SlideShare uma empresa Scribd logo

Capitulo X CNBV

Transferir como PPTX, PDF
Juan Carlos Carrillo
Juan Carlos Carrillo
Tecnologia
1 de 20
CAPITULO X CNBV julio de 2010
Controles Regulatorios Circular Única de Bancos (Capítulo X): 2º Factor de autenticación Registro de cuentas Notificaciones Limites de operación Prevención de fraudes Registro de bitácoras Seguridad: datos y comunicaciones Contratos Clientes Back Office Aceptación del Cliente
Cuatro categorías de Autenticación Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Según el articulo 310
Autenticación de las Instituciones Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario Según el articulo 311
Protección de las sesiones Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Según el articulo 316 B2
manejo de Contraseñas Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Según el articulo 316 B4
equipos electrónicos (POS) Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes Según el articulo 316 B6
centros de atención telefónica Controles de seguridad física y lógica en la infraestructura tecnológica Delimitar las funciones de los operadores telefónicos Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios Según el articulo 316 B7
CHIP en las Tarjetas 1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo. El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo. El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo. Según el articulo 316 B8
Cifrado Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Según el articulo 316 B10
controles de acceso Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados Según el articulo 316 B11
Extravio de Información En caso de extravio de información se debe notificar a la CNBV Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados Según el articulo 316 B12
Registro de incidencias En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados Registrar operaciones no reconocidas por los Usuarios Mantener en la Institución durante un periodo no menor a cinco años Según el articulo 316 B14
Generación de Bitacoras Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Según el articulo 316 B15
Reporte de Robo de parte del Cliente Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación Políticas que definan las responsabilidades tanto del Usuario como de la Institución Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios Según el articulo 316 B16
revisiones de seguridad a la infraestructura de cómputo Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Según el articulo 316 B17
Respuesta a Incidentes Medidas preventivas, de detección, disuasivas y procedimientos de respuesta Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna Según el articulo 316 B20
HIGHLIGHTS capítulo X Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas. Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado. Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros. Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
HIGHLIGHTS capítulo X Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro. Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.
Gracias juan.carlos@sm4rt.com @juan_carrillo Sm4rt Security Services Paseos de Tamarindos400A 5º Piso Col. Bosques de las Lomas México D. F. C.P. 05120

Recomendados

Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestion
Shirley Contreras Ulloa
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Edureka!
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Sailpoint Online Training on IAM overview
Sailpoint Online Training on IAM overviewSailpoint Online Training on IAM overview
Sailpoint Online Training on IAM overview
ITJobZone.biz
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
Saumya Vishnoi
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
Prashanth BS
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
Guido Marchetti
 

Recomendados

Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestion
Shirley Contreras Ulloa
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Edureka!
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Sailpoint Online Training on IAM overview
Sailpoint Online Training on IAM overviewSailpoint Online Training on IAM overview
Sailpoint Online Training on IAM overview
ITJobZone.biz
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
Saumya Vishnoi
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
Prashanth BS
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
Guido Marchetti
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptx
MdMofijulHaque
 
Security Awareness & Training
Security Awareness & TrainingSecurity Awareness & Training
Security Awareness & Training
novemberchild
 
Cloud vs. On-Premises Security: Can you afford not to switch?
Cloud vs. On-Premises Security: Can you afford not to switch?Cloud vs. On-Premises Security: Can you afford not to switch?
Cloud vs. On-Premises Security: Can you afford not to switch?
Zscaler
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
Uppala Anand
 
Security awareness training - 4 topics that matter most
Security awareness training - 4 topics that matter mostSecurity awareness training - 4 topics that matter most
Security awareness training - 4 topics that matter most
Infosec
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
Ramiro Cid
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Barracuda company and product presentation
Barracuda company and product presentationBarracuda company and product presentation
Barracuda company and product presentation
Softechms
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
What is zero trust model of information security?
What is zero trust model of information security?What is zero trust model of information security?
What is zero trust model of information security?
Ahmed Banafa
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Identity's Role in a Zero Trust Strategy
Identity's Role in a Zero Trust StrategyIdentity's Role in a Zero Trust Strategy
Identity's Role in a Zero Trust Strategy
Okta-Inc
 
Cybersecurity Awareness Session by Adam
Cybersecurity Awareness Session by AdamCybersecurity Awareness Session by Adam
Cybersecurity Awareness Session by Adam
Mohammed Adam
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation Slides
SlideTeam
 
Identity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. MookheyIdentity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. Mookhey
Network Intelligence India
 
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdfBATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
Maganathin Veeraragaloo
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
RIESGO OPERACIONAL.pptx
RIESGO OPERACIONAL.pptxRIESGO OPERACIONAL.pptx
RIESGO OPERACIONAL.pptx
jpgv84
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016
Aujas
 
Regulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBVRegulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBV
Juan Carlos Carrillo
 
Cnbv
CnbvCnbv
Cnbv
Italia Rizo
 

Mais conteúdo relacionado

Mais procurados

ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
Uppala Anand
 
Barracuda company and product presentation
Barracuda company and product presentationBarracuda company and product presentation
Barracuda company and product presentation
Softechms
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation Slides
SlideTeam
 

Mais procurados (20)

SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptx
 
Security Awareness & Training
Security Awareness & TrainingSecurity Awareness & Training
Security Awareness & Training
 
Cloud vs. On-Premises Security: Can you afford not to switch?
Cloud vs. On-Premises Security: Can you afford not to switch?Cloud vs. On-Premises Security: Can you afford not to switch?
Cloud vs. On-Premises Security: Can you afford not to switch?
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
Security awareness training - 4 topics that matter most
Security awareness training - 4 topics that matter mostSecurity awareness training - 4 topics that matter most
Security awareness training - 4 topics that matter most
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Barracuda company and product presentation
Barracuda company and product presentationBarracuda company and product presentation
Barracuda company and product presentation
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
What is zero trust model of information security?
What is zero trust model of information security?What is zero trust model of information security?
What is zero trust model of information security?
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Identity's Role in a Zero Trust Strategy
Identity's Role in a Zero Trust StrategyIdentity's Role in a Zero Trust Strategy
Identity's Role in a Zero Trust Strategy
 
Cybersecurity Awareness Session by Adam
Cybersecurity Awareness Session by AdamCybersecurity Awareness Session by Adam
Cybersecurity Awareness Session by Adam
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation Slides
 
Identity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. MookheyIdentity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. Mookhey
 
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdfBATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdf
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
RIESGO OPERACIONAL.pptx
RIESGO OPERACIONAL.pptxRIESGO OPERACIONAL.pptx
RIESGO OPERACIONAL.pptx
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016
 

Destaque

Sistema Financiero Mexicano
Sistema Financiero MexicanoSistema Financiero Mexicano
Sistema Financiero Mexicano
Victor Bernal
 
Ley de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valoresLey de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valores
Lic. Brenda F Castro Rocha
 
Banco de mexico
Banco de mexicoBanco de mexico
Banco de mexico
Anngiiee
 
Secretaria de hacienda y credito publico
Secretaria de hacienda y credito publicoSecretaria de hacienda y credito publico
Secretaria de hacienda y credito publico
Sharaid Cervantes
 
Secretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito PublicoSecretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito Publico
Nyme He
 
SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO
abitta
 

Destaque (20)

Regulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBVRegulación Bancaria en México - Capitulo X CNBV
Regulación Bancaria en México - Capitulo X CNBV
 
Cnbv
CnbvCnbv
Cnbv
 
CNBV
CNBVCNBV
CNBV
 
Sistema Financiero Mexicano
Sistema Financiero MexicanoSistema Financiero Mexicano
Sistema Financiero Mexicano
 
Ley de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valoresLey de la comisión nacional bancaria y de valores
Ley de la comisión nacional bancaria y de valores
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Condusef
CondusefCondusef
Condusef
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Banco de mexico
Banco de mexicoBanco de mexico
Banco de mexico
 
Estructura del sistema financiero 1
Estructura del sistema financiero 1Estructura del sistema financiero 1
Estructura del sistema financiero 1
 
SHCP
SHCPSHCP
SHCP
 
Banxico
BanxicoBanxico
Banxico
 
Sistema de ahorro para el retiro
Sistema de ahorro para el retiroSistema de ahorro para el retiro
Sistema de ahorro para el retiro
 
Banca multiple
Banca multipleBanca multiple
Banca multiple
 
Secretaria de hacienda y credito publico
Secretaria de hacienda y credito publicoSecretaria de hacienda y credito publico
Secretaria de hacienda y credito publico
 
Banco de Mexico
Banco de MexicoBanco de Mexico
Banco de Mexico
 
Secretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito PublicoSecretaria de Hacienda y Credito Publico
Secretaria de Hacienda y Credito Publico
 
Entidades reguladoras
Entidades reguladorasEntidades reguladoras
Entidades reguladoras
 
CONSAR
CONSARCONSAR
CONSAR
 
SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO SISTEMA FINANCIERO MEXICANO
SISTEMA FINANCIERO MEXICANO
 

Semelhante a Capitulo X CNBV

Diapositivas De Los Ortiz
Diapositivas De Los OrtizDiapositivas De Los Ortiz
Diapositivas De Los Ortiz
Rafael Garcia
 
Acuerdos fac electronica
Acuerdos fac electronicaAcuerdos fac electronica
Acuerdos fac electronica
cmontielc
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
xiomarita2604
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
xiomarita2604
 
Ventjas de la Banca Electronica
Ventjas de la Banca ElectronicaVentjas de la Banca Electronica
Ventjas de la Banca Electronica
jclinares
 
Decreto 1747 de 2000
Decreto 1747 de 2000Decreto 1747 de 2000
Decreto 1747 de 2000
Jhon Pérez
 
Mecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de SeguridadMecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de Seguridad
chita21
 

Semelhante a Capitulo X CNBV (20)

Regulacion Robo de Identidad
Regulacion Robo de IdentidadRegulacion Robo de Identidad
Regulacion Robo de Identidad
 
Diapositivas De Los Ortiz
Diapositivas De Los OrtizDiapositivas De Los Ortiz
Diapositivas De Los Ortiz
 
LEY DRAL DEL CONSUMIDOR/2A PARTE
LEY DRAL DEL CONSUMIDOR/2A PARTELEY DRAL DEL CONSUMIDOR/2A PARTE
LEY DRAL DEL CONSUMIDOR/2A PARTE
 
Contrato internet
Contrato internetContrato internet
Contrato internet
 
Caso práctico1
Caso práctico1Caso práctico1
Caso práctico1
 
Tendencias en Servicios Financieros Digitales
Tendencias en Servicios Financieros DigitalesTendencias en Servicios Financieros Digitales
Tendencias en Servicios Financieros Digitales
 
Acuerdos fac electronica
Acuerdos fac electronicaAcuerdos fac electronica
Acuerdos fac electronica
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
 
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De PagoC:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
C:\Documents And Settings\Galileo\Escritorio\Investigacion 3\Medios De Pago
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Unidad # 1
Unidad # 1Unidad # 1
Unidad # 1
 
Ventjas de la Banca Electronica
Ventjas de la Banca ElectronicaVentjas de la Banca Electronica
Ventjas de la Banca Electronica
 
Credito personal contrato
Credito personal contratoCredito personal contrato
Credito personal contrato
 
Comercio
ComercioComercio
Comercio
 
Comercio
ComercioComercio
Comercio
 
Derechos y obligaciones
Derechos y obligacionesDerechos y obligaciones
Derechos y obligaciones
 
Cartilla unidad 5
Cartilla unidad 5Cartilla unidad 5
Cartilla unidad 5
 
Decreto 1747 de 2000
Decreto 1747 de 2000Decreto 1747 de 2000
Decreto 1747 de 2000
 
Decreto 1747
Decreto 1747Decreto 1747
Decreto 1747
 
Mecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de SeguridadMecanismos de Pago y Aspectos de Seguridad
Mecanismos de Pago y Aspectos de Seguridad
 

Mais de Juan Carlos Carrillo

Proteja los Datos más Sensibles
Proteja los Datos más SensiblesProteja los Datos más Sensibles
Proteja los Datos más Sensibles
Juan Carlos Carrillo
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
Juan Carlos Carrillo
 

Mais de Juan Carlos Carrillo (20)

La falta de talento en ciberseguridad 2017
La falta de talento en ciberseguridad 2017La falta de talento en ciberseguridad 2017
La falta de talento en ciberseguridad 2017
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
 
Webinar: Privacidad y Comercio Electrónico
Webinar: Privacidad y Comercio ElectrónicoWebinar: Privacidad y Comercio Electrónico
Webinar: Privacidad y Comercio Electrónico
 
Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
Seguridad, una visión desde el Riesgo, Gobierno y CumplimientoSeguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
 
260215 ley federal de proteccion de datos personales en posesión de particul...
260215 ley federal de proteccion de datos personales en posesión de particul...260215 ley federal de proteccion de datos personales en posesión de particul...
260215 ley federal de proteccion de datos personales en posesión de particul...
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
 
La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2
 
Proteja los Datos más Sensibles
Proteja los Datos más SensiblesProteja los Datos más Sensibles
Proteja los Datos más Sensibles
 
Privacidad y seguridad
Privacidad y seguridadPrivacidad y seguridad
Privacidad y seguridad
 
The personal hedgehog
The personal hedgehogThe personal hedgehog
The personal hedgehog
 
How managers become leaders v2
How managers become leaders v2How managers become leaders v2
How managers become leaders v2
 
Más respuestas a la protección de datos
Más respuestas a la protección de datosMás respuestas a la protección de datos
Más respuestas a la protección de datos
 
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
Parámetros para el correcto desarrollo de los esquemas de autorregulación vin...
 
Quien tiene el mono? - Who's Got the Monkey?
Quien tiene el mono? - Who's Got the Monkey?Quien tiene el mono? - Who's Got the Monkey?
Quien tiene el mono? - Who's Got the Monkey?
 
Ley protección de datos personales
Ley protección de datos personalesLey protección de datos personales
Ley protección de datos personales
 
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP? ¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?
 
Datos personales y riesgos digitales
Datos personales y riesgos digitalesDatos personales y riesgos digitales
Datos personales y riesgos digitales
 
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
Resumen del Anteproyecto del Reglamento de la Ley Federal de Protección de Da...
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personales
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (15)

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 

Capitulo X CNBV

  • 1. CAPITULO X CNBV julio de 2010
  • 2. Controles Regulatorios Circular Única de Bancos (Capítulo X): 2º Factor de autenticación Registro de cuentas Notificaciones Limites de operación Prevención de fraudes Registro de bitácoras Seguridad: datos y comunicaciones Contratos Clientes Back Office Aceptación del Cliente
  • 3. Cuatro categorías de Autenticación Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Según el articulo 310
  • 4. Autenticación de las Instituciones Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario Según el articulo 311
  • 5. Protección de las sesiones Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Según el articulo 316 B2
  • 6. manejo de Contraseñas Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Según el articulo 316 B4
  • 7. equipos electrónicos (POS) Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes Según el articulo 316 B6
  • 8. centros de atención telefónica Controles de seguridad física y lógica en la infraestructura tecnológica Delimitar las funciones de los operadores telefónicos Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios Según el articulo 316 B7
  • 9. CHIP en las Tarjetas 1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo. El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo. El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo. Según el articulo 316 B8
  • 10. Cifrado Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Según el articulo 316 B10
  • 11. controles de acceso Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados Según el articulo 316 B11
  • 12. Extravio de Información En caso de extravio de información se debe notificar a la CNBV Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados Según el articulo 316 B12
  • 13. Registro de incidencias En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados Registrar operaciones no reconocidas por los Usuarios Mantener en la Institución durante un periodo no menor a cinco años Según el articulo 316 B14
  • 14. Generación de Bitacoras Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Según el articulo 316 B15
  • 15. Reporte de Robo de parte del Cliente Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación Políticas que definan las responsabilidades tanto del Usuario como de la Institución Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios Según el articulo 316 B16
  • 16. revisiones de seguridad a la infraestructura de cómputo Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Según el articulo 316 B17
  • 17. Respuesta a Incidentes Medidas preventivas, de detección, disuasivas y procedimientos de respuesta Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna Según el articulo 316 B20
  • 18. HIGHLIGHTS capítulo X Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas. Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado. Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros. Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
  • 19. HIGHLIGHTS capítulo X Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro. Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.
  • 20. Gracias juan.carlos@sm4rt.com @juan_carrillo Sm4rt Security Services Paseos de Tamarindos400A 5º Piso Col. Bosques de las Lomas México D. F. C.P. 05120