CARTA CIRCULAR 237 DE 2000 

(Mayo 8)

Ref.: Formato de verificación, control y certificación de avance de cumplimiento de las instrucciones contenidas en las Circulares Externas 02 y 97 de 1998.

De conformidad con lo estipulado por el numeral 1º, literal i) del artículo 325 del estatuto orgánico del sistema financiero, le corresponde a la Superintendencia Bancaria adoptar políticas de inspección y vigilancia, dirigidas a permitir que las instituciones vigiladas puedan adaptar su actividad a la evolución de sanas prácticas y desarrollos tecnológicos que aseguren un desarrollo eficiente de las mismas, y con el propósito de contribuir a que las instituciones vigiladas implementen los mecanismos prudenciales necesarios para administrar los riesgos derivados de la ejecución de transacciones por medio electrónico, esta superintendencia ha considerado conveniente efectuar una encuesta a sus vigilados sobre los aspectos relevantes a considerar en la ejecución del proyecto de seguridad en transacciones electrónicas.

Para tal efecto, se anexa a la presente circular el formato estándar “encuesta estado de avance de las instrucciones contenidas en las circulares externas 02 de 1998 y 97 de 1998 y otros temas de productos de banca electrónica”, con el fin de que los representantes legales y los revisores fiscales lo diligencien y lo remitan, debidamente firmado, a la Superintendencia Bancaria, a más tardar, el día 15 de junio de 2000.

N. del D.: Representantes legales y revisores fiscales de las instituciones financieras.

Encuesta estado de avance de las instrucciones contenidas en las Circulares Externas 002 de 1998 y 097 de 1998 y otros temas de productos de banca electrónica

Sus respuestas son muy importantes para verificar y controlar el cumplimiento de las instrucciones contenidas en las Circulares Externas 002 de 1998 y 097 de 1998

Para contestar el cuestionario deberá proceder de la siguiente forma:

1. Utilice únicamente el formato anexo, no adicione ni elimine filas del mismo.

2. Marque con una X la opción que corresponde.

3. Si su respuesta es no, indique el porqué de su respuesta.

4. en los campos de fecha utilice el formato DD/MM/AAAA (año a 4 dígitos).

5. Responda preguntas según el estado de avance del proyecto a la fecha de respuesta del cuestionario.

6. En caso de que solicite una descripción, la entidad que lo desee puede enviar el procedimiento adoptado, haciendo referencia al respectivo numeral.

7. Para las preguntas en que la respuesta solicita la identificación de un cargo o área responsable de determinada actividad, no coloque nombres de personas, señale el nombre del cargo o del área organizacional.

NOTA: La información suministrada por la entidad posee un carácter confidencial.

Envíe adicionalmente sus respuestas en archivo electrónico en formato Excel y el cronograma detallado de trabajo del proyecto xe n el que se muestren todas sus fases y el nivel de avance del mismo. El formato lo podrá encontrar en la siguiente direccón electrónica www.superbancaria.gov.co, opción “documentos de consulta” y/o boletín No

Gracias por su colaboración.

1. Identificación de la entidad

TipoCódigoNombre
   

2. Seguridad en transacciones financieras realizadas mediante la utilización de tarjetas crédito y

débito a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras

2.1 Tienen aplicabilidad en su entidad las disposiciones contenidas en las circulares externas 02 y 97 de 1998 de la Superintendencia Bancaria?

SI 
NO 

En caso de que su respuesta sea negativa, por favor pasar al numeral 3 de la presente encuesta

2.2 De la tarjeta débito y crédito.

2.2.1 Según el numeral 8.1, inciso a), las entidades vigiladas que ofrezcan servicios a través de tarjetas débito y crédito, deberán iniciar el proceso de cambio de éstas, implementando el mecanismo de seguridad conocido como código de verificación de tarjeta (CVC, CVV ó CVT).

2.2.1.1 Tarjetas débito

Fecha de Inicio 
Fecha Finalización 
Número de Tarjetas Débito Cambiadas 
% de Tarjetas (vigentes) cambiadas 
Número total de tarjetas vigentes sin código de verificación 
2.2.1.2 Tarjetas crédito

SI Fecha de Inicio 
 Fecha Finalización 
Número de Tarjetas Crédito Cambiadas 
% de Tarjetas (vigentes) cambiadas 
NO Número total de tarjetas vigentes sin código de verificación 

2.2.2. Según el numeral 8.1 inciso b) las entidades vigiladas deberán establecer los procedimientos, controles y seguridades para las solicitudes de generación y recepción de tarjetas débitos y crédito, generación, asignación y entrega de claves.

2.2.2.1 ¿Se establecieron en la oficina y entidad los procedimientos, controles y seguridades para las solicitudes de generación de tarjetas débito y crédito?

SIi Fecha establecimiento (producción)    
 ¿Quién aprobó los procedimientos,
controles y seguridades?
    
¿Quién audita los procedimientos,
controles y seguridades?
    
¿Con qué frecuencia se realiza la labor de auditoría?    
 ¿Existen soportes de las auditorías efectuadas?    
NO ¿Por qué?    

2.2.2.2. ¿Se establecieron los procedimientos, controles y seguridades para la recepción en la oficina y entidad de tarjetas débito?

   Modalidades de recepción que se dan en la entidad
   Del Proveedor
a la entidad
De la entidad a
sus oficinas
Del jefe de oficina
a los empleadosOtros
SI     
  Fecha de Establecimiento (producción   
  ¿Quién aprobó los procedimientos, controles y seguridades?   
  ¿Quién audita los procedimientos, controles y seguridades?   
  ¿Con qué frecuencia se realiza la labor de auditoría?   
  ¿Existen soportes de las auditorías efectuadas?   
NO ¿Por qué?   
2.2.2.3.¿Se establecieron en la oficina / entidad los procedimientos, controles y seguridades para la generación, asignación y entrega de tarjetas débito y sus claves asociadas?
2.2.2.4.¿Se establecieron los procedimientos, controles y seguridades para la recepción en la oficina / entidad de tarjetas crédito?
 Modalidades de recepción que se dan en la entidad
Del proveedor a la entidadDe la entidad a sus oficinasDel jefe de oficina a sus empleadosOtros
SI      
  Fecha de Establecimiento (producción)    
  ¿Quién Aprobó los procedimientos, controles y seguridades?    
  ¿Quién audita los procedimientos, controles y seguridades?    
  ¿Con qué frecuencia se realiza la labor de auditoría?    
  ¿Existen soportes de las auditorías efectuadas?    
NO ¿Porqué?    
2.2.2.5¿Se establecieron en la oficina / entidad los procedimientos, controles y seguridades para la generación, asignación y crédito y sus claves asociadas?
SI Fecha de Establecimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Porqué? 
2.2.2.6¿ Se establecieron en la oficina / entidad los procedimientos, controles y seguridades para el bloqueo y rehabilitación de las tarjetas débito y crédito?
SI Fecha de Establecimiento  
  (producción) 
  ¿Se dan a conocer a los clientes? 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.2.2.7¿ Se establecieron en la oficina / entidad los procedimientos, controles y seguridades para la emisión y producción de tarjetas débito?
SI Fecha de Establecimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.2.2.8¿ Se establecieron en la oficina / entidad los procedimientos, controles y seguridades para la emisión y producción de tarjetas crédito?
SI Fecha de Establecimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.3.De los procedimientos de transporte, custodia y entrega de las tarjetas débito y crédito.
            
            
2.3.1Según el numeral 8.2, inciso a), Las entidades vigiladas deberán incorporar en sus manuales internos los procedimientos, controles y seguridades utilizados en el transporte, entrega y custodia de las tarjetas débito y crédito ya sea que lo realicen por intermedio de empresas contratadas o lo hagan con recursos propios.
2.3.1.1¿Fueron incorporados en los manuales internos los procedimientos, controles y seguridades para la custodia de las tarjetas débito y crédito?
SI Fecha de Incorporación y cumplimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.3.1.2¿Fueron incorporados en los manuales internos los procedimientos, controles y seguridades para la Distribución y entrega de Tarjetas débito y crédito y de los sobreflex (si aplican) asociados a sus tarjetahabientes?
SI Fecha de Incorporación y cumplimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.3.1.3¿Fueron incorporados en los manuales internos los procedimientos, controles y seguridades para la reposición de tarjetas débito y crédito?
SI Fecha de Incorporación y cumplimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
            
            
2.3.1.4¿Fueron incorporados en los manuales internos los procedimientos, controles y seguridades para la retención de tarjetas débito y crédito?
SI Fecha de Incorporación y cumplimiento (producción) 
  ¿Quién Aprobó los procedimientos, controles y seguridades? 
  ¿Quién audita los procedimientos, controles y seguridades? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de las auditorías efectuadas? 
NO ¿Por qué? 
2.3.2¿Entrega su entidad las tarjetas crédito y/o débito de forma personalizada al beneficiario de la misma?
SI ¿Qué procedimiento se sigue? Describa 
NO ¿Por qué? 
2.3.3.¿ Efectúa su entidad capacitación o informa al usuario sobre el uso, cuidados y procedimientos a seguir con las tarjetas crédito y débito?
SI Desde cuándo (fecha) 
NO ¿Por qué? 
2.3.4.¿Tiene su entidad políticas de capacitación a funcionarios que manipulan tarjetas crédito y débito y a los establecimientos comerciales que las reciben?
SI  EntidadEstablecimientos Comerciales
  Cargos de las personas capacitadas  
  Desde cuándo (fecha)  
  ¿Con qué periodicidad se realiza las capacitaciones? Describa:  
  Describa brevemente los tópicos tratados:  
  ¿Con qué personal se realiza esta capacitación? Describa:  
NO ¿Por qué?  
2.4De las operaciones.
2.4.1¿Tiene creado un procedimiento para la revisión periódica de las seguridades físicas de los cajeros automáticos propios?
SI Fecha de Creación  
  ¿Quién Aprobó los procedimientos? 
  ¿Quién audita los procedimientos? 
  ¿Con qué frecuencia se realiza la labor de revisión? 
  ¿Qué tiempo se requiere para lograr cobertura del 100% en la revisión de los cajeros? 
  ¿Existen soportes de las revisiones efectuadas? 
NO ¿Por qué? 
2.4.2¿En los recibos que entregan los cajeros automáticos y los puntos de servicio, aparecen impresos únicamente los últimos cuatrodígitos del número de la tarjeta y/o del número de la cuenta?
SI Fecha de Implantación en su totalidad de este mecanismo de seguridad 
NO ¿Por qué? 
2.4.2.1¿Es indispensable para la ejecución completa de las transacciones que el cajero automático expida un recibo o comprobante?
SI ¿Por qué? 
NO ¿Por qué? 
2.4.3¿Se tienen definidos e implantados los procedimientos para manejar problemas cuando las transacciones no terminan de manera exitosa?
SI Fecha de Incorporación y cumplimiento (producción) 
  ¿Quién Aprobó los procedimientos? 
  ¿Quién audita los procedimientos? 
  ¿Con qué frecuencia se realiza la labor de auditoría? 
  ¿Existen soportes de los problemas presentados? 
NO ¿Por qué? 
2.4.4.¿Se permite el cambio de clave de la tarjeta débito?
SI Describa el procedimiento brevemente: ( a través de cajeros, cambio de plástico, pin pad, oficinas, otros) 
  Fecha de Incorporación y cumplimiento (producción) 
NO ¿Por qué? 
2.4.5¿Se permite el cambio de clave de la tarjeta crédito?
SI Describa el procedimiento brevemente: ( a través de cajeros, cambio de plástico, pin pad, oficinas, otros) 
  Fecha de Incorporación y cumplimiento (producción) 
NO ¿Por qué? 
2.5De la atención de reclamos.
2.5.1¿Se tiene una oficina de atención a los usuarios con problemas en sus transacciones financieras realizadas electrónicamente, ya sea mediante sus propias redes o por redes de terceros?
SI Describa brevemente 
  Fecha de Creación  
NO ¿Por qué? 
2.5.2.¿Se llevan estadísticas acerca de los problemas (quejas y fraudes) presentados así como de las soluciones dadas?
   Tarjeta DébitoTarjeta de Crédito
SI Describa brevemente  
  Cantidad de quejas presentadas por los clientes durante 1999.  
  De las quejas presentadas durante 1999 cuantas se resolvieron a favor del cliente  
  Tiempo promedio en que se entrega respuesta al cliente de la solución de una solicitud.  
  ¿Se posee una clasificación de los conceptos por los cuales se formulan las quejas?  
  ¿Se han tomado medidas correctivas para combatir las fuentes con mayor generación de quejas?   
  Cantidad de fraudes presentados durante 1999.  
  ¿Se posee una clasificación de los conceptos por los cuales se presentan los fraudes?  
  ¿Se han tomado medidas correctivas para combatir las fuentes con mayor generación de fraudes?   
NO ¿Por qué?  
* Queja: Interpuesta por el cliente
* Fraude: Conocimiento de la existencia de un delito
2.6Seguridad en las comunicaciones entre oficinas, cajeros, puntos de servicio en establecimientos comerciales y switches.
2.6.1.¿Utiliza la entidad estándares internacionales para los siguientes niveles de seguridad?, Enúncielos:
SINO  
  Certificación 
  Autenticación 
  Validación 
  Encripción 
  Non Repudiation 
  Otros (Explique) 
NO¿Por qué? 
2.6.2.Acerca de las redes (privadas y publicas) con que se conecta su entidad así como de ATMs y POSs:
     
 SI Número de redes con la que se conecta su entidad   
   Número de ATMs propios con que cuenta la entidad   
   Número de cámaras con que cuenta la entidad para monitorear los ATMs   
   Número de ATMs administrados directamente por la entidad   
   ¿Cuántos ATMs administrados directamente por la entidad cuentan con cámaras de video?   
   ¿Cuántos de los cajeros directamente administrados retienen la tarjeta mientras se realiza la transacción?       
      Riesgo altoRiesgo medioRiesgo bajoNo clasificados  
   Teniendo en cuenta el acuerdo interbancario, clasifique por nivel de riesgo los cajeros directamente administrados por la entidad (Señale el número de cajeros)      
   ¿Cuántos de los cajeros directamente administrados utilizan esquema DIP, SWAP?   
   Número de POSs administrados directamente por la entidad   
            
            
            
2.6.3.¿Ha realizado la encripción por hardware desde los equipos de comunicación?   
            
 SI Fecha de inicio del proyecto   
   Fecha de terminación del proyecto   
   Enuncie (Algoritmos utilizados, equipos, etc.)      
   ¿Se utiliza entre oficinas?   
   ¿Cuántas oficinas tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación entre oficinas?   
   ¿Cuántas oficinas no tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación entre oficinas?   
   ¿Se utiliza para las comunicaciones entre los ATMs y el host autorizador?   
   ¿Cuántos ATMs propios o administrados por la entidad tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación con el host autorizador? (Responda únicamente para aquellos que la entidad administra directamente)   
   ¿Cuántos ATMs propios o administrados por la entidad no tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación con el host autorizador? (Responda únicamente para aquellos que la entidad administra directamente)   
   ¿Se utiliza para las comunicaciones entre los POSs y el host autorizador?   
   ¿Cuántos POSs propios o administrados por la entidad tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación con el host autorizador? (Responda únicamente para aquellos que la entidad administra directamente)   
   ¿Cuántos POSs propios o administrados por la entidad no tienen implantado el proceso de encripción por hardware (al menos el PIN) para la comunicación con el host autorizador? (Responda únicamente para aquellos que la entidad administra directamente)   
   ¿Cuáles y cuántos enlaces de comunicación con otras entidades del sector financiero tienen implantado el proceso de encripción por hardware?   
   Número total de enlaces de conexión con otras entidades del sector financiero con que cuenta la entidad   
 NO ¿Por qué?   
            
2.6.4.¿En las oficinas se ha realizado la encripción, al menos, por software desde los Pin-Pad hasta el equipo de comunicaciones ? 
            
 SI Fecha de inicio del proyecto   
   Fecha de terminación del proyecto   
   Describa brevemente   
   ¿Se utiliza para las comunicaciones entre la estación de trabajo del cajero y el equipo de comunicaciones en la misma oficina?   
   ¿Cuántas estaciones corporativas de trabajo de los cajeros tienen implantado el proceso de encripción por software (al menos el PIN) para la comunicación entre la misma y el equipo de comunicaciones?   
   ¿Cuántas estaciones de trabajo de los cajeros no tienen implantado el proceso de encripción por software (al menos el PIN) para la comunicación entre la misma y el equipo de comunicaciones?   
   Número total de estaciones de trabajo de los cajeros (Pin Pad) con que cuenta la entidad   
   ¿Se utiliza para las comunicaciones entre el PIN PAD y el equipo de comunicaciones en la misma oficina?   
   ¿Cuántos PIN PAD tienen implantado el proceso de encripción por software (al menos el PIN) para la comunicación entre el mismo y el equipo de comunicaciones?   
   ¿Cuántos PIN PAD no tienen implantado el proceso de encripción por software (al menos el PIN) para la comunicación entre el mismo y el equipo de comunicaciones?   
   ¿Número total de PIN PAD con que cuenta la entidad?   
   ¿Qué otra información es encriptada por software? (Indique cual, número de puntos que se deben conectar, número de puntos conectados y número de puntos pendientes por conectar)   
 NO ¿Por qué?   
            
2.6.5.¿Ha implementado autenticidad de origen?      
            
 SI ¿Qué tipo de autenticación efectúa?   
   Describa brevemente el procedimiento utilizado   
   Fecha de inicio del proyecto   
   Fecha de finalización del proyecto   
   ¿Ha sido implementada la misma entre ATMs y oficinas?   
   ¿Cuántos puntos ATMs oficinas tienen implementada la misma?   
   ¿Cuántos puntos ATMs oficinas no tienen implementada la misma?   
   ¿Ha sido implementada entre ATMs y redes?   
   ¿Cuántos puntos ATMs – redes tienen implementada la misma?   
   ¿Cuántos puntos ATMs – redes no tienen implementada la misma?   
   ¿Ha sido implementada la misma entre oficinas y oficinas?   
   ¿Cuántos puntos oficina – oficina tienen implementada la misma?   
   ¿Cuántos puntos oficina – oficina no tienen implementada la misma?    
   ¿Ha sido implementada la misma entre redes y oficinas?   
   ¿Cuántos puntos redes – oficinas tienen implementada la misma?   
   ¿Cuántos puntos redes – oficinas no tienen implementada la misma?   
   Número total de puntos entre los que se tiene que implementar autenticidad de origen   
 NO ¿Por qué?   
            
            
2.6.6.¿Ha implementado el intercambio dinámico de llaves?     
            
 SI Fecha de inicio del proyecto   
   Fecha de finalización del proyecto   
   ¿Qué procedimiento utiliza para el intercambio dinámico de llaves?   
   Describa brevemente el procedimiento utilizado   
   ¿Ha sido implementado el mismo entre oficina (entidad) y oficina (entidad)?   
   ¿Cuántos puntos oficina (entidad) y oficina (entidad) tienen implementado el mismo?   
   ¿Cuántos puntos oficina (entidad) y oficina (entidad) no tienen implementado el mismo?   
   ¿Ha sido implementado el mismo entre oficina (entidad) y redes?   
   ¿Cuántos puntos oficina (entidad) y redes tienen implementado el mismo?   
   ¿Cuántos puntos oficina (entidad) y redes no tienen implementado el mismo?   
   ¿Ha sido implementado el mismo entre red y red?   
   ¿Cuántos puntos red y red tienen implementado el mismo?   
   ¿Cuántos puntos red y red no tienen implementado el mismo?   
   ¿Ha sido implementado el mismo entre oficina (entidad) y ATMs?   
   ¿Cuántos puntos oficina (entidad) y ATMs tienen implementado el mismo?   
   ¿Cuántos puntos oficina (entidad) y ATMs no tienen implementado el mismo?   
   ¿En cuántos puntos no se ha implementado el intercambio dinámico de llaves?   
   ¿Con qué periodicidad se efectúa el intercambio dinámico de llaves?   
 NO ¿Por qué?   
            
            
2.7.Ambientes en el sistema      
            
 El numeral 8.6.2 define los ambientes del sistema “La realización de cambios o modificaciones al software (programas,  
 archivos, bases de datos, etc.), requiere como mínimo la existencia de tres ambientes, los cuales garantizan el normal  
 desarrollo de actividades en el área de sistemas, auditoría o pruebas y producción. Dichos ambientes son: Ambiente de  
 desarrollo, ambiente de pruebas o auditoría y ambiente de producción”    
            
            
2.7.1.¿Tiene la entidad definidos los tres ambientes estipulados por la Circular Externa 002 de 1998?   
            
            
 SI    DesarrolloPruebasProducción   
   Fecha de creación       
   ¿Comparten mismo equipo?      
   ¿Son independientes los ambientes?      
   Área encargada de la catalogación      
   Área encargada de la operación      
   ¿Son independientes los programas fuentes, objeto y los datos?      
   ¿Es independiente la ejecución de procesos o procedimientos de cada ambiente entre sí?      
   ¿Se tiene un procedimiento definido para realizar las catalogaciones?      
 NO¿Por qué?       
            
            
2.7.2.En el ambiente de desarrollo:      
            
 SI ¿Existe un procedimiento para la solicitud de nuevos desarrollos o cambios al software?   
   ¿Las solicitudes se encuentran debidamente documentadas y sustentadas?   
   ¿Existe un formato estándar (impreso o electrónico) de autorización para pasar software de un ambiente a otro?   
   ¿Se tienen definidos y documentados los estándares de desarrollo?   
   Una vez realizada labor de desarrollo ¿Quién aprueba el paso a pruebas?   
 NO ¿Por qué?   
            
            
2.7.3.En el ambiente de pruebas:       
            
 SI Cuando se pasa un módulo, aplicación o sistema al ambiente de pruebas, ¿se pasan tanto los programas objeto como los fuentes?   
   ¿Existe una planeación previa de las pruebas a desarrollar en al ambiente de auditoría?   
   ¿Quiénes participan en la definición de las pruebas y determinación de los datos sensitivos y procesos críticos a probar?   
   ¿Se mantienen los soportes tales como datos fuente, resultados esperados y resultados obtenidos en las pruebas?   
   Una vez realizada la labor de auditoría ¿quién aprueba los pasos a producción?   
 NO ¿Por qué?   
            
            
2.7.4.En el ambiente de Producción:      
            
 SI ¿Existe un procedimiento para el paso de aplicaciones a producción?   
   ¿Se guarda copia de seguridad de las versiones anteriores del software modificado?   
   ¿Se tienen herramientas sistematizadas para la administración de versiones?   
   ¿Anexo a los programas fuentes, se entregan los manuales técnicos como de usuario?   
   ¿Se tiene un procedimiento para documentar la solicitud de catalogación?      
   ¿Se comparan las versiones de los archivos fuentes anterior y modificado?      
   ¿Se archiva la documentación y/o soportes?      
   ¿Cada cuánto se obliga el cambio de claves de acceso a los usuarios de los sistemas?   
 NO ¿Por qué?   
            
            
3.Transacciones financieras realizadas mediante la utilización de sistemas alternos  
 No cubiertos en la circular 002      
            
3.1.¿Presta la entidad servicios transaccionales a través de Internet?    
            
 SI ¿Qué servicios se prestan a través de la misma? Descríbalos brevemente.   
   Fecha de lanzamiento del primer servicio   
   ¿Qué estándares internacionales de seguridad en transacciones cumple para asegurar la integridad, confidencialidad y autenticidad?   
   Número de transacciones por cada tipo de servicio durante 1999   
   ¿Qué condiciones de seguridad se manejan del lado del cliente? Descríbalas   
   ¿Qué condiciones de seguridad se manejan del lado de la entidad? Descríbalas.   
   ¿Qué tipo de pruebas certificadas se han efectuado en el sistema?   
   ¿Quién certificó estas pruebas?   
   ¿Cuántas quejas ha recibido por este servicio, durante 1999?   
 NO     
            
3.2.¿Presta la entidad servicios de audiorrespuesta?     
            
            
 SI ¿Qué estándares internacionales de seguridad en transacciones cumple para asegurar la integridad, confidencialidad y autenticidad?   
   ¿Qué servicios se prestan a través de la misma? Descríbalos brevemente.   
   Número de transacciones por cada tipo de servicio durante 1999   
   ¿Qué condiciones de seguridad se manejan del lado del cliente?   
   ¿Qué condiciones de seguridad se manejan del lado de la entidad? Descríbalas   
   ¿Qué tipo de pruebas certificadas se han efectuado en el sistema?   
   ¿Quién certificó estas pruebas?   
   Cuántas quejas ha recibido por este servicio, durante 1999?   
 NO     
            
            
3.3.¿Trabaja con ACHs?       
            
 SI ¿A cuál(es) ACH(´s) se encuentra afiliado y desde cuándo?   
   ¿Número de transacciones por cada tipo de servicio durante 1999, efectuadas a través de cada ACH?   
   ¿Qué servicios se prestan a través de la misma? Descríbalos brevemente.   
   ¿Qué condiciones de seguridad se manejan del lado del cliente? Descríbalas   
   ¿Qué condiciones de seguridad se manejan del lado de la entidad? Descríbalas.   
   ¿Cuántas quejas ha recibido por este servicio, durante 1999?   
 NO ¿Por qué?   
            
            
3.4.Dentro del contexto general de banca electrónica ¿qué otro tipo de servicios o productos posee la entidad y que efectivamente  
 clasifican dentro de banca electrónica? (por ejemplo recaudos y transferencias especiales de fondos, etc.)  
            
 SI Enúncielos y descríbalos brevemente   
 NO     
            
            
            
            
            
            
3.5.¿Tiene implantado un plan de contingencia para el sistema de seguridad?    
            
 SINO    
   ¿El plan de contingencia es corporativo?   
   ¿Está actualizado?   
   ¿Cuándo fue la última vez que lo probó?    
   ¿Está documentado?   
 NO¿Por qué?   
            
            
3.6.El plan estratégico trazado por la entidad para el corto y mediano plazo (para los próximos 3 años), incorpora el diseño, 
 desarrollo e implementación de productos y servicios de banca electrónica?    
            
 SI Enuncie y describa brevemente los los productos y servicios planificados para incorporación   
   ¿A qué plazo está proyectada la implementación de los mismos?   
   ¿Actualmente estos productos y servicios se encuentran en curso ya sea en diseño, desarrollo o implementación?   
   ¿El diseño, desarrollo e implementación de los productos y servicios corre por cuenta de personal propio de la entidad de terceros especializados en el tema?   
   ¿Está documentado el plan estratégico de la entidad, especialmente el plan trazado para el diseño, desarrollo e implementación de los productos y servicios de banca electrónica? (descripción de productos, análisis de mercado, cronogramas, presupuestos, etc.)   
 NO ¿Por qué?   
            
4.FUNCIONARIO QUE PUEDE SER CONTACTADO PARA ATENDER ACLARACIONES O AMPLIACIONES A LA   
 INFORMACIÓN SUMINISTRADA POR LA ENTIDAD A TRAVÉS DE LA PRESENTE ENCUESTA   
            
 Nombre   
 Cargo   
 Dirección   
 Ciudad   
 Teléfono(s), Fax   
 e-mail   
            
            
Con base en lo anterior, certificamos que la entidad efectuó los procesos arriba mencionados sobre sus sistemas y la información 
es completa y exacta.       
            
            
            
            
REPRESENTANTE LEGAL REVISOR FISCAL    
            
            
Agradecemos diligenciar y remitir este formulario, a la mayor brevedad posible, a la Subdirección de Informática de la Superintendencia 
Bancaria, calle 7ª Nº 4-49, oficina 312 zona A. Para mayor información favor comunicarse con el Subdirector de Informática al teléfono 
3506061 y 3508166 extensiones 1314, 1321.      
            
            
            
            
_____________________________________________________