CIRCULAR EXTERNA 97 DE 1998

 

CIRCULAR EXTERNA 97 DE 1998 

(Diciembre 29)

Ref.: Modificaciones a la Circular Externa 2 de 1998.

Esta superintendencia ha estimado conveniente ampliar hasta el 31 de marzo de 1999, el plazo fijado en los numerales 8.1, 8.3 y 8.5 de la Circular Externa 2 de 1998, para terminar los procesos relacionados con seguridad en transacciones financieras realizadas mediante la utilización de tarjetas crédito y débito a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

La presente circular rige a partir de la fecha de su publicación y modifica las páginas 23-1 y 23-2 del título segundo de la circular básica jurídica (CE 007 de 1996), las cuales se adjuntan.

Hoja 23-1

8. Seguridad en transacciones financieras realizadas mediante la utilización de tarjetas crédito y débito a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

Este despacho se permite impartir las siguientes instrucciones a efecto de que las entidades vigiladas adopten los requerimientos mínimos de seguridad que se deben cumplir en la prestación de servicio de transacciones financieras por medio de tarjetas débito y crédito, a través de cajeros automáticos, puntos de servicios en establecimientos comerciales y oficinas de las instituciones financieras.

En cualquier caso, ya sea con redes propias o con terceros, la entidad vigilada deberá garantizar el cumplimiento de las especificaciones aquí descritas.

8.1. De la tarjeta débito y crédito

a) Todas las entidades vigiladas que ofrezcan servicios a través de tarjetas débito y crédito, deberán iniciar el proceso de cambio de éstas, implementando el mecanismo de seguridad conocido como código de verificación de tarjeta (CVC, CVV o CVT), a más tardar el 1º de abril de 1998, proceso que deberá concluir el 31 de marzo de 1999, y

b) Las entidades vigiladas deberán establecer los procedimientos, controles y seguridades para las solicitudes de generación y recepción de tarjetas débito y crédito, generación, asignación y entrega de claves a los usuarios. Los procedimientos deberán contemplar entre otros, los siguientes aspectos, ya sea que los realicen por intermedio de empresas contratadas o lo hagan con recursos propios:

Solicitudes de tarjetas débito y crédito.

Recepción de tarjetas débito y crédito.

Generación, asignación y entrega de claves.

Bloqueo y rehabilitación de tarjetas débito y crédito.

Emisión, impresión de tarjetas débito y crédito.

8.2. De los procedimientos de transporte, custodia y entrega de las tarjetas débito y crédito

a) Las entidades vigiladas deberán incorporar en sus manuales internos los procedimientos, controles y seguridades utilizados en el transporte, entrega y custodia de las tarjetas débito y crédito ya sea que lo realicen por intermedio de empresas contratadas o lo hagan con recursos propios.

Anualmente deberán solicitar una certificación expedida por la auditoria interna, revisor fiscal o por la auditoria externa de cada entidad, acerca del cumplimiento de tales procedimientos.

Los procedimientos deberán contemplar, entre otros, los siguientes aspectos:

La custodia de tarjetas débito y crédito.

Distribución y entrega de tarjetas débito y crédito.

Reposición de tarjetas débito y crédito.

Retención de tarjetas débito y crédito;

b) La entrega de las tarjetas débito y crédito se deberá realizar de manera personalizada, esto es, única y exclusivamente al beneficiario de la misma;

c) Al momento de la entrega de la tarjeta, la entidad vigilada deberá efectuar una capacitación clara y sencilla al usuario, para explicar, entre otros aspectos, los beneficios, cuidados físicos, seguridades en el uso de cajeros automáticos y en los puntos de servicios de establecimientos comerciales, procedimientos a seguir ante pérdida, robo, retenciones no autorizadas de las tarjetas y advertir acerca de los posibles fraudes que se puedan cometer.

Cuando la entrega de la tarjeta se realice a través de empresas de mensajería, se deberá enviar al usuario un folleto explicativo que contemple como mínimo, los anteriores aspectos.

Se le debe especificar al tarjetahabiente acerca de las mínimas medidas de seguridad a tomar, tales como:

Nunca permita por ningún motivo la colaboración de extraños al momento de realizar sus operaciones.

Nunca le revele la clave a nadie.

Nunca preste su tarjeta.

Nunca mantenga la tarjeta y la clave en el mismo sitio.

Nunca digite la clave frente a personas extrañas, ya sea en un cajero automático o en los puntos de servicio de entidades comerciales.

Nunca olvide retirar el recibo de comprobante de la operación;

d) Se deben establecer niveles de capacitación a:

Los funcionarios de las entidades vigiladas que reciben una tarjeta (cajeros humanos).

Establecimientos comerciales (en los puntos de servicio de establecimientos comerciales).

8.3. De las operaciones

Las entidades vigiladas deberán crear un procedimiento para la revisión periódica de las seguridades físicas de acceso a los cajeros y del funcionamiento de los mismos.

En los recibos que entregan los cajeros automáticos y los puntos de servicio de entidades comerciales, sólo podrán aparecer los últimos cuatro dígitos tanto de la tarjeta como de la cuenta, los demás dígitos se remplazarán con asteriscos. Este mecanismo de seguridad deberá estar implementado en su totalidad el 1º de abril de 1998.

Hoja 23-2

Las instituciones financieras deberán poseer un procedimiento para manejar problemas cuando las transacciones no terminan exitosamente.

A partir del 31 de marzo de 1999, todos los cajeros automáticos, deberán permitir el cambio de las claves de las tarjetas débito y crédito a solicitud de cada usuario.

8.4. De la atención de reclamos

Las entidades vigiladas deberán crear una oficina de atención a los usuarios con problemas en sus transacciones financieras realizadas electrónicamente, ya sea mediante sus propias redes o por redes de terceros, con el fin de dar una solución rápida y efectiva, buscando poseer una verdadera estadística sobre la problemática con tarjetas y las soluciones dadas. En todo caso, la solución de cualquier problema deberá estar en cabeza de la entidad financiera que expide la tarjeta.

8.5. Seguridad en las comunicaciones entre oficinas, cajeros, puntos de servicio en establecimientos comerciales y switches

Las entidades vigiladas deberán encriptar el total de las claves, dicho proceso será de carácter mandatorio y debe ser implementado por hardware a través de un encriptor ubicado en los cajeros automáticos. Igualmente, para los puntos de servicio en establecimientos comerciales y las transacciones que se realicen con tarjeta desde las oficinas, la inscripción se implementará desde el teclado.

Se tendrá que implementar el intercambio dinámico de claves entre los sistemas de encripción, con la frecuencia que garantice la máxima seguridad.

Implementar la confirmación de autenticación MAC (verificación del origen de las transacciones).

Estos mecanismos de seguridad deberán iniciarse a más tardar el 1º de abril de 1998, debiendo concluirse el 31 de marzo de 1999.

8.6. De los procedimientos del paso a producción de versiones de software

Cualquier modificación al software debe seguir un trámite preestablecido en el departamento de sistemas y las áreas involucradas en el cambio, con el fin de verificar el normal o correcto funcionamiento de los aplicativos y controlar que los requerimientos efectuados cumplan con los objetivos propuestos en dicho cambio.

8.6.1. Funciones de la estructura organizacional, controles y procedimientos. Las entidades vigiladas deberán:

Crear grupos interdisciplinarios con el fin de ejercer supervisión y control en todo el proceso para la puesta en producción de las diferentes aplicaciones, de esta manera se garantiza que esta actividad no será responsabilidad de una sola área o de una persona.

Creación de auditoría para todos los procedimientos de puesta en producción de las diferentes aplicaciones.

Crear procedimientos que garanticen la homologación de versiones a nivel corporativo.

Establecer mecanismos para el control y seguridad de las transacciones que se realicen en redes diferentes a la de la entidad financiera.

8.6.2. Ambiente en el sistema. La realización de cambios o modificaciones al software (programas, archivos, bases de datos, etc.), requiere como mínimo la existencia de tres ambientes, los cuales garantizan el normal desarrollo de actividades en el área de sistemas, auditoría o pruebas y producción. Dichos ambientes son:

8.6.2.1 Ambiente de desarrollo. En este ambiente se realizan las modificaciones o cambios a los programas, archivos, bases de datos, etc., y se realizan pruebas por parte de los funcionarios dedicados al desarrollo de aplicaciones.

8.6.2.2. Ambiente de pruebas o auditoría. En este ambiente se realizan las pruebas de aceptación de los cambios, por parte del grupo de pruebas conformado por usuarios y auditoría de sistemas.

8.6.2.3. Ambiente de producción. En este ambiente se encuentran los programas, archivos, bases de datos, etc., que atienden la operativa de la compañía.

8.6.2.4. Independencia entre los ambientes de sistemas. Los ambientes deben como mínimo cumplir los siguientes requisitos:

Los programas fuente, objeto y principalmente los datos (Bases de datos, archivos, etc.), son independientes uno del otro.

La ejecución de procesos o procedimientos de cada ambiente no se afectan entre sí.

N. del D.: Esta circular va dirigida a representantes legales y revisores fiscales de las entidades vigiladas.

________________