos de un
adecuado y gil registro de las remesas enviadas por los bancos, el
dinero declarado para depsito solamente deber ser verificado por
lome y revisados los marbetes de cada uno de los paquetes, es decir
sin recontar el material de billetes en detalle; c)Los paquetes
deben estar fuertemente amarrados contando con diez lomos de cien
(100) piezas cada uno, totalizando mil (1.000) piezas en cada
paquete. Asimismo los paquetes deben estar debidamente clasificados
por cortes planchados, revisados y recontados, con marbetes
impresos donde se leer claramente el nombre del banco, nombre
completo y sello del cajero, fecha y firma de ste.
Losdepsitosenmonedasmetlicas no podrn ser inferiores amil (1.000)
piezas, y debern estar clasificadas y en paquetes por cortes con la
identificacin antes descrita. d)Una vez concluida la revisin del
depsito en presencia de las partes que intervienen, se proceder al
cierre de la maleta de seguridad, la misma que deber contar con dos
(2) candados o chapas, por lo menos, las llaves quedarn en poder
del banco depositante. e)Los depositantes contabilizarn el importe
correspondiente al da de la entrega, al igual que
elBCB.Enlapapeletadedepsito,debernestamparunselloconelsiguientetexto:
"DEPSITO SUJETO A RECUENTO". f)Los depsitos que sean iguales o
inferiores a dos mil (2.000) piezas deben ser efectuados en las
cajas que habilite Tesorera del BCB. El recuento debe realizarse
inmediatamente a la vista del depositante, y en caso de que dicho
depsito no haya sido recontado, cualquier falla registrada
posteriormente ser de entera responsabilidad del cajero recibidor.
g)ElBCBy/olaAutoridaddeSupervisindelSistemaFinancieropodrnencualquier
momento hacer recuentos en detalle de los depsitos realizados por
los bancos, aclarando que cualquier diferencia detectada ser de
entera responsabilidad del banco depositante, hacindose pasible a
sanciones dispuestas en reglamentacin complementaria. El recuento
deber efectuarse en una sala independiente por banco depositante y
cada sala tendr como mximo cinco (5) recontadores del BCB y cinco
(5) veedores del banco depositante.
h)ElBCBatravsdesuseccinTesorera,reportar semanalmentealaAutoridadde
Supervisin del Sistema Financiero los faltantes y sobrantes o
cualquier otra anormalidad que existiera en los depsitos con los
siguientes datos: AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IPgina 2/2CircularSB/288/99 (04/99)Inicial 1)Banco
depositante 2)Nombre y apellido del cajero cuyo sello figura en el
marbete 3)Nombre y apellido de la persona que llevar la remesa al
BCB 4)Nombre y apellido del cajero recibidor del BCB 5)Nombres de
los veedores y controladores del banco depositante 6)Detalle de la
anormalidad 7)Monto por moneda Artculo 2 - (Retiros parciales). Los
bancos podrn hacer retiros parciales de sus depsitos slo en
cantidades de mil (1000) piezas, con la participacin del personal
de Tesorera del BCB, para la verificacin del dinero retirado.
Artculo 3 - (Horario de atencin de bveda del BCB). El horario de
atencin de la bveda y de las cajas recibidoras habilitadas por el
BCB, ser el mismo horario de atencin al pblico del sistema bancario
comercial. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 1Pgina 1/4CircularSB/436/03 (07/03)Inicial
ASFI/193/13 (09/13) Modificacin 1 CAPTULO II: REGLAMENTO PARA LA
GESTIN DE SEGURIDAD DE LA INFORMACIN SECCIN 1:DISPOSICIONES
GENERALES Artculo 1
-(Objeto)ElpresenteReglamentotieneporobjetoestablecerlosrequisitos
mnimos que las entidades supervisadas sujetas al mbito de
aplicacin, deben cumplir para la gestinde seguridadde
lainformacin,de acuerdo a su naturaleza, tamaoycomplejidadde
operaciones. Artculo 2
-(mbitodeaplicacin)Estncomprendidosenelmbitodeaplicacindel
presenteReglamentolosBancos,BancosdeSegundoPiso,FondosFinancierosPrivados,
Mutuales de Ahorro y Prstamo, Cooperativas de Ahorro y Crdito
Abiertas, Cooperativas de
AhorroyCrditoSocietarias,InstitucionesFinancierasdeDesarrollo,Sociedadesde
ArrendamientoFinanciero,CmarasdeCompensacin,BursdeInformacinCrediticia,Empresas
Transportadoras de Material Monetarioy/o Valores, Empresas de
Serviciode Pago Mvil, Empresas Remesadoras y Almacenes Generales de
Depsito, que cuenten con licencia de
funcionamientoemitidaporlaAutoridaddeSupervisindelSistemaFinanciero(ASFI),en
adelante la entidad supervisada. Artculo 3
-(Definiciones)ParaefectosdelpresenteReglamento,seusarnlassiguientes
definiciones: a)Activodeinformacin: En seguridad de la informacin,
corresponde a aquellos datos, informacin, sistemas y elementos
relacionados con la tecnologa de la informacin, que tienen valor
para la entidad supervisada.
b)Acuerdodeniveldeservicio(SLA:ServiceLevelAgreement):Contrato en
el que se estipulan las condiciones de un servicio en funcin a
parmetros objetivos, establecidos de mutuo acuerdo entre un
proveedor de servicio y la entidad supervisada.
c)Anlisisderiesgotecnolgico:Procesoporelcualseidentificanlosactivosde
informacin, sus amenazas y vulnerabilidades a los que se encuentran
expuestos, con el fin de generar controles que minimicen los
efectos de los posibles incidentes de seguridad de la informacin.
d)readeexclusin:readeaccesorestringidoidentificadaenlasinstalacionesdela
entidad supervisada.
e)Bancaelectrnica:Serviciofinancieroofertadoporlasentidadesdeintermediacin
financiera autorizadas, a travs de Internet u otros medios
electrnicos para procesar de manera automtica el registro de datos,
desarrollo de transacciones y pagos, as como el intercambio de
informacin, dinero y otros.
f)Centrodeprocesamientodedatos(CPD):Ambiente fsico clasificado como
rea de
exclusin,dondeestnubicadoslosrecursosutilizadosparaelprocesamientode
informacin. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 1Pgina 2/4CircularSB/436/03 (07/03)Inicial
ASFI/193/13 (09/13) Modificacin 1
g)Centrodeprocesamientodedatosalterno:Lugaralternativoprovistodeequipos
computacionales,equiposdecomunicaciones,estacionesdetrabajo,enlacesde
comunicaciones, fuentes de energa, accesos seguros que se
encuentran instalados en una ubicacin geogrfica distinta al Centro
de Procesamiento de Datos. h)Cifrar: Proceso mediante el cual la
informacin o archivos es alterada, en forma lgica, incluyendo
claves en el origen y en el destino, con el objetivo de evitar que
personas no
autorizadaspuedaninterpretarlaalverlaocopiarla,outilizarlaparaactividadesno
permitidas. i)Contrasea o clave de acceso (Password): Conjunto de
caracteres que una persona debe registrar para ser "reconocida"
como usuario autorizado, para acceder a los recursos de un equipo
computacional o red. j)Cortafuegos (Firewall): Dispositivoo
conjunto de dispositivos (software y/o hardware) configurados para
permitir, limitar, cifrar, descifrar el trfico entre los diferentes
mbitos (de un sistema, red o redes) sobre la base de un conjunto de
normas y otros criterios de
maneraquesloeltrficoautorizado,definidoporlapolticalocaldeseguridad,es
permitido.
k)Equipocrtico:Correspondealequipodeprocesamientodedatosquesoportalas
principales operaciones de la entidad supervisada.
l)Hardware:Conjunto de todos los componentes fsicos y tangibles de
un computador o equipo electrnico.
m)Incidentedeseguridaddelainformacin: Suceso o serie de sucesos
inesperados, que
tienenunaprobabilidadsignificativadecomprometerlasoperacionesdelaentidad
supervisada, amenazar la seguridad de la informacin y/o los
recursos tecnolgicos.
n)Internet:Redderedesdealcancemundialqueoperabajoestndaresyprotocolos
internacionales.
o)Intranet:RedinternadecomputadorasquehaciendousodetecnologadeInternet,
permite compartir informacin o programas.
p)Infraestructuradetecnologadeinformacin:Es el conjunto de
hardware, software, redes de comunicacin, multimedia y otros, as
como el sitio y ambiente que los soporta, que son establecidos para
el procesamiento de las aplicaciones.
q)Mediosdeaccesoalainformacin:Sonservidoresdedatosy/oaplicacin,
computadorespersonales,telfonosinteligentes,terminalestipocajeroautomtico,las
redes de comunicacin, Intranet, Internet y
telefona.r)Plandecontingenciastecnolgicas:Documentoquecontemplaunconjuntode
procedimientos y acciones que deben entrar en funcionamiento al
ocurrir un evento que dae parte o la totalidad de los recursos
tecnolgicos de la entidad supervisada.
s)Plandecontinuidaddelnegocio(BCP:BusinessContinuityPlanning):
Documento que contempla la logstica que debe seguir la entidad
supervisada a objeto de restaurar los AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 1Pgina 3/4CircularSB/436/03
(07/03)Inicial ASFI/193/13 (09/13) Modificacin 1 servicios y
aplicaciones crticas parcial o totalmente interrumpidas dentro de
un tiempo predeterminado, despus de una interrupcin o desastre.
t)Principio de menor privilegio: Establece que cada programa y cada
usuario del sistema
deinformacindebeoperarutilizandolosprivilegiosestrictamentenecesariospara
completar el trabajo. u)Procesocrtico: Proceso o sistema de
informacin que al dejar de funcionar, afecta la continuidad
operativa de la entidad supervisada.
v)Procedimientodeenmascaramientodedatos: Mecanismo que modifica los
datos de un determinado sistema en ambientes de desarrollo y
pruebas, con el fin de garantizar la confidencialidad de la
informacin del ambiente de produccin. w)Propietario de la
informacin: Es el responsable designado formalmente para controlar
la produccin, desarrollo, mantenimiento, uso y seguridad de los
activos de informacin.
x)Proteccinfsicayambiental:Conjuntodeaccionesyrecursosimplementadospara
proteger y permitir el adecuado funcionamiento de los equipos e
instalaciones del Centro de Procesamiento de Datos ydel Centrode
Procesamientode Datos Alterno, dada su condicin de reas de
exclusin.
y)Pruebasdeintrusin:Esunapruebacontroladaquepermiteidentificarposibles
debilidades de los recursos tecnolgicos de la entidad supervisada,
que un intruso podra
llegaraexplotarparaobtenerelcontroldesussistemasdeinformacin,redesde
computadoras, aplicaciones web, bases de datos, servidores y/o
dispositivos de red. Las pruebas de intrusin pueden ser realizadas
a travs de la red interna o bien desde Internet, Accesos Remotos o
cualquier otro medio. z)Respaldo o copia de seguridad (Backup):
Copia de datos e informacin almacenada en unmediodigital, que
segeneraen forma peridica; conel propsitode utilizar dicha
informacin o datos, en casos de emergencia o contingencia. aa)
Seguridad de la informacin: Conjunto de medidas y recursos
destinados a resguardar y
protegerlainformacin,buscandomantenerlaconfidencialidad,confiabilidad,
disponibilidad e integridad de la misma. bb)
ServiciodePagoMvil:Conjuntodeactividadesrelacionadasconlaemisinde
billeteras mviles y procesamiento de rdenes de pago a travs de
dispositivos mviles, en el marco del Reglamento de Servicios de
Pago del Banco Central de Bolivia (BCB). cc) Sistemadeinformacin:
Conjuntode procedimientos de recopilacin, procesamiento, transmisin
y difusin de informacin; organizados y relacionados que interactan
entre s para lograr un objetivo. dd) Sitio externo de resguardo:
Ambiente, externo al Centro de Procesamiento de Datos, de
almacenamientodetodoslosmediosderespaldo,documentacinyotrosrecursosde
tecnologa de informacin catalogados como crticos, necesarios para
soportar los planes de continuidad y contingencias tecnolgicas.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
1Pgina 4/4CircularSB/436/03 (07/03)Inicial ASFI/193/13 (09/13)
Modificacin 1 ee) Software:Equipamiento o soporte lgico de un
sistema de informacin; comprende el
conjuntodeloscomponenteslgicosquehacenposiblelarealizacindetareas
especficas.Elsoftwareincluye:softwaredesistema,softwaredeprogramaciny
software de aplicacin.
ff)Transferenciaelectrnicadeinformacin:Formadeenviar,recibirotransferiren
forma electrnica, datos, informacin, archivos, mensajes, entre
otros. gg)
Tecnologadeinformacin(TI):Conjuntodeprocesosyproductosderivadosde
herramientas(hardwareysoftware),soportesdelainformacinycanalesde
comunicacin relacionados conel almacenamiento, procesamientoy
transmisindela informacin. hh) Transaccin electrnica de fondos:
Comprende a todas aquellas operaciones realizadas por medios
electrnicos que originen cargos o abonos de dinero en cuentas.
ii)Usuario del sistema de informacin: Persona identificada,
autenticada y autorizada para
utilizarunoomssistemasdeinformacin.Estepuedeserfuncionariodelaentidad
supervisada (Usuario Interno del sistema de informacin) o cliente
(Usuario Externo del sistema de informacin). Artculo 4 -(Elementos
de la seguridadde lainformacin) La informacin que administra la
entidad supervisada, debe contener un alto grado de seguridad,
considerando mnimamente lo siguiente:
a)Autenticacin:Permiteidentificar al generador de la informaciny al
usuariodela misma. b)Confiabilidad: Busca proveer informacin
apropiada, precisa y veraz, para el uso de las entidades
supervisadas, tanto interna como externamente, que apoye el proceso
de toma de decisiones.
c)Confidencialidad:Garantizaquelainformacinseencuentraaccesiblenicamente
para el personal autorizado. d)Cumplimiento: Busca promover el
acatamiento de las leyes, regulaciones y acuerdos
contractualesalasqueseencuentransujetoslosprocesosquerealizalaentidad
supervisada. e)Disponibilidad: Permite la accesibilidad a la
informacin en el tiempo y la forma que esta sea requerida.
f)Integridad:Buscamantenerconexactitudlainformacincompletatalcualfue
generada, sin ser manipulada o alterada por personas o procesos no
autorizados. g)No repudio: Servicio que asegura que el emisor de
una informacin no puede rechazar
sutransmisinosucontenido,y/oqueelreceptorpuedanegarsurecepcinosu
contenido. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 2Pgina 1/2CircularSB/436/03 (07/03)Inicial
SB/443/03 (08/03)Modificacin 1 ASFI/193/13 (09/13)Modificacin 2
SECCIN 2:PLANIFICACIN ESTRATGICA, ESTRUCTURA Y ORGANIZACIN DE LOS
RECURSOS DE TECNOLOGA DE LA INFORMACIN (TI) Artculo 1
-(Planificacinestratgica)LaentidadsupervisadadebedesarrollarunPlan
Estratgico de Tecnologa de la Informacin (TI) que est alineado con
la estrategia institucional, yque considere sunaturaleza, tamao,
complejidadde sus operaciones, procesos,estructura y anlisis de
riesgo tecnolgico realizado. Este documento debe ser aprobado por
su Directorio u rgano equivalente.El nivel ejecutivo de la entidad
supervisada que sea responsable de tecnologa de la informacin debe
efectuar un seguimiento continuo de las tendencias tecnolgicas, as
como a las regulaciones
emitidasporASFIquenormensufuncionamiento,demodoquestasseanconsideradasal
momento de elaborar y actualizar la planificacin estratgica del rea
de TI. Artculo 2 -(Estrategia de seguridad de la informacin) La
entidad supervisada como parte de su Plan Estratgicode TI,
debedefinir la estrategia de seguridad dela informacin, quele
permita realizar una efectiva administracin y control de la
informacin. Artculo 3 -(Infraestructura delreade TI) La
infraestructura del rea de tecnologa de la informacin debe ser
consistente con la naturaleza, tamao y complejidad de las
operaciones que realiza la entidad supervisada. Artculo 4
-(Estructuraorganizativa)Laentidadsupervisada,debeestableceruna
estructuraorganizativaadecuadaaltamao,volumenycomplejidaddesusoperaciones,que
delimite las funciones y responsabilidades relativas a la gestin de
los recursos de tecnologa y
seguridaddelainformacin,aspectosquedebenestarcontempladosenunmanualde
organizacin y funciones, aprobados por su Directorio u rgano
equivalente. Artculo 5
-(Comitdetecnologadelainformacin)EsteComitesresponsablede
establecer las polticas, procedimientosy prioridades para la
administracindeinformaciny gestin de los recursos de tecnologa de
la informacin. El Comit estar conformado al menos por: un miembro
del Directorio u rgano equivalente, que ser quien lo presida, el
Gerente General, Ejecutivos y/o funcionarios responsables de las
reas de servicios tecnolgicos y de las reas usuarias del sistema de
informacin de acuerdo al tema a ser tratado, cuyo funcionamiento se
sujetar a su manual de organizacin y funciones. El Comit debe
llevar un registro en actas de los temas y acuerdos tratados en sus
reuniones. Artculo 6 -(ComitoperativodeTI) La entidad supervisada,
de acuerdo a su estructura organizativa, debe conformar un Comit
Operativo de Tecnologa de la Informacin, el cul debe estar
constituido por el nivel ejecutivo y los funcionarios encargados de
las diferentes reas que constituyen la unidad de TI. Este Comit
estar encargado de coordinar el trabajo al interior de esta unidad.
LafrecuenciadelasreunionesdelComitOperativodeTIestarsujetaasumanualde
organizacinyfunciones.Asimismo,lasdecisionesyacuerdosestablecidosendichoComit
deben registrarse en actas que deben estar archivadas. AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 2Pgina
2/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1
ASFI/193/13 (09/13)Modificacin 2 Artculo 7
-(Responsabledelafuncindeseguridaddelainformacin)Conel finde
establecer losmecanismos para la administracinyel controldela
seguridad sobreel acceso
lgicoyfsicoalosdistintosambientestecnolgicosyrecursosdeinformacin,laentidad
supervisadadebeestablecerunainstanciaresponsablequeseencarguededichafuncin,de
acuerdo conla naturaleza, tamao, volumen ycomplejidadde sus
operaciones. Esta instancia puede corresponder a una Gerencia, J
efatura, Oficial o a un Comit constituido especficamente para
tratar temas relacionados a la seguridad de la
informacin.Laubicacinjerrquicadelainstanciaresponsabledelaseguridaddelainformacindebe
garantizar,enformadirecta,suindependenciafuncionalyoperativadelreadetecnologay
sistemas de informacin, unidades operativas y de la funcin de
auditora.Adicionalmente, el responsable de la funcin de la
seguridad de la informacin gestionar con las instancias que
correspondan en la entidad supervisada, la implementacin, revisin,
actualizacin
ydifusindelaPolticadeSeguridaddelaInformacin,ascomodelosprocedimientos
establecidos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 3Pgina 1/4CircularSB/436/03 (07/03)Inicial
SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2
ASFI/193/13 (09/13)Modificacin 3 SECCIN 3:ADMINISTRACIN DE LA
SEGURIDAD DE LA INFORMACIN Artculo 1 -(Implementacin delanlisis de
riesgo tecnolgico) La entidad supervisada es
responsabledeefectuarelanlisisderiesgotecnolgico,acordeasunaturaleza,tamaoy
complejidad de operaciones, debiendo desarrollar e implementar
procedimientos especficos para este fin, que deben estar
formalmente establecidos. El resultadoobtenidodel anlisisde riesgo
tecnolgicoefectuadodebeestar contenidoen un
informedirigidoalGerenteGeneral,parasuposteriorpresentacinalDirectoriourgano
equivalente. El anlisis de riesgo tecnolgico, debe constituirse en
un proceso continuo por lo cual debe ser revisado y actualizado
permanentemente. Artculo 2
-(Polticasdeseguridaddelainformacin)Deacuerdoconsuestrategiade
seguridad de la informacin y el anlisis de riesgo tecnolgico
efectuado, la entidad supervisada
debetenerformalizadasporescrito,actualizadaseimplementadaspolticasquedebenestar
aprobadas por el Directorio u rgano equivalente. Las polticas de
seguridad de la informacin, deben ser publicadas y comunicadas a
las diferentes instancias de la entidad supervisada, en forma
entendible y accesible.
Laentidadsupervisada,almenosunavezalao,deberevisaryactualizarlaspolticasde
seguridad de la informacin, considerando su naturaleza, tamao,
cambios y complejidad de sus operaciones, asegurando la correcta
implementacin de las mejores prcticas de seguridad de la
informacin. Artculo 3 -(Licencias de software) Todo software
utilizado por la entidad supervisada debe contar con las licencias
respectivas.Laentidadsupervisada,debedefinirlosprocedimientosnecesariosparalainstalacin,
mantenimiento y administracin de softwarey la custodia de las
licencias. Artculo 4 -(Acuerdodeconfidencialidad)Como parte de la
obligacin contractual, de los
Directores,ConsejerosdeAdministracinyVigilancia,Ejecutivos,demsfuncionarios,
consultores y el personal eventual, deben aceptar y firmar los
trminos y condiciones del contrato de empleo en el cual se
establecern sus obligaciones en cuanto a la seguridad de la
informacin, en las que se debe incluir el mantenimiento de
confidencialidad de la informacin a la cual tengan acceso,
inclusive despus de la finalizacin de la relacin contractual.
Artculo 5 -(Inventariodeactivosdeinformacin)La entidad supervisada
debe contar y mantener un inventario de los activos de informacin,
y asignar responsabilidades respecto a su proteccin. Artculo 6
-(Clasificacindelainformacin)Laentidadsupervisadadebeestablecerun
esquemadeclasificacindelainformacin,deacuerdoasucriticidadysensibilidad,
estableciendoadecuadosderechosdeaccesoalosdatosadministradosensussistemasde
informacin,ascomoaladocumentacinfsica.Estaclasificacindebeserdocumentada,
formalizada y comunicada a todas las reas involucradas.AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 3Pgina
2/4CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1
SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3
Artculo 7 -(Propietarios de la informacin) Debe asignarse la
propiedad de la informacin a un responsable de cargo jerrquico, de
acuerdo al tipo de informacin y a las operaciones que desarrolla la
entidad
supervisada.Estasactividadesdecontroldebenrealizarseencoordinacinconlainstanciaresponsablede
seguridad de la informacin establecida por la entidad supervisada.
Artculo 8 -(Anlisisdevulnerabilidadestcnicas)La entidad supervisada
es responsable de implementar una gestin de vulnerabilidades
tcnicas, a cuyo efecto debe contar con polticas y procedimientos
formales que le permitan identificar su exposicin a las mismas y
adoptar las acciones preventivas y/o correctivas que correspondan.
La evaluacin de vulnerabilidades tcnicas debe efectuarse por lo
menos una vez por ao y ante
uncambioenlainfraestructuratecnolgica.Laejecucindepruebasdeseguridaddebe
considerar la realizacin de pruebas de intrusin controladas
internas y/o externas.El conjunto de polticas y procedimientos que
constituyen la gestin de vulnerabilidades tcnicas deben ser
revisados y actualizados permanentemente.
Laentidadsupervisadadebeexigiralasempresasy/opersonasqueprestanserviciosde
evaluacindeseguridaddelainformacin,larespectivadocumentacinqueacreditela
experiencia necesaria para realizar este tipode trabajos,
adicionalmentedebegarantizar queel personal que realice las pruebas
de intrusin controladas sea certificado y firme un acuerdo de
confidencialidad conforme se establece en el Artculo 4 de la
presente Seccin. Artculo 9
-(Clasificacindereasdetecnologadelainformacin)Laentidad supervisada
debe identificar y clasificar las reas de tecnologas de la
informacin como reas de exclusin que requieren medidas de proteccin
y acceso restringido.Artculo 10 -(Caractersticas del centro de
procesamiento de datos) La entidad supervisada debe considerar los
siguientes aspectos para la instalacin del ambiente destinado al
Centro de Procesamiento de Datos: a)Ubicacin del Centro de
Procesamiento de Datos al interior de la entidad supervisada.
b)Espacio acorde y suficiente para la cantidad de equipos
instalados. c)Energa regulada de acuerdo a los requerimientos de
los equipos. d)Cableado para el uso de los equipos de cmputo por
medio de sistemas de ductos a travs de piso o techo falso, de
acuerdo a la necesidad de la entidad supervisada. e)No almacenar
papel u otros suministros inflamables y/o equipos en desuso.
f)Instalacindelosservidoresylosequiposdecomunicacindeformaindependiente,
debidamente asegurados, segn corresponda. Artculo 11
-(Manualesdeprocedimientos)Laentidadsupervisadadebecontarcon
manuales de procedimientos de proteccin fsica para el Centro de
Procesamiento de Datos, que considere mnimamente los siguientes
aspectos: a)Operacin y mantenimiento del Centro de Procesamiento de
Datos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN
DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo
IISeccin 3Pgina 3/4CircularSB/436/03 (07/03)Inicial SB/443/03
(08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13
(09/13)Modificacin 3 b)Administracin de accesos. c)Pruebas a
dispositivos de seguridad para garantizar su correcto
funcionamiento. Artculo 12 -(Proteccindeequiposinformticos) La
entidad supervisada debeconsiderar que el Centro de Procesamiento
de Datos debe contar al menos con los siguientes dispositivos:
a)Sistemadeventilacinquemnimamentemantengalatemperaturayhumedadenlos
niveles recomendados por los fabricantes de los equipos.
b)Extintores de incendios (manuales y/o automticos) u otros segn
las caractersticas de los equipos. c)Detectores de temperatura y
humedad. d)Equipos que aseguren el suministro de energa en forma
ininterrumpida y regular. e)Mecanismos para el control de ingreso y
salida del Centro de Procesamiento de Datos. f)Vigilancia a travs
de cmaras de CCTV (Circuito Cerrado de TV). Artculo 13
-(Suministroelctrico)Para el funcionamiento de equipos informticos,
se debe
utilizarunaacometidaelctricaindependientedelrestodelainstalacinelctricaparaevitar
interferencias y posibles interrupciones. La capacidad de autonoma
de los equipos de suministro ininterrumpido de energa debe ser
consistente con el Plan de Contingencias Tecnolgicas y con el Plan
de Continuidad del Negocio.
Laentidadsupervisadadebeestablecermecanismosydestinarrecursosparagarantizarel
suministro ininterrumpido de energa para el funcionamiento de
equipos crticos y la prestacin de servicios al pblico. Artculo 14
-(Seguridaddecableadodered)Elcableadoutilizadoparaeltransportede
datos de la entidad supervisada, debe cumplir con estndares de
cableado estructurado. Artculo 15
-(Pruebasadispositivosdeseguridad)Losdispositivosdeseguridadfsica
detallados en el Artculo 12 de la presente Seccin deben ser
probados al menos dos (2) veces
porao,detalformaquesegaranticesucorrectofuncionamiento.Ladocumentacinque
respalde la realizacin de estas pruebas debe estar disponible
cuando ASFI as lo requiera. Artculo 16 -(Destruccin controlada de
medios de respaldo) En el marco de lo establecido en el Artculo 94
de la Ley N 1488 de Bancos y Entidades Financieras referido a la
custodia de
losdocumentosrelacionadosconsusoperaciones,microfilmadosoregistradosenmedios
magnticos y electrnicos, por un periodo no menor a diez (10) aos,
la entidad supervisada debe establecer procedimientos para la
destruccin controlada de los medios de respaldo
utilizados.Ladocumentacinqueseconstituyaeninstrumentoprobatorioenunprocesoadministrativo,
judicialuotro,queseencuentrependientederesolucin,nodebeserobjetodedestruccin
controlada, en resguardo de los derechos de las partes en
conflicto. Artculo 17
-(Responsabilidadenlagestindeseguridaddelainformacin) Laentidad
supervisada debe realizar el control y cumplimiento de lo
siguiente:AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 3Pgina 4/4CircularSB/436/03 (07/03)Inicial
SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2
ASFI/193/13 (09/13)Modificacin 3
a)LasfuncionesyresponsabilidadesdelosDirectivos,Consejeros,Ejecutivos,
funcionarios,consultoresypersonaleventualdebenserdefinidasydocumentadasen
concordancia con la Poltica de Seguridad de la Informacin. b)Se
debe asegurar que los Directivos, Consejeros, Ejecutivos,
funcionarios, consultores y personal eventual estn conscientes de
las amenazas y riesgos de incidentes de seguridad
delainformacin,yqueestncapacitadospara
aceptarycumplirconlaPolticade Seguridad de la Informacin en el
desarrollo normal de su trabajo. c)Debe existir un proceso formal
disciplinario para empleados que han cometido faltas y/o
violaciones a la Poltica de Seguridad de la Informacin de la
entidad supervisada. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 4Pgina 1/1CircularSB/436/03 (07/03)Inicial
SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2
ASFI/193/13 (09/13)Modificacin 3 SECCIN 4:ADMINISTRACIN DEL CONTROL
DE ACCESOS Artculo 1
-(Administracindecuentasdeusuarios)Lainstanciaresponsabledela
Seguridad de la Informacin debe implementar procedimientos
formalizados, acordes a la Poltica
deSeguridaddelaInformacin,respectoalaadministracindeusuariosdelossistemasde
informacin, debiendo considerar al menos:
a)Laadministracindeprivilegiosdeaccesoasistemasyalared(alta,bajay/o
modificacin).
b)Lacreacin,modificacinoeliminacindecuentasdeusuariosdelossistemasde
informacin, debe contar con la autorizacin correspondiente.
c)Lagestindeperfilesdeaccesodeberealizarsedeacuerdoalprincipiodemenor
privilegio.
d)Laadministracinycontroldeusuariosinternoshabilitadosparanavegacinenla
Intranet e Internet. e)La asignacin y responsabilidad de hardware y
software. f)La administracin de estaciones de trabajo o PC. Artculo
2 -(Administracindeprivilegios)Laentidadsupervisadadeberestringiry
controlar el uso y asignacin de privilegios para las cuentas de
usuario y de administracin de los sistemas de informacin,
aplicaciones, sistemas operativos, bases de datos, Intranet,
Internet y otros servicioso componentesde comunicacin. Dichas
cuentas, deben ser objetode revisin peridica, mediante un
procedimiento formalmente establecido. Los privilegios de acceso a
la informacin y a los ambientes de procesamiento de informacin
otorgados a los Directivos, Consejeros, Ejecutivos, funcionarios,
consultores y personal eventual, deben ser removidos a la
culminacin de su mandato, funciones, contrato o acuerdo; o deben
ser modificados en caso de cambio. Artculo 3
-(Administracindecontraseasdeusuarios)Laentidadsupervisadadebe
definirpolticasdeadministracindecontraseasquerespondanasuanlisisderiesgo
tecnolgico y a buenas prcticas de seguridad de la informacin.
Artculo 4 -(Monitoreo de actividades de los usuarios) Para el
monitoreo de las actividades de los usuarios, la entidad
supervisada debe establecer un procedimiento formalizado, con el
fin de detectar incidentes de seguridad de la informacin. Artculo 5
-(Registrosdeseguridadypistasdeauditora) Con el objeto de minimizar
los
riesgosinternosyexternosrelacionadosconaccesosnoautorizados,prdidasydaosdela
informacin,laentidadsupervisadaconbaseenelanlisisderiesgotecnolgicodebe
implementarpistasdeauditoraquecontenganlosdatosdelosaccesosyactividadesdelos
usuarios, excepciones y registros de los incidentes deseguridad de
la informacin. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 5Pgina 1/2CircularSB/436/03 (07/03)Inicial
SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2
ASFI/193/13 (09/13)Modificacin 3 SECCIN 5:DESARROLLO, MANTENIMIENTO
E IMPLEMENTACIN DE SISTEMAS DE INFORMACIN Artculo 1
-(Polticasyprocedimientos)La entidad supervisada debe establecer
polticas y procedimientos, para el desarrollo, mantenimiento e
implementacin, de sistemas de informacin considerando las
caractersticas propias relacionadas a las soluciones informticas
que requiere y el anlisis de riesgo tecnolgico efectuado. Artculo 2
-(Desarrolloymantenimientodeprogramas,sistemasdeinformacino
aplicacionesinformticas) La entidad supervisada que realice el
desarrollo o mantenimiento de programas, sistemas de informacin o
aplicaciones informticas, debe garantizar que su diseo e
implementacin se enmarque en la legislacin y normativa emitida segn
corresponda, as como en sus polticas internas. Artculo 3
-(Requisitosdeseguridaddelossistemasdeinformacin)Lainstancia
responsable de la seguridad de la informacin de la entidad
supervisada, debe considerar en el diseo de los sistemas de
informacin, el establecimiento de controles de seguridad,
identificados y consensuados con las reas involucradas. Artculo 4
-(Estndaresparaelprocesodeingenieradelsoftware)De acuerdo con la
estructura y complejidad de sus operaciones, la entidad supervisada
debe contar con metodologas
estndarparaelprocesodeadquisicin,desarrolloymantenimientodelsoftware,que
comprendanaspectostalescomo:estudiodefactibilidad,anlisisyespecificaciones,diseo,
desarrollo, pruebas, migraciones de datos preexistentes,
implementacin y mantenimiento de los sistemas de informacin.
Artculo 5
-(Implementacindecontroles)Paraeldesarrolloymantenimientodelos
sistemasdeinformacin,laentidadsupervisadadebeconsiderarcomomnimo,la
implementacindecontrolessegnlosrequerimientosregulatoriosylanormativavigente
establecida por ASFI. Artculo 6
-(Integridadyvalidezdelainformacin)Laentidadsupervisadaenel
desarrollo y mantenimiento de los sistemas de informacin, debe
tomar en cuenta al menos los siguientes aspectos: a)Implementar
controles automatizados que permitan minimizar errores en la
entrada de
datos,ensuprocesamientoyconsolidacin,enlaejecucindelosprocesosde
actualizacin de archivos y bases de datos, as como en la salida de
la informacin. b)Verificar peridicamente que la informacin
procesada por los sistemas de informacin sea integra, vlida,
confiable y razonable. c)Establecer controles que limiten la
modificacin y la eliminacin de datos en cuanto a movimientos,
saldos, operaciones concretadas por los clientes y otros. Artculo 7
-(Controlescriptogrficos)En el desarrollo de los sistemas de
informacin, la
entidadsupervisadadebeimplementarmtodosdecifradoestndarquegaranticenla
confidencialidad e integridad de la informacin. AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 5Pgina
2/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1
SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3
Artculo 8 -(Controldeaccesoalcdigofuentedelosprogramas)El acceso al
cdigo
fuentedeprogramasyalainformacinrelacionadacondiseos,especificaciones,planesde
verificacin y de validacin, debe ser estrictamente controlado para
prevenir la introduccin de funcionalidades y/o cambios no
autorizados.Artculo 9 -(Procedimientos de control de cambios) La
entidad supervisada debe establecer
procedimientosformales(documentacin,especificacin,prueba,controldecalidade
implementacin) para el control de cambios en los sistemas de
informacin. Se debe documentar y resguardar cada versin del cdigo
fuente de los sistemas de informacin. Artculo 10
-(Ambientesdedesarrollo,pruebayproduccin)Sedebeimplementar
controlesquegaranticenlaseparacindelosambientesdedesarrollo,pruebayproduccin,
acorde a la segregacin de funciones que debe existir en cada caso.
Artculo 11
-(Datosdepruebaenambientesdedesarrollo)Parautilizarinformacinde
produccinenlosambientesdedesarrolloypruebassedebeaplicarunprocedimientode
enmascaramiento de datos a efectos de preservar la confidencialidad
de dicha informacin. Artculo 12 -(Migracin de sistemas de
informacin) El proceso demigracin de un sistema
deinformacin,debeestarbasadoenunplandeaccinyprocedimientosespecficosque
garanticen la disponibilidad, integridad y confidencialidad de la
informacin. Es responsabilidad de la Gerencia General designar a la
instancia que realice el control de calidad
duranteelprocesodemigracin.Elmismoquedebeestardebidamentedocumentadoya
disposicin de ASFI. La Unidad de Auditora Interna debe evaluar los
resultados obtenidos en el proceso de migracin. Artculo 13
-(Parchesdeseguridad)Laactualizacindelsoftwareolaaplicacindeun
parche de seguridad debe ser previamente autorizada en funcin a un
procedimiento formalmente
establecido.Estaautorizacindebeserotorgadaonosegncorresponda,considerandola
estabilidad del sistema, las necesidades funcionales de la
organizacin y los criterios de seguridad de la informacin
establecidos en las polticas de la entidad supervisada.
Adicionalmente, todo el software debe mantenerse actualizado con
las mejoras de seguridad distribuidas o liberadas por el proveedor,
previa realizacin de pruebas en ambientes controlados.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
6Pgina 1/2CircularASFI/193/13 (09/13)Inicial SECCIN 6:GESTIN DE
OPERACIONES DE TECNOLOGA DE INFORMACIN Artculo 1
-(Gestindeoperaciones)Lagestindeoperacionesdetecnologadela
informacin,debeestarbasadaenpolticasyprocedimientosestablecidosporlaentidad
supervisada, en las cuales se consideren al menos:
a)Laplanificacinydocumentacindelosprocesosyactividadesquesedesarrollen
dentro del Centro de Procesamiento de Datos. b)La revisin peridica
de los procedimientos relacionados a la gestin de operaciones en
funcin a los cambios operativos y/o tecnolgicos. Artculo 2
-(Administracin de las basesde datos) La entidad supervisada debe
realizar la administracin de bases de datos, en funcin a
procedimientos formalmente establecidos para este propsito, los
cuales consideren mnimamente lo siguiente: a)Instalacin,
administracin, migracin y mantenimiento de las bases de datos.
b)Definicin de la arquitectura de informacin para organizar y
aprovechar de la mejor forma los sistemas de informacin.
c)Establecimiento de mecanismos de control de acceso a las bases de
datos. d)Documentacin que respalde las actividades de administracin
de las bases de datos. e)Realizacin de estudios de capacidad y
desempeo de las bases de datos que permitan
determinarlasnecesidadesdeexpansindecapacidadesy/olaafinacinenforma
oportuna. Artculo 3
-(RespaldoocopiadeseguridadBackup)Laentidadsupervisadadebe efectuar
copias de seguridad de todos los datos e informacin que considere
necesaria para el continuo funcionamiento de la misma, cumpliendo
al menos con las siguientes disposiciones:
a)Contarconpolticasyprocedimientosqueasegurenlarealizacindecopiasde
seguridad. b)La informacin respaldada debe poseer un nivel adecuado
de proteccin lgica, fsica y ambiental, en funcin a la criticidad de
la
misma.c)Losmediosderespaldodebenprobarseperidicamente,afindegarantizarla
confiabilidad de los mismos con relacin a su eventual uso en casos
de emergencia. d)El ambiente fsicodestinado al resguardodela
informacin crtica, debe contar con condiciones fsicas y ambientales
suficientes para garantizar mnimamente la proteccin contra daos,
deterioro y hurto. e)El sitio externo de respaldo donde se
almacenan las copias de seguridad debe mantener al menos diez (10)
aos de informacin crtica de la entidad
supervisada.f)Cualquiertrasladofsicodelosmediosdigitalesderespaldo,deberealizarsecon
controlesdeseguridadadecuados,queevitenunaexposicinnoautorizadadela
informacin contenida en los mismos. AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 6Pgina 2/2CircularASFI/193/13
(09/13)Inicial g)Se debe realizar el etiquetado de todos los medios
de respaldo y mantener un inventario actualizado de los mismos.
Artculo 4
-(Mantenimientopreventivodelosrecursostecnolgicos)Laentidad
supervisadadeberealizarperidicamenteelmantenimientopreventivodelosrecursos
tecnolgicos que soportan los sistemas de informacin y de los
recursos relacionados, mediante el
establecimientoformalydocumentadodeunprocedimientoqueincluyaelcronograma
correspondiente.AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 7Pgina 1/2CircularASFI/193/13 (09/13) Inicial
SECCIN 7:GESTIN DE SEGURIDAD EN REDES Y COMUNICACIONES Artculo 1
-(Polticas y procedimientos) La entidad supervisada debe contar con
polticas y procedimientos para la instalacin y mantenimiento del
hardware y su configuracin base, a fin de asegurar que
proporcionenla plataforma tecnolgicaque permita soportar las
aplicaciones relacionadas con las redes y comunicaciones, y
minimice la frecuencia e impacto de las fallas de desempeo de las
mismas.
Asimismo,debedesarrollarpolticasyprocedimientosparalacorrectaadministracindela
infraestructuraderedesytelecomunicaciones.Paraesteefecto,laentidadsupervisadadebe
considerar lo siguiente:
a)Garantizarquelosplanesdeadquisicindehardwareysoftwarereflejenlas
necesidades identificadas en el plan estratgico de TI.
b)Garantizarlaproteccindelosdatosquesetrasmitenatravsdelaredde
telecomunicaciones,mediantetcnicasdecifradoestndaratravsdeequiposo
aplicaciones definidas para tal fin.
c)Asegurarquelasredesdevozy/odatoscumplanconestndaresdecableado
estructurado. d)Definir los niveles de acceso de los usuarios del
sistema de informacin a las redes y servicios de red, en funcin de
las autorizaciones predefinidas. e)Controlar el acceso a los
puertos de diagnstico.
f)Establecercontrolesdeaccesopararedescompartidas,particularmenterespectoa
aquellas que se extienden a usuarios fuera de la entidad
supervisada. Artculo 2
-(Estudiodecapacidadydesempeo)Laentidadsupervisadadeberealizar
estudios peridicos de capacidad y desempeo del hardware y las lneas
de comunicacin que permitan determinar las necesidades de expansin
de capacidades y/o actualizacin de equipos en forma oportuna.
Artculo 3 -(Exclusividad delrea de telecomunicaciones) El ambiente
fsico en el que se encuentran instalados losequiposde
telecomunicacionesdebe ser de usoexclusivo para el fin
sealado,conexcepcindeldestinadoalosequiposdeseguridadoprocesamientode
informacin. Artculo 4
-(Activosdeinformacincomponentesdelared)Losequiposcomo
concentradores,multiplexores,puentes,cortafuegos(firewall),enrutadores,conmutadoresy
componentes del cableadoestructuradode la red, debeninstalarse
sobreestructuras dedicadas para equipos de telecomunicacin. Artculo
5 -(Configuracindehardwareysoftware)Laentidadsupervisada,debe
establecerunregistroformalquecontengatodalainformacinreferentealoselementosde
configuracindelhardware,software,parmetros,documentacin,procedimientosy
herramientasparaoperar,accederyutilizarlossistemasdeinformacin.Asimismo,debe
considerar los siguientes aspectos: AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 7Pgina 2/2CircularASFI/193/13
(09/13) Inicial
a)Contarconprocedimientosformalmenteestablecidospara:Identificar,registrary
actualizarloselementosdeconfiguracinexistentesenelrepositoriode
configuraciones.b)Revisar y verificar de manera regular el estado
de los elementos de configuracin para confirmar la integridad de la
configuracin de datos actual e histrica.
c)Revisarperidicamente,laexistenciadecualquiersoftwaredeusopersonalono
autorizado que no se encuentre incluido en los acuerdos de
licenciamiento actuales. Artculo 6
-(Documentacintcnica)Ladocumentacintcnicaasociadaala
infraestructuraderedesytelecomunicacionesdebeconservarseactualizada,resguardaday
contemplar como mnimo las siguientes
disposiciones:a)Caractersticas, topologa y diagrama de red.
b)Descripcin de los elementos de cableado.c)Planos de trayectoria
del cableado y ubicacin de puntos de
salida.d)Diagramadelsistemadeinterconexindecablesdered,distribucinderegletasy
salidas.e)Certificacin del cableado estructurado de la red.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
8Pgina 1/3CircularASFI/193/13 (09/13) Inicial SECCIN 8:GESTIN DE
SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES ELECTRNICAS Artculo 1
-(Requisitosdelossistemasdetransferenciaytransaccinelectrnica)Para
habilitarunsistemadetransferenciaelectrnicadeinformacinotransaccinelectrnicade
fondosmediantebancaelectrnicaoserviciosdepagomvil,laentidadsupervisadadebe
adquirireimplementar loselementosdehardware y softwarenecesarios
para la protecciny
controldesuplataformatecnolgica.Adicionalmenteyenformacomplementariadebedar
cumplimiento de los siguientes requisitos mnimos:
a)Seguridaddelsistema:El sistema debe proveer un perfil de
seguridad que garantice quelas operaciones slo puedan ser
realizadas por personas debidamente autorizadas
paraello,debiendoresguardar,adems,laprivacidadoconfidencialidaddela
informacin transmitida o procesada por ese
medio.Dichosistema,debecontenerlosmecanismosfsicosylgicosdeseguridadpara
controlar y detectar cualquier alteracinointervencin a la
informacin transmitida, entre el punto en que sta se origina y
aquel en que es recibida por el destinatario. Los procedimientos
deben asegurar que tanto el originador como el destinatario, en su
caso,conozcanlaautoradelastransaccionesomensajesylaconformidaddesu
recepcin,debiendoutilizarlaspolticasyprocedimientosdeseguridaddela
informacinindicadasenelArtculo2delaSeccin3delpresenteReglamento,
incluyendomtodosdecifradoestndardedatos,quepermitanasegurarsu
confiabilidad, no repudio, autenticidad e integridad.
Laentidadsupervisada,esresponsabledeimplementarmecanismosdecontrolde
accesoy/o contraseas adicionales a los clientes, as comodelnivelde
robustez del sistemadeautenticacinpara
aquellastransaccionesqueseanrealizadasatravsde Internet, caso
contrario no se podr atribuir ninguna responsabilidad a un usuario
del
sistemaenelcasodequesematerialiceunfraudeatravsdeestossistemasde
transacciones y transferencias electrnicas.
Elmecanismodeaccesoy/ocontraseaalSistemaWebdebeserdiferenteal
mecanismo que permita realizar transferencias de fondos en lnea.
b)Canaldecomunicacin:Laentidadsupervisadadebemantenerpermanentemente
abierto y disponible un canal de comunicacin que permita al cliente
realizar consultas
ysolicitarelbloqueodecualquieroperacinqueintenteefectuarseutilizandosus
medios de acceso a la informacin o claves de autenticacin. Cada
sistema que opere en lnea y en tiempo real, debe permitir dicho
bloqueo tambin en tiempo real.
Todainformacinrelacionadaatransferenciaytransaccioneselectrnicas,debe
contemplar enloscanalesdecomunicacinmecanismosde cifradoestndar
durante todo el flujo operativo de los sistemas de informacin tanto
al interior como al exterior de la entidad supervisada.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
8Pgina 2/3CircularASFI/193/13 (09/13) Inicial c)Difusin de polticas
de seguridad: La entidad supervisada debe difundir sus polticas de
seguridad relativas al temade transferenciasy
transaccioneselectrnicas tanto al interior de la misma, como a los
clientes externos que utilizan dicho sistema.
d)Certificacin:LaexistenciadelaspginasWebutilizadasporlasentidades
supervisadas, debe estar avalada en cuanto a su propiedad y
seguridad de la informacin expuesta, por una certificadora nacional
o internacional. En el caso de la certificadora nacional, sta debe
estar respaldada por una certificadora internacional. e)Continuidad
operativa: La entidad supervisada, debe contar con procesos
alternativos
quepuedanasegurarlacontinuidaddetodoslosprocesosdefinidoscomocrticos
relacionados con los servicios de transferencias y transacciones
electrnicas. Es decir,
lasinstalacionesyconfiguracionesdelosequipos,sistemasydelasredesdeben
garantizar la continuidad delas operaciones frente a eventos
fortuitosodeliberados, para lo cual debe considerar lo previsto en
la Seccin 10, del presente Reglamento.
f)Disponibilidaddelainformacin(informes):Lossistemasdetransacciny
transferencia electrnica de fondos deben generar la informacin
necesaria para que el
clientepuedaconciliarlosmovimientosdedineroefectuados,tantoporterminales
comoporusuariohabilitado,incluyendo,cuandocorresponda,totalesdelas
operaciones realizadas en un determinado perodo. g)Registro de
pistas de auditora: Los sistemas utilizados, adems de permitir el
registro
yseguimientontegrodelasoperacionesrealizadas,debengenerararchivosque
permitanrespaldarlosantecedentesdecadaoperacinelectrnica,necesariospara
efectuar cualquier seguimiento, examen o certificacin posterior,
tales como, fechas y horas en que se realizaron, contenido de los
mensajes, identificacin de los operadores, emisoresy receptores,
cuentas ymontos involucrados, as comola identificacinde terminales
desde las cuales se realizaron. La conservacin de esta informacin
se regir por lo establecido en el Artculo 94 de la
LeyN1488deBancosyEntidadesFinancierasreferidoalacustodiadelos
documentos relacionados con sus operaciones, microfilmados o
registrados en medios magnticos y electrnicos, por un periodo no
menor a diez (10) aos.
h)Verificacinycontroldetransaccionesytransferenciaselectrnicas:Laentidad
supervisada debe implementar mnimamente las siguientes medidas de
seguridad:i.Regionalizacin de operaciones electrnicas nacionales e
internacionales de los clientes. ii.Fijar lmites monetarios en
transferencias y transacciones electrnicas.
i)Acuerdosprivados:Paralarealizacindetransaccionesy/otransferenciasde
informacin entre entidades supervisadas, BCB, ASFI, usuarios y
todas las que estn relacionadas con la actividad de intermediacin
financiera, deben celebrarse acuerdos privados que estn debidamente
firmados y protocolizados entre las partes interesadas y que
consideren las medidas de seguridad que se indican en el Artculo 2
de la Seccin 3 del presente reglamento. AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 8Pgina 3/3CircularASFI/193/13
(09/13) Inicial Artculo 2 -(Contrato formal) Debe celebrarse un
contrato entre la entidad supervisada y el cliente, en el cual
queden claramente establecidos los derechos y responsabilidades de
cada una de las partes que intervienen en este tipo de operaciones
electrnicas. Este contrato debe contener de manera enunciativa y no
limitativa, los siguientes puntos: a)El cliente, ser responsable
exclusivo del uso y confidencialidad de la clave de acceso,
queutilizarensusoperaciones.Ademssedebeindicar,quelacontraseaser
bloqueada automticamente despus de tres intentos fallidos, as como
el procedimiento para su desbloqueo debe estar claramente
especificado. b)El tipo de operaciones que puede efectuar el
cliente.
c)Elhorarioyconsideracionesdecierrediariodecadaentidadsupervisada,juntoal
procedimiento alternativo en caso de que el servicio no est
disponible. d)Las medidas de seguridad que ha tomado la entidad
supervisada para la transferencia electrnica de informacin y
transaccin electrnica de fondos. e)Los sistemas que permitan
ejecutar transacciones con fondos, adems de reconocer la validez de
la operacin que el cliente realice, deben controlar que los
importes girados no superen el saldo disponible o el lmite que para
el efecto haya sido fijado por ste,
salvolaexistenciapreviadecontratosdeanticipooadelantoencuenta,debiendo
cumplir para tal efecto con las formalidades del Cdigo de Comercio
y reglamentacin vigente.
f)Todaslascondiciones,caractersticasycualquierotraestipulacindeterminanteque
conlleve el uso de este servicio.Artculo 3
-(Cifradodemensajesyarchivos)Paraqueunaentidadsupervisada,efecte
transferenciaselectrnicasdeinformacinytransaccioneselectrnicasdefondos,debetener
implementado un sistema de cifrado estndar que garantice como mnimo
que las operaciones realizadas por los usuarios internos o externos
de los sistemas de informacin sean efectuadas en un ambiente seguro
y no puedan ser observadas por usuarios no autorizados. AUTORIDAD
DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 9Pgina
1/2CircularASFI/193/13 (09/13) Inicial SECCIN 9:GESTIN DE
INCIDENTES DE SEGURIDAD DE LA INFORMACIN Artculo nico
-(Gestindeincidentesdeseguridaddelainformacin)Laentidad
supervisadadebetenerformalizadoporescrito,actualizado,implementadoyaprobadoporel
Directorio u rgano equivalente, un procedimiento para la gestin de
incidentes de seguridad de la informacin, en concordancia con el
Plan de Contingencias definido en el Artculo 1, Seccin 10 del
presente Captulo. Este procedimiento debe contar mnimamente con lo
siguiente:a)Responsabilidadesyprocedimientos:LaGerenciaGeneraldebeestablecer
formalmente las responsabilidades y procedimientos para asegurar
una rpida, efectiva y ordenada respuesta a los incidentes de
seguridad de la informacin. b)Registro, cuantificacin y monitoreo
de incidentes de seguridad de la informacin: La entidad supervisada
debe establecer los mecanismos necesarios que permitan que los
tipos,volmenesycostosdelosincidentesdeseguridaddelainformacinsean
registrados, cuantificados y monitoreados. De igual manera, debe
ejecutar las acciones correctivas oportunas.
c)Clasificacindeincidentesdeseguridaddelainformacin: La entidad
supervisada debe considerar al menos las siguientes
categoras:A.Prdida de servicio, equipo o instalaciones.
B.Sobrecargo o mal funcionamiento del sistema. C.Errores humanos.
D.Incumplimiento de polticas o procedimientos. E.Deficiencias de
controles de seguridad fsica. F.Cambios incontrolables en el
sistema. G.Mal funcionamiento del software o hardware. H.Violacin
de accesos.I.Cdigo malicioso. J.Negacin de servicio. K.Errores
resultantes de datos incompletos o no actualizados. L.Violaciones
en la confidencialidad e integridad de la informacin. M.Mal uso de
los sistemas de informacin.
N.Accesosnoautorizadosexitosos,sinperjuiciosvisiblesacomponentes
tecnolgicos. O.Intentos recurrentes y no recurrentes de acceso no
autorizado. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo
VIICaptulo IISeccin 9Pgina 2/2CircularASFI/193/13 (09/13) Inicial
d)Registrodeincidentesdeseguridaddelainformacin:La entidad
supervisada para efectosde control, seguimiento y
solucin,debemantener una basededatos para el registro de los
incidentes de seguridad de la informacin que considere la
clasificacin establecida en el inciso c) del presente artculo.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
10Pgina 1/2CircularASFI/193/13 (09/13) Inicial SECCIN
10:CONTINUIDAD DEL NEGOCIO Artculo 1
-(Plandecontingenciastecnolgicas)Laentidadsupervisadadebetener
formalizadoporescrito,actualizado,implementadoyaprobadoporelDirectoriourgano
equivalente,undocumentodenominadoplandecontingenciastecnolgicas,queconsidere
mnimamente: a)Objetivo del plan de contingencias tecnolgicas.
b)Metodologa del plan de contingencias tecnolgicas que incluya lo
siguiente: i.Anlisis de riesgo tecnolgico. ii.Definicin de eventos
que afecten la operacin de los sistemas de informacin.
iii.Definicin de procesos crticos relacionados a los sistemas de
informacin. c)Procedimientos de recuperacin de operaciones crticas
para cada evento identificado en el inciso b), numeral ii) del
presente artculo. d)Descripcin de responsabilidades, funciones e
identificacin del personal que ejecutar el plan. e)Medidas de
prevencin. f)Recursos mnimos asignados para la recuperacin.
g)Convenios realizados para la recuperacin. h)Revisin anual y
evaluaciones ms frecuentes del plan de contingencias tecnolgicas de
acuerdo con el anlisis de riesgo tecnolgico efectuado y/o los
incidentes de seguridad de informacin acontecidos. i)Pruebas al
plan de contingencias tecnolgicas. j)Situaciones no cubiertas y
supuestos. Artculo 2 -(Plandecontinuidaddelnegocio-BCP)Laentidad
supervisadadebe tener
formalizadoporescrito,actualizado,implementadoyaprobadoporelDirectoriourgano
equivalente, un plan de continuidad del negocio, que incluya al
menos: a)Inicio del proyecto. b)Anlisis de riesgo tecnolgico.
c)Anlisis de impacto al negocio (BIA: Business Impact Analysis).
d)Desarrollo de estrategias para el BCP. e)Respuesta ante
emergencias. f)Desarrollo e implementacin del BCP. g)Programa de
Concientizacin y Capacitacin. h)Mantenimiento y Ejercicio del BCP.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
10Pgina 2/2CircularASFI/193/13 (09/13) Inicial i)Comunicacin de
crisis. Artculo 3
-(Capacitacinenlaaplicacindelosplanesdecontingenciastecnolgicasy
decontinuidaddelnegocio)Laentidadsupervisadadebeasegurarsequetodaslaspartes
involucradas en los planes de contingencias tecnolgicas y de
continuidad del negocio reciban sesiones de capacitacin de forma
regular respecto a los procesos, sus roles y responsabilidades en
caso de presentarse algn incidente de seguridad de la informacin.
Artculo 4
-(Pruebasdelosplanesdecontingenciastecnolgicasycontinuidaddel
negocio)Laentidadsupervisadadebeefectuaralmenosunapruebaalaodelosplanesde
contingencias tecnolgicas y continuidad del negocio, debiendo los
resultados de ambas pruebas ser exitosas en toda su dimensin, caso
contrario se deben ejecutar las acciones correctivas que
correspondan y ejecutar las pruebas necesarias hasta cumplir con el
objetivo planteado.La entidad supervisada debe documentar la
realizacin de las pruebas y de la implementacin de los planes de
accin correctivos o preventivos que correspondan. El cronograma de
realizacin de pruebas, conforme a los planes de contingencias
tecnolgicas y de continuidad del negocio para
lagestinqueseplanifica,debeserremitidoaASFIparasuconocimiento,hastael20de
diciembre del ao anterior a su ejecucin. El alcance de las pruebas
de recuperacin debe considerar aplicaciones individuales,
escenarios
depruebasintegrados,pruebasdepuntaapuntaypruebasintegradasconelproveedor.El
resultado de stas debe estar disponible para ASFI. Artculo 5
-(Controldelosplanesdecontingenciastecnolgicasydecontinuidaddel
negocio)Laentidadsupervisadaatravsdelosfuncionariosinvolucradosenlaspruebasy
ejecucindelosplanesdecontingenciastecnolgicasydecontinuidaddelnegocio,es
responsable de mantener los niveles de seguridad definidos para
cada etapa del mismo.Artculo 6
-(Establecimientodelcentrodeprocesamientodedatosalterno)Laentidad
supervisadadebe contar con unmecanismo alternode procesamientode
informacinque sea
consistenteconsunaturalezaytamaoyestdeacuerdoalanlisisderiesgotecnolgico
realizado y a la criticidad de sus operaciones, el cual le permita
dar continuidad a los servicios queofrece. En casode ocurrir una
contingencia queinterrumpa las operaciones del Centro de
Procesamientode Datos principal,el centro alternodeber funcionar
hasta que se resuelva la contingencia. AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 11Pgina 1/4CircularASFI/193/13
(09/13) Inicial SECCIN 11:ADMINISTRACIN DE SERVICIOS Y CONTRATOS
CON TERCEROS RELACIONADOS CON TECNOLOGA DE LA INFORMACIN Artculo 1
-(Administracin de servicios y contratos con terceros) La entidad
supervisada debe contar con polticas y procedimientos para la
administracin de servicios y contratos con terceros, a fin de
asegurar que los servicios y contratos requeridos sean provistos en
el marco de
unadecuadoniveldeserviciosqueminimicenelriesgorelacionadoyseenmarquenenlas
disposiciones contenidas en el presente Reglamento segn
corresponda. La Gerencia General debe establecer formalmente las
responsabilidades y procedimientos para la administracin de
servicios y contratos con terceros. Artculo 2
-(Evaluacinyseleccindeproveedores)Para la contratacinde proveedores
externosdetecnologadeinformacin,laentidadsupervisadadebeposeerunprocedimiento
documentadoyformalizadopararealizarlaevaluacinyseleccindelosmismos,previoa
proceder con su contratacin. Artculo 3
-(Procesamientodedatosoejecucindesistemasenlugarexterno)Para la
contratacin de empresas encargadas del procesamiento de datos o
ejecucin de sistemas en lugar externo, la entidad supervisada debe
considerar al menos los siguientes aspectos: a)Es deber del
Directorio u rgano equivalente, Gerencia General y dems
administradores responsables, asegurarse que la empresa proveedora
cuente con la experiencia y capacidad necesarias para el
procesamiento de datos relacionados al giro de la entidad
supervisada y que respondan a las caractersticas del servicio que
se desea contratar.
b)Lainfraestructuratecnolgicaylossistemasqueseutilizarnparalacomunicacin,
almacenamientoyprocesamientodedatos,debenofrecerlaseguridadsuficientepara
resguardar permanentementela continuidadoperacional,la
confidencialidad, integridad, exactitudycalidaddela
informacinylosdatos.Asimismo, sedebeverificar quelas condiciones
garantizan la obtencin oportuna de cualquier dato o informacin que
necesite,
parafinesdelaentidadsupervisadaoparacumplirconlosrequerimientosdelas
autoridades competentes, como es el caso de la informacin que en
cualquier momento puede solicitar ASFI.
c)Esresponsabilidaddelaentidadsupervisada,verificaryexigiralproveedorde
tecnologasdeinformacinelcumplimientodelaspolticasyprocedimientosde
seguridad de la informacin pertinentes del presente
Reglamento.d)Esresponsabilidaddelaentidadsupervisadaasegurarlasmedidasnecesariasque
garanticen la continuidad operacional del procesamiento de datos,
en caso de cambio de proveedor externo u otro factor no previsto.
e)En caso dequeel procesamientodedatos se realice fuera del
territorionacional, la
entidadsupervisadadebecomunicarestasituacinaASFI,adjuntandolasiguiente
documentacin:i.Detalle de las actividades descentralizadas.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
11Pgina 2/4CircularASFI/193/13 (09/13) Inicial ii.Descripcin del
entorno de procesamiento. iii.Lista de encargados del
procesamiento. iv.Responsables del control de procesamiento.
v.Informedel Gerente General, dirigido alDirectorio u
rganoequivalente,que seale el cumplimiento de lo dispuesto en los
incisos
precedentes.Dichadocumentacindebepermaneceractualizadaenlaentidadsupervisada,a
disposicin de ASFI. f)El Gerente General de la entidad supervisada
debe remitir anualmente a ASFI hasta el 31 de marzo de cada ao, un
informe con carcter de declaracin jurada refrendado por el auditor
interno, en el que se especifique que el sistema de procesamiento
de datos, cumple con los criterios establecidos en el presente
Reglamento. Artculo 4
-(Contratoconproveedordeprocesamientoexterno)Es responsabilidaddel
Directorio u rgano equivalente y el Gerente General de la entidad
supervisada, la suscripcin delcontrato conlaempresa proveedora
delos serviciosde procesamiento,elqueentreotros aspectos debe
especificar lo siguiente: a)La naturaleza y especificaciones del
servicio de procesamiento contratado.
b)Laresponsabilidadqueasumelaempresaproveedora,paramantenerpolticasy
procedimientos que garanticen la seguridad de la informacin, el
secreto bancario y la
confidencialidaddelainformacin,enconformidadconlalegislacinboliviana,as
como para prever prdidas, atrasos o deterioros de la misma. c)La
responsabilidadqueasumelaempresaproveedoradetecnologasencasodeser
vulneradossussistemas,yaseaporataquesinformticosinternosy/oexternos,
deficiencias en la parametrizacin, configuracin y/o rutinas de
validacin inmersas en el cdigo fuente.
d)Lafacultaddelaentidadsupervisada,parapracticarevaluacionesperidicasenla
empresa proveedora del servicio, directamente o mediante auditoras
independientes.La entidad supervisada debe mantener los documentos
y antecedentes de los contratos suscritos con empresas proveedoras
de servicios de tecnologa de informacin a disposicin de ASFI.
Artculo 5 -(Adquisicin de sistemas de informacin) La entidad
supervisada debe evaluar la necesidad de adquirir programas,
sistemas o aplicaciones en forma previa a la adquisicin, en base a
un anlisis que considere como mnimo lo siguiente:a)Fuentes
alternativas para la compra. b)Revisin de la factibilidad
tecnolgica y econmica. c)Anlisis de riesgo tecnolgico y de
costo-beneficio. d)Eleccin del proveedor, que permita un nivel de
dependencia aceptable. e)Disponibilidad de cdigo fuente. AUTORIDAD
DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 11Pgina
3/4CircularASFI/193/13 (09/13) Inicial Asimismo, los contratos con
el proveedor deben indicar los requisitos de seguridad establecidos
por la entidad supervisada. Si la funcionalidad del producto
ofrecido, no satisface los requisitos de seguridad de la informacin
establecidos por la entidad supervisada, se debe reconsiderar los
riesgos y controles asociados antes de adquirir el producto.
Artculo 6 -(Desarrollo ymantenimiento de programas, sistemas o
aplicacionesa travs
deproveedoresexternos)Paralacontratacindeempresasencargadasdeldesarrolloy
mantenimiento de sistemas de informacin, la entidad supervisada
debe considerar al menos los siguientes aspectos: a)Es deber del
Gerente General y de los administradores responsables, asegurarse
que la
empresacontratadacuenteconsolidezfinanciera,organizacinypersonalcon
conocimientoyexperienciaeneldesarrollodesistemasy/oenserviciosfinancieros
relacionados al giro de la entidad supervisada; asimismo,
asegurarse que sus sistemas de
controlinternoyprocedimientosdeseguridaddelainformacin,respondenalas
caractersticas del servicio que se requiere contratar.
b)Lainfraestructuratecnolgica,sistemasoperativosylasherramientasdedesarrollo,
referidos a licencias de software, que se utilizarn estn
debidamente licenciados por el fabricante o representante de
software.
c)Esresponsabledeasegurarlaadopcindemedidasquegaranticenlacontinuidaddel
desarrollo de sistemas, en caso de cambio de proveedor externo u
otro factor no previsto. d)Es responsable de exigir al proveedor de
tecnologas de informacin que cumpla con las polticas y
procedimientos de seguridad de la informacin sealados en el Artculo
1 de la presente Seccin. Artculo 7
-(Contratoconempresasencargadasdeldesarrolloymantenimientode
programas,sistemasoaplicaciones)Elcontratoconempresasdedesarrolloexternodebe
contener como mnimo las siguientes clusulas:
a)Sedebeaclararaquienpertenecelapropiedadintelectualenelcasodedesarrollode
programas, sistemas o aplicaciones. b)Se debe indicar en detalle la
plataforma de desarrollo, servidores, sistemas operativos y las
herramientas de desarrollo, tales como lenguaje de programacin y
sistema de gestin de base de datos. c)El proveedor debe tener el
contrato del personal que participa en el proyecto, actualizado y
con clusulas de confidencialidad para el manejo de la informacin.
Adicionalmente, debe enviar al cliente - entidad supervisada - el
currculo de todos los participantes en el proyecto, indicando al
menos antecedentes profesionales y personales. d)Se debe indicar
los tiempos de desarrollo por cada etapa en un cronograma y plan de
trabajo, incluyendo las pruebas de programas. e)Conla finalidadde
proteger alaentidad supervisada, junto alasclusulasnormalesde
condiciones de pago se debe establecer multas por atrasos en la
entrega. Al mismo tiempo, indemnizacin por daos y perjuicios en
caso de fraudes o ataques informticos. AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3Ttulo VIICaptulo IISeccin 11Pgina 4/4CircularASFI/193/13
(09/13) Inicial f)En caso de que el proveedor sea autorizado a
ingresar en forma remota a los servidores de la entidad
supervisada, debe regirse y cumplir las polticas y procedimientos
de la misma en lo referido a la seguridad de la informacin. g)Al
trminodel proyecto, al adquirir un producto
previamentedesarrolladoy/ocuandoel
proveedornoestendisponibilidaddecontinuaroperandoenelmercado,laentidad
supervisada debe asegurarse el acceso oportuno a los programas
fuentes.h)Acorde alos cambios realizados al
sistemadeinformacin,laentidadsupervisadadebe
asegurarsedequeelproveedoractualiceyentreguemnimamentelasiguiente
documentacin: 1)Diccionario de datos. 2)Diagrama Entidad Relacin
(ER). 3)Manual tcnico. 4)Manual de usuario. 5)Documentacin que
especifique el flujo de la informacin entre los mdulos y los
sistemas. Artculo 8 -(Otros servicios) La entidad supervisada podr
tercerizar otros servicios como el
mantenimientodeequipos,soportedesistemasoperativos,hospedajedesitiosWeb,paralos
cuales debe considerar al menos los siguientes aspectos: a)Tipo de
servicio. b)Soporte y asistencia. c)Seguridad de datos. d)Garanta y
tiempos de respuesta del servicio. e)Disponibilidad del servicio.
f)Multas por incumplimiento.Artculo 9 -(Acuerdo de nivel de
servicio - SLA) La entidad supervisada de forma previa a la
contratacin de un proveedor externo de tecnologa de informacin,
debe establecer un SLA en el contrato respectivo, de acuerdo a su
anlisis de riesgo tecnolgico y de acuerdo a la criticidad de sus
operaciones.LosparmetrosdelSLA,puedenreferirsealtipodeservicio,soporteyasistenciaaclientes,
provisiones para seguridad y datos, garantas del sistema y tiempos
de respuesta, disponibilidad del sistema, conectividad, multas por
cada del sistema y/o lneas alternas para el servicio. AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 12Pgina
1/1CircularASFI/193/13 (09/13) Inicial SECCIN 12:ROL DE LA AUDITORA
INTERNA Artculo nico (Auditora Interna) La Unidad de auditora
interna es un elemento clave en la
gestindeseguridaddelainformacin,debiendoentreotras,cumplirconlassiguientes
funciones:
a)VerificarelcumplimientodelpresenteReglamento,enlosdocemesesprecedentes,
debiendo la entidad supervisada remitir a ASFI hasta el 15 de enero
de cada ao, o el siguiente da hbil en caso de feriado o fin de
semana, el informe elaborado. Dicha labor podr realizarse a travs,
de evaluaciones internas y/o externas. b)Verificar la ejecucin
delas pruebas solicitadas enelArtculo 8 de la Seccin 3, del
presente Captulo y comunicar el resultado del anlisis de
vulnerabilidades a ASFI, hasta el 15de noviembrede cada ao,oel
siguientedahbilen casode feriadoo finde semana a travs del informe
elaborado por la Unidad de auditora interna.
c)Emitiruninformesobreelresultadodelaspruebasrealizadasalosplanesde
contingencias tecnolgicas y de continuidad del negocio.
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin
13Pgina 1/1CircularASFI/193/13 (09/13) Inicial SECCIN 13:OTRAS
DISPOSICIONES Artculo 1 -(Responsabilidad) El Gerente General de la
entidad supervisada, es responsable del cumplimiento, implementacin
y difusin interna del presente Reglamento. Artculo 2
-(Normasyestndaresinternacionalesaplicables)Encasodeexistir
situaciones no previstas en el presente Reglamento, la entidad
supervisada, debe aplicar normas y/oestndaresinternacionalesde
Tecnologas de Informacin y Seguridaddela Informacin, debiendo
identificar la referencia de la(s) norma(s) y/o estndares
utilizados en sus polticas. Artculo 3
-(Herramientasinformticas)Pararealizarevaluacionesdeseguridaddela
informacin y auditora de sistemas a entidades supervisadas, ASFI
podr utilizar herramientas informticas cuando lo considere
pertinente. Asimismo, ASFI podr evaluar a la entidad supervisada de
acuerdo a su naturaleza, tamaoy complejidad de sus operaciones,
aplicando normas y/o estndares internacionales de Tecnologas de
Informacin y Seguridad de la informacin. Artculo 4
-(Sanciones)ElincumplimientooinobservanciaalpresenteReglamentodar
lugar a la aplicacin del Artculo 99 de la Ley N 1488 de Bancos y
Entidades Financieras y a lo dispuesto por elReglamentode
SancionesAdministrativas contenidoen la RNSF a travsde proceso
administrativo sancionatorio establecido en la Ley de Procedimiento
Administrativo N 2341 de 23 de abril de 2002 y en el Reglamento a
la Ley de Procedimiento Administrativo para el Sistema de Regulacin
Financiera SIREFI aprobado mediante Decreto Supremo N 27175 de 15
de septiembre de 2003. AUTORIDAD DE SUPERVISIN DEL SISTEMA
FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro
3Ttulo VIICaptulo IISeccin 14Pgina 1/1CircularASFI/193/13 (09/13)
Inicial SECCIN 14:DISPOSICIONES TRANSITORIAS
Artculonico(Adecuacinycronograma)Laentidad supervisadadebe cumplir
con las disposiciones establecidas en el presente Reglamento hasta
el 31 de diciembre de 2014.La entidad supervisada debeelaborar un
cronograma para el cumplimientoy adecuacin ala
presentenormativa,elcualdebeseraprobadoporsuDirectoriourganoequivalentey
permanecer a disposicin de ASFI. AUTORIDAD DE SUPERVISIN DEL
SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
Libro 3 Ttulo VII Captulo IIISeccin 1Pgina 1/4CircularASFI/146/12
(10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular
ASFI/251/14 (07/14) Modificacin 2 CAPTULO III:REGLAMENTO PARA LA
GESTIN DE SEGURIDAD FSICA SECCIN 1:ASPECTOS GENERALES Artculo 1
-(Objeto)ElpresenteReglamentotieneporobjetoestablecerlineamientosy
condicionesparalaGestindeSeguridadFsica,quedebenimplementarlasEntidadesde
Intermediacin Financiera (EIF) y las Empresas de Servicios
Financieros Complementarios para la prestacin de servicios a sus
clientes y usuarios. Artculo 2
-(mbitodeaplicacin)Seencuentransujetosalmbitodeaplicacindel
presenteReglamento,losBancos,MutualesdeAhorroyPrstamo,EntidadesFinancierasde
Vivienda,CooperativasdeAhorroyCrditoAbiertas,CooperativasdeAhorroyCrdito
Societarias,InstitucionesFinancierasdeDesarrollo,EmpresasdeArrendamientoFinanciero,
Empresas de Servicios de Pago Mvil, Casas de Cambio, Empresas de
Giro y Remesas de Dinero
yEmpresasdeTransportedeMaterialMonetarioyValores,quecuentenconlicenciade
funcionamientootorgadaporlaAutoridaddeSupervisindelSistemaFinanciero(ASFI),
denominadas en adelante entidades supervisadas. Artculo 3
-(Definiciones)Paraefectosdelasdisposiciones,contenidasenelpresente
Reglamento, se considerarn las siguientes definiciones:
a)readeexclusin:readeaccesorestringidoidentificadaenlasinstalacionesdela
entidad supervisada;b)Botn de pnico: Dispositivo electrnico que
genera una seal de auxilio no audible que comunica la ocurrencia de
un incidente de seguridad fsica a la central de monitoreo;
c)Bvedaprincipal:rea destinada a la custodia y atesoramiento del
material monetario y/o valores; d)Bvedaauxiliar:rea destinada a la
custodia y atesoramiento transitorio del material monetario y/o
valores, durante la atencin de las operaciones y/o al cierre del
da; e)Cajafuertebveda:Equipo fsico destinado a la custodia y
atesoramiento del material monetario y/o valores; f)Caja fuerte
auxiliar: Equipo fsico destinado a la custodia y atesoramiento
transitorio de unaparte del material monetario y/o valores; g)Caja
tipo buzn: Permite el atesoramiento transitorio de material
monetario y/o valores con ubicacin en el rea de ventanillas de
atencin al pblico; h)Camino de ronda: Recorrido que el guardia
privado o polica de seguridad, realiza a lo AUTORIDAD DE SUPERVISIN
DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS
FINANCIEROS Libro 3 Ttulo VII Captulo IIISeccin 1Pgina
2/4CircularASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13)
Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 largo de
los pasillos, salidas de emergencia, gradas, reas de carga o
descarga, garajes, reas comunes y otras reas, con el objeto de
velar por la integridad fsica de las personas y la seguridad de los
activos de la entidad; i)Circuitocerradodetelevisin:Sistema de
transmisin de imgenes compuesto por un
nmerodeterminadodecmarasquetransmitenlassealescapturadasaunooms
monitores, que forman un conjunto cerrado y limitado, en adelante
CCTV; j)Centraldemonitoreo:rea de exclusin donde estn instaladas
las centrales para la recepcin de seales provenientes de los
sistemasde alarma y almacenamiento de las grabaciones de las cmaras
de Circuito Cerrado de TV (CCTV);
k)Corresponsalfinanciero:Puedesercorresponsalfinanciero,laEntidadde
IntermediacinFinancieraconLicenciaFuncionamiento,laCooperativadeAhorroy
Crdito Societario, previa autorizacin de ASFI, la Institucin
Financiera de Desarrollo
conCertificadodeAdecuacin,laEmpresadeTransportedeMaterialMonetarioy
Valores y la Casa de Cambio con Personalidad J urdica, que cuenten
con Licencia de Funcionamiento; l)Corresponsal no financiero: Es la
persona natural o jurdica legalmente constituida que
norealizaactividadesdeintermediacinfinancieraodeserviciosfinancieros
complementarios;
m)Contactomagntico:Dispositivoelectrnicoqueseactivaalsepararuncontacto
elctrico de un imn, rompiendo el campo magntico y activando el
sistema de alarma, utilizado para el control de apertura de puertas
y ventanas;
n)Detectorinercial:Dispositivoelectrnicoqueactivaelsistemadealarmaantela
deteccin de vibraciones en el suelo o paredes;
o)Diagnsticodeseguridadfsica:Resultadodelanlisisqueserealizaala
infraestructura, entorno y medidas de seguridad fsica de una
entidad supervisada, que tiene como fin conocer las caractersticas
especficas, vulnerabilidades y amenazas a las que estn expuestas
las instalaciones, operaciones y/o servicios de la entidad
supervisada; p)Empresa privada de vigilancia: Empresa privada
autorizada por la instancia competente para prestar servicios
remunerados de seguridad fsica a entidades financieras y empresas
de servicios financieros complementarios, que incluyen la provisin
de guardias, sistemas de alarma, monitoreo y/o vigilancia
motorizada entre otros; q)Equipoanti-skimming:Equipo instalado en
el cajero automtico que previene el robo de identidad y reduce el
fraude; AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN
DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo
IIISeccin 1Pgina 3/4CircularASFI/146/12 (10/12) Inicial Circular
ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14)
Modificacin 2 r)Gestindeseguridadfsica:Conjunto de objetivos,
polticas, procedimientos, planes y acciones que implementa la
entidad supervisada con el objeto de proteger la integridad
fsicadelaspersonas,ascomolosactivosqueseencuentrenbajosucustodia,enel
interior o fuera de sus instalaciones, asimismo, la seguridad de su
personal cuando estos realicen operaciones y servicios fuera de las
dependencias de la entidad;
s)Guardiaprivado:Personaldependientedeunaempresaprivadadevigilancia,
autorizada por la instancia competente, que vigila, protege y
custodia la integridad fsica de las personas y/o activos asignados;
t)Grupoelectrgeno:Equipogeneradordeelectricidadpormediodeunmotorde
combustininterna,quegarantizaelsuministroininterrumpidodeenergaparalos
sistemas elctricos de seguridad fsica;
u)Incidentedeseguridadfsica:Cualquier evento o acontecimiento que
causa daos o prdidas de vidas humanas, activos e imagen
institucional de la entidad supervisada;
v)Medidasdeseguridadfsica:Sonlosprocesosfsicos,humanosytecnolgicos
adoptadosporlaentidadsupervisadaqueenformaaisladaocombinada,minimizan,
retardan,impideny/oneutralizanriesgosdeincidentesdeseguridadfsicaysus
consecuencias; w)Nivel de riesgo ante incidentes de seguridad
fsica: Es el grado de exposicin a daos o prdidas ocasionadas por
incidentes de seguridad fsica; x)Particionado:Es el procedimiento
por el cual se divide un sistema de alarma en dos o ms reas de
forma que puedan activarse o desactivarse en forma independiente;
y)PersonaldeVigilancia:PersonalpertenecientealaPolicaBolivianaoEmpresas
PrivadasdeVigilanciaquebrindaseguridadalaspersonasenlasinstalacionesylos
activos de la entidad;
z)Plandeseguridadfsica:Documentoaprobadoporlainstanciacompetente,que
estableceloscursosdeaccin,mediosyrecursosquesernimplementadospara
proporcionar seguridad fsica en las instalaciones de la entidad
supervisada, as como a las operaciones y servicios que realice; aa)
Policadeseguridad:Personal de la Polica Boliviana provisto de armas
de fuego, que
prestaserviciosdeprotecciny/ocustodiadelaintegridadfsicadelaspersonasy/o
activos asignados; bb)
PuntodeAtencinFinanciero(PAF):Instalacinoestablecimientoequipadopara
realizaroperacionesdeintermediacinfinancieraoserviciosfinancieros
AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE
NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo
IIISeccin 1Pgina 4/4CircularASFI/146/12 (10/12) Inicial Circular
ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14)
Modificacin 2
complementarios,segncorresponda,enelmarcodelaLeyN393deServicios
Financieros(LSF)enelterritorionacionalydeacuerdoaloestablecidoenla
Recopilacin de Normas para Servicios Financieros (RNSF);
cc)Sensorinfrarrojo:Dispositivo electrnico que emite un rayo
infrarrojo continuo, cuya interferencia por elementos extraos,
activa el sistema de alarma; dd)
Sensorderupturadecristal:Dispositivoelectrnicoquedetectalasfrecuenciasdel
sonido que producen los vidrios al astillarse, a travs de un
micrfono instalado en su interior; ee)Sensorssmico:Dispositivo
electrnico que detecta golpes o vibraciones, instalados en el suelo
o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda;
ff)Sirenas de Alarma: Dispositivo que emite sonidos y luces de
alarma u otros elementos
disuasivosquealertenalostransentesopersonaldevigilanciadeunincidentede
seguridad fsica; gg) Skimming: Robo de informacin de tarjetas de
dbito o crdito al momento de efectuar una transaccin, con la
finalidad de reproducir o clonar la tarjeta de crdito o dbito para
su posterior uso fraudulento; hh)
Vigilanciamotorizada:Patrullajedisuasivorealizadoporunidadesmotorizadasalas
instalaciones de la entidad supervisada;
ii)Transportedematerialmonetarioy/ottulosvalores:Trasladofsicodematerial
monetario y/o valores, de un PAF a otro;
jj)UnidaddeSeguridadFsica:Unidadorganizacionaldependientedelainstancia
ejecutivaquecorresponda,responsabledeoperativizareinformarsobrelagestinde
seguridad fsica en la entidad supervisada. Su tamao y estructura
interna debe estar en relacin con el nivel de riesgo,incidentes de
seguridad fsica y volumen de operaciones de los PAF. AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IIISeccin 2Pgina
1/5CircularASFI/146/12 (10/12)Inicial Circular ASFI/178/13 (05/13)
Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 SECCIN
2:GESTIN DE SEGURIDAD FSICA Artculo 1
-(GestindeSeguridadFsica)Laentidadsupervisada,debeconstituirun
sistemaparalaGestindeSeguridadFsica,quepermitaidentificar,monitorear,controlary
mitigar en forma preventiva o correctiva, impidiendo y/o
neutralizando los riesgos a incidentes de seguridad fsica y sus
consecuencias.Artculo 2
-(Nivelderiesgo)Laentidadsupervisada,deberealizarundiagnsticode
seguridad fsica que identifique el nivel de riesgo ante incidentes
de seguridad fsica al que se
encuentranexpuestassusinstalaciones,considerandomnimamentelaszonasgeogrficasde
riesgoidentificadasporlaautoridadcompetenteentemasdeseguridadciudadanayelvalor
monetario de los activos que se encuentran bajo su resguardo. Para
la aplicacin de las medidas especficas de seguridad fsica
establecidas en la Seccin 4 del presente Reglamento, la entidad
supervisada, debe clasificar el nivel de riesgo de sus PAF en las
categoras de riesgo alto, medio o bajo, considerando mnimamente los
aspectos mencionados en el prrafo anterior. ASFI podr instruir, a
la entidad supervisada, modificar el nivel de riesgo determinado
para sus PAF en funcin a la ocurrencia de incidentes de seguridad
fsica reportados en cumplimiento al
Artculo490delaLeyN393deServiciosFinancierosocomoproductodelasupervisin
realizada por las Direcciones correspondientes. Artculo 3
-(Polticas) La entidad supervisada debe contar con polticas de
seguridad fsica aprobadas por el Directorio u rgano equivalente,
orientadas a priorizar el fortalecimiento de la
seguridadfsicaensusinstalaciones,operacionesy/oservicios,lasmismasquedebenincluir
referenciasdela(s)Norma(s)Internacional(es)deseguridadfsicaadoptada(s)porlaentidad.
Dichaspolticasdebenconsiderarlossiguientesprincipios,segnseenuncianenordende
prioridad: a)Proteccin a la vida de las personas que se encuentren
dentro de las instalaciones de lasEntidades Supervisadas y de su
personal cuando estos realicen operaciones y/o servicios fuera de
las mismas; b)Proteccin de los activos propios y en custodia,
incluida la documentacine informacin en mediosimpresos o
electrnicos; c)Proteccin de la imagen institucional. La entidad
supervisada debe implementar polticas de capacitacin en seguridad
fsica para todo su personal, sin exclusiones. AUTORIDAD DE
SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA
SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IIISeccin 2Pgina
2/5CircularASFI/146/12 (10/12)Inicial Circular ASFI/178/13 (05/13)
Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 Artculo 4
-(Manuales de funciones y procedimientos) La entidad supervisada
debe contar
conmanualesdefuncionesydeprocedimientosdeseguridadfsica,queestablezcan
mnimamente el personal responsable y la periodicidad para
surealizacin. Los manuales de funciones y procedimientos mnimos que
debe considerar la entidad supervisada son: a)Manuales de funciones
para: 1)Personal de vigilancia y vigilancia motorizada, que incluya
la prohibicin de que el mencionado personal realice actividades no
relativas a la seguridad fsica;2)Miembros del Comit de Seguridad
Fsica y Personal de la Unidad de Seguridad Fsica, que establezca la
interaccin con reas relacionadas; 3)Personal de la entidad
supervisada y personal de vigilancia, que interacta en la recepcin,
envo y transporte delmaterial monetario y/o valores. b)Manuales de
procedimientos para:
1)Asistenciaapersonasafectadasporincidentesdeseguridadfsicaocurridosen
instalaciones de la entidad supervisada que debe ser inmediata,
adecuada y en base a capacitacin previa; 2)Resguardo de la
privacidad en las transacciones financieras realizadas por clientes
y usuarios en ventanillas de atencin al pblico; 3)Administracin de
llaves de ingreso a las instalaciones de la entidad
supervisada,accesoalasreasdeexclusin,clavesdesistemasdealarmayclavesdeequiposdeatesoramientosegncorresponda.Lasclavessealadasdebensermodificadasal
menos cada seis (6) meses o cuando se realice el cambio del
personalencargado;Pruebas de funcionamiento de los sistemas de
seguridad, que incluya el inventario de equipos e instalaciones
sujetos a revisin;
4)Mantenimientopreventivoycorrectivodelossistemasdeatesoramiento,
dispositivos de proteccin, sistemas de monitoreo y alarmas, al
menos una vez al ao; 5)Transporte de material monetario y/o valores
por parte del personal de la entidad supervisada y personal de
vigilancia, cuando corresponda; 6)Abastecimiento de material
monetario en los cajeros automticos u otros Puntos de Atencin
Financiero, cuando corresponda; AUTORIDAD DE SUPERVISIN DEL SISTEMA
FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro
3Ttulo VIICaptulo IIISeccin 2Pgina 3/5CircularASFI/146/12
(10/12)Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular
ASFI/251/14 (07/14) Modificacin 2
7)Ubicacin,construccin,instalacinymanejodebveda(s)ycaja(s)fuerte(s)
bveda; 8)Instalacin de medidas de seguridad fsica en los ambientes
destinados a cajeros automticos; 9)Funcionamiento de centrales de
monitoreo que incluya tiempo de almacenamiento,
modalidadyresguardodelasgrabacionesdemonitoreo,paraatencinde
denuncias y reclamos de los usuarios o clientes; 10)Activacin y
atencin de sistemas de alarma. Artculo 5
-(Estructuraorganizacional)Laentidadsupervisada,debeestableceruna
estructura organizacional adecuada al nivel de riesgo y nmero de
PAF en funcionamiento, que delimite las funciones y
responsabilidades relativas a la gestin de seguridad fsica. Artculo
6 -(UnidaddeSeguridadFsica)Laentidadsupervisadaquecuenteconun
patrimoniocontableigualomayoraUFV30.000.000,00(TreintaMillonesdeUnidadesde
Fomento a la Vivienda)o su equivalente, debe contar con una Unidad
de Seguridad Fsica, que
serresponsabledeoperativizarymonitorearlagestindeseguridadfsica,emitirreportese
informesparalasinstanciasdedecisin,prop