Circular 052 de 2007 de la Superintendencia Financiera de Colombia

Publicado por adminkenner en

Las instrucciones de que trata el presente capitulo deberán ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC),

El numeral 7 “Análisis de vulnerabilidades” deberá ser aplicado únicamente por los establecimientos de crédito y los administradores de sistemas de pago de bajo valor, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.

En todo caso las entidades vigiladas destinatarias de las instrucciones del presente numeral, deberán implementar los requerimientos exigidos atendiendo la naturaleza, objeto social y demás características particulares de su actividad.

Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios, las entidades deberán tener en cuenta las siguientes definiciones y criterios:

2. Definiciones y criterios de seguridad y calidad

Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios, las entidades deberán tener en cuenta las siguientes definiciones y criterios:

2.1. Criterios de Seguridad de la información

a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.

b) Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.

c) Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en

el futuro, al igual que los recursos necesarios para su uso.

2.2. Criterios de Calidad de la información

a) Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.

b) Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor

manera posible los recursos.

c) Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones

2.5. Vulnerabilidad informática Ausencia o deficiencia que permite violar las medidas de seguridad informáticas para poder acceder a un canal de distribución o a un sistema específico de forma no autorizada y emplearlo en beneficio propio o como origen de ataques por parte de terceros.

2.6. Cifrado fuerte Técnicas de codificación para protección de la información que utilizan algoritmos de robustez reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES y/o AES.

2.7. Sistema de Acceso Remoto (RAS) Para efectos de la presente circular, RAS hace referencia a la conexión realizada por un tercero a los sistemas de información de la entidad utilizando enlaces dedicados o conmutados.

3.1. Seguridad y Calidad

3.1.1. Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad.

3.1.2. Gestionar la seguridad de la información, para lo cual podrán tener como referencia los estándares ISO 17799 y 27001, o el último estándar disponible

3.1.4. Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad

3.1.6. Proteger las claves de acceso a los sistemas de información. En desarrollo de esta obligación, las entidades deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades deberá ser única y personalizada.

3.1.7. Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.

3.1.8. Velar porque los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil.

Archivo:ESET logo.svg - Wikipedia, la enciclopedia libre
Categorías: Normativa