CIRCULAR EXTERNA 2 DE 1998 

(Enero 6)

Referencia: Seguridad en transacciones financieras realizadas mediante la utilización de tarjetas crédito y débito a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

Esta superintendencia en virtud de lo dispuesto en el numeral 1, literal i), del artículo 325 del estatuto orgánico del sistema financiero y con el objeto de que las transacciones financieras realizadas mediante la utilización de tarjetas débitos y créditos se desarrollen con el debido margen de seguridad, ha considerado pertinente impartir instrucciones acerca de las medidas mínimas que deben observar las instituciones financieras para respaldar las respectivas operaciones.

Para tal efecto, se adiciona el numeral 8 del capítulo primero del título segundo de la Circular Básica Jurídica CE 007 de 1996, con las páginas 23-1, 23-2 y 23-3, las cuales se adjuntan.

La inobservancia de dichos requerimientos mínimos se califica como práctica insegura al tenor de lo estipulado en el literal a), numeral 5 del artículo 326 del estatuto orgánico del sistema financiero, sustituido por el artículo 2º del Decreto 2359 de 1993 y, por lo tanto, podrá dar lugar a la imposición de las sanciones previstas en los artículos 209 y 211 del citado estatuto.

La presente circular rige a partir de la fecha de su publicación.

Anexo

8. Seguridad en transacciones financieras realizadas mediante la utilización de tarjetas crédito y débito a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

Este despacho se permite impartir las siguientes instrucciones a efecto de que las entidades vigiladas adopten los requerimientos mínimos de seguridad que se deben cumplir en la prestación de servicio de transacciones financieras por medio de tarjetas débito y crédito, a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

En cualquier caso, ya sea con redes propias o con terceros, la entidad vigilada deberá garantizar el cumplimiento de las especificaciones aquí descritas.

8.1 (Modificado).* De la tarjeta débito y crédito

a) Todas las entidades vigiladas que ofrezcan servicios a través de tarjetas débito y crédito, deberán iniciar el proceso de cambio de éstas, implementando el mecanismo de seguridad conocido como código de verificación de tarjeta (CVC, CVV o CVT), a más tardar el 1º de abril de 1998, proceso que deberá concluir el 31 de diciembre de 1998;

(Nota: La Circular 97 de 1998 de la Superintendencia Bancaria, amplió el plazo fijado en el presente numeral hasta el 31 de marzo de 1999).

b) Las entidades vigiladas deberán establecer los procedimientos, controles y seguridades para las solicitudes de generación y recepción de tarjetas débito y crédito, generación, asignación y entrega de claves a los usuarios. Los procedimientos deberán contemplar entre otros, los siguientes aspectos, ya sea que los realicen por intermedio de empresas contratadas o lo hagan con recursos propios:

Solicitudes de tarjetas débito y crédito.

Recepción de tarjetas débito y crédito.

Generación, asignación y entrega de claves.

Bloqueo y rehabilitación de tarjetas débito y crédito.

Emisión, impresión de tarjetas débito y crédito.

8.2 De los procedimientos de transporte, custodia y entrega de las tarjetas débito y crédito.

a) Las entidades vigiladas deberán incorporar en sus manuales internos los procedimientos, controles y seguridades utilizados en el transporte, entrega y custodia de las tarjetas débito y crédito ya sea que lo realicen por intermedio de empresas contratadas o lo hagan con recursos propios.

Anualmente deberán solicitar una certificación expedida por la auditoría interna, revisor fiscal o por la auditoría externa de cada entidad, acerca del cumplimiento de tales procedimientos.

Los procedimientos deberán contemplar, entre otros, los siguientes aspectos:

La custodia de tarjetas débito y crédito.

Distribución y entrega de tarjetas débito y crédito.

Reposición de tarjetas débito y crédito.

Retención de tarjetas débito y crédito.

b) La entrega de las tarjetas débito y crédito se deberá realizar de manera personalizada, esto es, única y exclusivamente al beneficiario de la misma.

c) Al momento de la entrega de la tarjeta, la entidad vigilada deberá efectuar una capacitación clara y sencilla al usuario, para explicar, entre otros aspectos, los beneficios, cuidados físicos, seguridades en el uso de cajeros automáticos y en los puntos de servicios de establecimientos comerciales, procedimientos a seguir ante pérdida, robo, retenciones no autorizadas de las tarjetas y advertir acerca de los posibles fraudes que se puedan cometer.

Cuando la entrega de la tarjeta se realice a través de empresas de mensajería, se deberá enviar al usuario un folleto explicativo que contemple como mínimo, los anteriores aspectos.

Se le debe especificar al tarjetahabiente acerca de las mínimas medidas de seguridad a tomar, tales como:

Nunca permita por ningún motivo la colaboración de extraños al momento de realizar sus operaciones.

Nunca le revele la clave a nadie.

Nunca preste su tarjeta.

Nunca mantenga la tarjeta y la clave en el mismo sitio.

Nunca digite la clave frente a personas extrañas, ya sea en un cajero automático o en los puntos de servicio de entidades comerciales.

Nunca olvide retirar el recibo de comprobante de la operación.

d) Se deben establecer niveles de capacitación a:

Los funcionarios de las entidades vigiladas que reciben una tarjeta (cajeros humanos).

Establecimientos comerciales (en los puntos de servicio de establecimientos comerciales).

8.3 (Modificado).* De las operaciones

Las entidades vigiladas deberán crear un procedimiento para la revisión periódica de las seguridades físicas de acceso a los cajeros y del funcionamiento de los mismos.

En los recibos que entregan los cajeros automáticos y los puntos de servicio de entidades comerciales, solo podrán aparecer los últimos cuatro dígitos tanto de la tarjeta como de la cuenta, los demás dígitos se remplazarán con asteriscos. Este mecanismo de seguridad deberá estar implementado en su totalidad el 1º de abril de 1998.

Las instituciones financieras deberán poseer un procedimiento para manejar problemas cuando las transacciones no terminan exitosamente.

A partir del 1º de diciembre de 1998, todos los cajeros automáticos, deberán permitir el cambio de las claves de las tarjetas débito y crédito a solicitud de cada usuario.

(Nota: La Circular 97 de 1998 de la Superintendencia Bancaria, amplió el plazo fijado en el presente numeral hasta el 31 de marzo de 1999).

8.4 De la atención de reclamos

Las entidades vigiladas deberán crear una oficina de atención a los usuarios con problemas en sus transacciones financieras realizadas electrónicamente, ya sea mediante sus propias redes o por redes de terceros, con el fin de dar una solución rápida y efectiva, buscando poseer una verdadera estadística sobre la problemática con tarjetas y las soluciones dadas. En todo caso, la solución de cualquier problema deberá estar en cabeza de la entidad financiera que expide la tarjeta.

8.5 (Modificado).* Seguridad en las comunicaciones entre oficinas, cajeros, puntos de servicio en establecimientos comerciales y switches.

Las entidades vigiladas deberán encriptar el total de las claves, dicho proceso será de carácter mandatorio y debe ser implementado por hardware a través de un encriptor ubicado en los cajeros automáticos. Igualmente, para los puntos de servicio en establecimientos comerciales y las transacciones que se realicen con tarjeta desde las oficinas, la encripción se implementará desde el teclado.

Se tendrá que implementar el intercambio dinámico de claves entre los sistemas de encripción, con la frecuencia que garantice la máxima seguridad.

Implementar la confirmación de autenticación MAC (verificación del origen de las transacciones).

Estos mecanismos de seguridad deberán iniciarse a más tardar el 1º de abril de 1998, debiendo concluirse el 1º de diciembre del mismo año.

(Nota: La Circular 97 de 1998 de la Superintendencia Bancaria, amplió el plazo fijado en el presente numeral hasta el 31 de marzo de 1999).

8.6 De los procedimientos del paso a producción de versiones de software.

Cualquier modificación al software debe seguir un trámite preestablecido en el departamento de sistemas y las áreas involucradas en el cambio, con el fin de verificar el normal o correcto funcionamiento de los aplicativos y controlar que los requerimientos efectuados cumplan con los objetivos propuestos en dicho cambio.

8.6.1 Funciones de la estructura organizacional, controles y procedimientos

La entidades vigiladas deberán:

Crear grupos interdisciplinarios con el fin de ejercer supervisión y control en todo el proceso para la puesta en producción de las diferentes aplicaciones, de esta manera se garantiza que esta actividad no será responsabilidad de una sola área o de una persona.

Creación de auditoría para todos los procedimientos de puesta en producción de las diferentes aplicaciones.

Crear procedimientos que garanticen la homologación de versiones a nivel corporativo.

Establecer mecanismos para el control y seguridad de las transacciones que se realicen en redes diferentes a la de la entidad financiera.

8.6.2 Ambiente en el sistema

La realización de cambios o modificaciones al software (programas, archivos, bases de datos, etc.), requiere como mínimo la existencia de tres ambientes, los cuales garantizan el normal desarrollo de actividades en el área de sistemas, auditoría o pruebas y producción. Dichos ambientes son:

8.6.2.1 Ambiente de desarrollo.

En este ambiente se realizan las modificaciones o cambios a los programas, archivos, bases de datos, etc., y se realizan pruebas por parte de los funcionarios dedicados al desarrollo de aplicaciones.

8.6.2.2 Ambiente de pruebas o auditoría.

En este ambiente se realizan las pruebas de aceptación de los cambios, por parte del grupo de pruebas conformado por usuarios y auditoría de sistemas.

8.6.2.3 Ambiente de producción.

En este ambiente se encuentran los programas, archivos, bases de datos, etc., que atienden la operativa de la compañía.

8.6.2.4 Independencia entre los ambientes de sistemas.

Los ambientes deben como mínimo cumplir los siguientes requisitos:

Los programas fuente, objeto y principalmente los datos (bases de datos, archivos, etc.), son independientes uno del otro.

La ejecución de procesos o procedimientos de cada ambiente no se afectan entre sí.

Los accesos de modificación en los ambientes son mutuamente excluyentes, por ejemplo, el desarrollador no puede modificar en los ambientes de auditoría o producción.

El proceso de pasar una nueva versión de un programa, de un ambiente a otro, debe estar bajo el control o supervisión de una sola persona y/o suplente, quien tendrá bajo su responsabilidad, los procesos de registro de la operación realizada y del resultado obtenido.

8.6.3 Catalogación y documentación.

El proceso de catalogación es en síntesis la aceptación de la documentación del software desarrollado o modificado, sometido a mantenimiento y probado a satisfacción, el cual es apto para pasar a un ambiente ya sea el de auditoría o el de producción.

Para este proceso la entidad deberá asignar un responsable (por ej. administrador del sistema) o “catalogador”, lo que permite tener control sobre la plataforma que se maneja y, cierra la posibilidad a accesos o modificaciones, a programas y/o tablas no autorizados.

Como mínimo la documentación de la catalogación incluye:

Solicitud del cambio aprobada.

Comparación de fuentes en versión anterior y la modificada, con sus respectivas marcas.

Plan de pruebas cumplido y su soporte (por ej. trace, rastros de auditoría, etc.)

Esta documentación será controlada y archivada en la entidad.

8.6.4 Etapas del procedimiento

Las etapas mínimas que se deben cumplir en cualquier modificación al software (programas, archivos, bases de datos, etc.), son las siguientes:

8.6.4.1 Solicitud del mantenimiento o modificación al software.

Toda solicitud de modificación o mantenimiento al software (programa fuente o tabla), deberá tener el soporte escrito del requerimiento que será avalada por el responsable del aplicativo a modificarse o en su defecto por aquella persona que mantenga el control de las modificaciones al software en la entidad, con el objetivo de analizar la viabilidad de la modificación y garantizar el conocimiento del cambio y los impactos en el sistema.

8.6.4.2 Modificación en el ambiente de desarrollo.

Una vez recibida la solicitud y asignado el recurso humano, este procederá a realizar los cambios aprobados en dicha solicitud, en el ambiente de desarrollo, teniendo en cuenta que deberá marcar en el programa fuente los cambios realizados ya sea por una bandera asignada (por ej. iniciales del nombre) o por cualquier otro método claro que permita identificar las líneas de código fuente modificadas, su autor y la fecha en que se realizó el cambio. Estas marcas y comentario inicial se reconocerá como “bitácora de modificaciones”.

En este ambiente se deberán realizar las pruebas necesarias, que garanticen el correcto funcionamiento del cambio efectuado y verifique los impactos en el sistema, analizados por el encargado en la recepción de la solicitud.

8.6.4.3 Pruebas en el ambiente de auditoría.

Finalizadas las pruebas exitosamente en el ambiente de desarrollo, el desarrollador preparará la catalogación al ambiente de pruebas o auditoría con los respectivos soportes y avalado por el responsable del aplicativo a modificarse o en su defecto por aquella persona que mantenga el control de las modificaciones al software en la entidad. Dichas modificaciones serán realizadas por el administrador del sistema o por el “catalogador” asignado, quien posee los permisos de acceso necesarios para tal fin.

Catalogado el cambio o modificación, se realizan las pruebas necesarias en el ambiente de auditoría, para la verificación del correcto funcionamiento del cambio y el cumplimiento de los objetivos planteados en la solicitud. Estas pruebas son realizadas por el grupo de usuarios y auditoría de sistemas.

Los resultados deberán quedar documentados y debidamente soportados. El responsable de auditoría con base en dichos resultados expedirá una carta de aceptación o rechazo al cambio. Cualquier cambio rechazado se devolverá a desarrollo.

8.6.4.4 Paso del cambio o modificación al ambiente de producción.

El cambio a producción es realizado por el catalogador de acuerdo con la documentación de la catalogación avalada por la auditoría o el responsable del grupo de pruebas, el cual deberá verificar las marcas y bitácora de modificación, así como realizará y registrará la fecha de las compilaciones y, si es posible, los números de bytes de la nueva versión.

El catalogador deberá tener especial cuidado de guardar la versión anterior, ya sea ejecutable y/o fuente, con el fin de realizar una descatalogación por cualquier evento imprevisto.

El área de producción y comunicaciones (telecomunicaciones), deberá realizar el seguimiento al procedimiento aplicado por monitoreo al cambio, el cual debe permitir detectar anomalías o inconsistencias según sea el caso.

N. del D.: Esta circular va dirigida a representantes legales y revisores fiscales de las instituciones financieras.

______________________