AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Ttulo VII * 1 TITULO VII REQUISITOS MNIMOS DE SEGURIDAD TABLA DE CONTENIDO Captulo I:Reglamento para Remesas al Banco Central de Bolivia Captulo II:Reglamento para la Gestin de Seguridad de la Informacin Seccin 1:Disposiciones generales Seccin 2:Planificacin estratgica, estructura y organizacin de los recursos de tecnologa de la informacin(TI) Seccin 3:Administracin de la seguridad de la informacin Seccin 4:Administracin del control de accesos Seccin 5:Desarrollo, mantenimiento e implementacin de sistemas de informacin Seccin 6:Gestin de operaciones de tecnologa de informacin Seccin 7:Gestin de seguridad en redes y comunicaciones Seccin 8:Gestin de seguridad en transferencias y transacciones electrnicas Seccin 9:Gestin de incidentes de seguridad de la informacin Seccin 10:Continuidad del negocio Seccin 11:Administracin de servicios y contratos con terceros relacionados con tecnologa de informacin Seccin 12:Rol de la auditora interna Seccin 13:Otras disposiciones Seccin 14:Disposiciones transitorias Captulo III:Reglamento para la Gestin de Seguridad Fsica Seccin 1:Aspectos generales Seccin 2:Gestin de Seguridad Fsica Seccin 3:Medidas generales de Seguridad Fsica AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Ttulo VII * 2 Seccin 4:Medidas especficas de Seguridad Fsica Seccin 5:Otras disposiciones Seccin 6:Rol de la Unidad de Auditoria Interna Seccin 7:Disposiciones transitorias AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IPgina 1/2CircularSB/288/99 (04/99)Inicial CAPTULO I:REGLAMENTO PARA REMESAS AL BANCO CENTRAL DE BOLIVIA Artculo1- (SeguridadenelenvoderemesasalBCB) Con la finalidadde precautelar la seguridad en el envo de remesas de billetes y monedas metlicas en moneda nacional al Banco Central de Bolivia (BCB), por parte de los bancos locales, as como el control y recuento de este material, se instruye lo siguiente:a)El envo de los depsitos o remesas al BCB debe efectuarse en maletas de seguridad, cuales debern ser abiertas en la sala de recuento en presencia del personal del banco depositante; b)Para efectos de un adecuado y gil registro de las remesas enviadas por los bancos, el dinero declarado para depsito solamente deber ser verificado por lome y revisados los marbetes de cada uno de los paquetes, es decir sin recontar el material de billetes en detalle; c)Los paquetes deben estar fuertemente amarrados contando con diez lomos de cien (100) piezas cada uno, totalizando mil (1.000) piezas en cada paquete. Asimismo los paquetes deben estar debidamente clasificados por cortes planchados, revisados y recontados, con marbetes impresos donde se leer claramente el nombre del banco, nombre completo y sello del cajero, fecha y firma de ste. Losdepsitosenmonedasmetlicas no podrn ser inferiores amil (1.000) piezas, y debern estar clasificadas y en paquetes por cortes con la identificacin antes descrita. d)Una vez concluida la revisin del depsito en presencia de las partes que intervienen, se proceder al cierre de la maleta de seguridad, la misma que deber contar con dos (2) candados o chapas, por lo menos, las llaves quedarn en poder del banco depositante. e)Los depositantes contabilizarn el importe correspondiente al da de la entrega, al igual que elBCB.Enlapapeletadedepsito,debernestamparunselloconelsiguientetexto: "DEPSITO SUJETO A RECUENTO". f)Los depsitos que sean iguales o inferiores a dos mil (2.000) piezas deben ser efectuados en las cajas que habilite Tesorera del BCB. El recuento debe realizarse inmediatamente a la vista del depositante, y en caso de que dicho depsito no haya sido recontado, cualquier falla registrada posteriormente ser de entera responsabilidad del cajero recibidor. g)ElBCBy/olaAutoridaddeSupervisindelSistemaFinancieropodrnencualquier momento hacer recuentos en detalle de los depsitos realizados por los bancos, aclarando que cualquier diferencia detectada ser de entera responsabilidad del banco depositante, hacindose pasible a sanciones dispuestas en reglamentacin complementaria. El recuento deber efectuarse en una sala independiente por banco depositante y cada sala tendr como mximo cinco (5) recontadores del BCB y cinco (5) veedores del banco depositante. h)ElBCBatravsdesuseccinTesorera,reportar semanalmentealaAutoridadde Supervisin del Sistema Financiero los faltantes y sobrantes o cualquier otra anormalidad que existiera en los depsitos con los siguientes datos: AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IPgina 2/2CircularSB/288/99 (04/99)Inicial 1)Banco depositante 2)Nombre y apellido del cajero cuyo sello figura en el marbete 3)Nombre y apellido de la persona que llevar la remesa al BCB 4)Nombre y apellido del cajero recibidor del BCB 5)Nombres de los veedores y controladores del banco depositante 6)Detalle de la anormalidad 7)Monto por moneda Artculo 2 - (Retiros parciales). Los bancos podrn hacer retiros parciales de sus depsitos slo en cantidades de mil (1000) piezas, con la participacin del personal de Tesorera del BCB, para la verificacin del dinero retirado. Artculo 3 - (Horario de atencin de bveda del BCB). El horario de atencin de la bveda y de las cajas recibidoras habilitadas por el BCB, ser el mismo horario de atencin al pblico del sistema bancario comercial. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 1Pgina 1/4CircularSB/436/03 (07/03)Inicial ASFI/193/13 (09/13) Modificacin 1 CAPTULO II: REGLAMENTO PARA LA GESTIN DE SEGURIDAD DE LA INFORMACIN SECCIN 1:DISPOSICIONES GENERALES Artculo 1 -(Objeto)ElpresenteReglamentotieneporobjetoestablecerlosrequisitos mnimos que las entidades supervisadas sujetas al mbito de aplicacin, deben cumplir para la gestinde seguridadde lainformacin,de acuerdo a su naturaleza, tamaoycomplejidadde operaciones. Artculo 2 -(mbitodeaplicacin)Estncomprendidosenelmbitodeaplicacindel presenteReglamentolosBancos,BancosdeSegundoPiso,FondosFinancierosPrivados, Mutuales de Ahorro y Prstamo, Cooperativas de Ahorro y Crdito Abiertas, Cooperativas de AhorroyCrditoSocietarias,InstitucionesFinancierasdeDesarrollo,Sociedadesde ArrendamientoFinanciero,CmarasdeCompensacin,BursdeInformacinCrediticia,Empresas Transportadoras de Material Monetarioy/o Valores, Empresas de Serviciode Pago Mvil, Empresas Remesadoras y Almacenes Generales de Depsito, que cuenten con licencia de funcionamientoemitidaporlaAutoridaddeSupervisindelSistemaFinanciero(ASFI),en adelante la entidad supervisada. Artculo 3 -(Definiciones)ParaefectosdelpresenteReglamento,seusarnlassiguientes definiciones: a)Activodeinformacin: En seguridad de la informacin, corresponde a aquellos datos, informacin, sistemas y elementos relacionados con la tecnologa de la informacin, que tienen valor para la entidad supervisada. b)Acuerdodeniveldeservicio(SLA:ServiceLevelAgreement):Contrato en el que se estipulan las condiciones de un servicio en funcin a parmetros objetivos, establecidos de mutuo acuerdo entre un proveedor de servicio y la entidad supervisada. c)Anlisisderiesgotecnolgico:Procesoporelcualseidentificanlosactivosde informacin, sus amenazas y vulnerabilidades a los que se encuentran expuestos, con el fin de generar controles que minimicen los efectos de los posibles incidentes de seguridad de la informacin. d)readeexclusin:readeaccesorestringidoidentificadaenlasinstalacionesdela entidad supervisada. e)Bancaelectrnica:Serviciofinancieroofertadoporlasentidadesdeintermediacin financiera autorizadas, a travs de Internet u otros medios electrnicos para procesar de manera automtica el registro de datos, desarrollo de transacciones y pagos, as como el intercambio de informacin, dinero y otros. f)Centrodeprocesamientodedatos(CPD):Ambiente fsico clasificado como rea de exclusin,dondeestnubicadoslosrecursosutilizadosparaelprocesamientode informacin. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 1Pgina 2/4CircularSB/436/03 (07/03)Inicial ASFI/193/13 (09/13) Modificacin 1 g)Centrodeprocesamientodedatosalterno:Lugaralternativoprovistodeequipos computacionales,equiposdecomunicaciones,estacionesdetrabajo,enlacesde comunicaciones, fuentes de energa, accesos seguros que se encuentran instalados en una ubicacin geogrfica distinta al Centro de Procesamiento de Datos. h)Cifrar: Proceso mediante el cual la informacin o archivos es alterada, en forma lgica, incluyendo claves en el origen y en el destino, con el objetivo de evitar que personas no autorizadaspuedaninterpretarlaalverlaocopiarla,outilizarlaparaactividadesno permitidas. i)Contrasea o clave de acceso (Password): Conjunto de caracteres que una persona debe registrar para ser "reconocida" como usuario autorizado, para acceder a los recursos de un equipo computacional o red. j)Cortafuegos (Firewall): Dispositivoo conjunto de dispositivos (software y/o hardware) configurados para permitir, limitar, cifrar, descifrar el trfico entre los diferentes mbitos (de un sistema, red o redes) sobre la base de un conjunto de normas y otros criterios de maneraquesloeltrficoautorizado,definidoporlapolticalocaldeseguridad,es permitido. k)Equipocrtico:Correspondealequipodeprocesamientodedatosquesoportalas principales operaciones de la entidad supervisada. l)Hardware:Conjunto de todos los componentes fsicos y tangibles de un computador o equipo electrnico. m)Incidentedeseguridaddelainformacin: Suceso o serie de sucesos inesperados, que tienenunaprobabilidadsignificativadecomprometerlasoperacionesdelaentidad supervisada, amenazar la seguridad de la informacin y/o los recursos tecnolgicos. n)Internet:Redderedesdealcancemundialqueoperabajoestndaresyprotocolos internacionales. o)Intranet:RedinternadecomputadorasquehaciendousodetecnologadeInternet, permite compartir informacin o programas. p)Infraestructuradetecnologadeinformacin:Es el conjunto de hardware, software, redes de comunicacin, multimedia y otros, as como el sitio y ambiente que los soporta, que son establecidos para el procesamiento de las aplicaciones. q)Mediosdeaccesoalainformacin:Sonservidoresdedatosy/oaplicacin, computadorespersonales,telfonosinteligentes,terminalestipocajeroautomtico,las redes de comunicacin, Intranet, Internet y telefona.r)Plandecontingenciastecnolgicas:Documentoquecontemplaunconjuntode procedimientos y acciones que deben entrar en funcionamiento al ocurrir un evento que dae parte o la totalidad de los recursos tecnolgicos de la entidad supervisada. s)Plandecontinuidaddelnegocio(BCP:BusinessContinuityPlanning): Documento que contempla la logstica que debe seguir la entidad supervisada a objeto de restaurar los AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 1Pgina 3/4CircularSB/436/03 (07/03)Inicial ASFI/193/13 (09/13) Modificacin 1 servicios y aplicaciones crticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado, despus de una interrupcin o desastre. t)Principio de menor privilegio: Establece que cada programa y cada usuario del sistema deinformacindebeoperarutilizandolosprivilegiosestrictamentenecesariospara completar el trabajo. u)Procesocrtico: Proceso o sistema de informacin que al dejar de funcionar, afecta la continuidad operativa de la entidad supervisada. v)Procedimientodeenmascaramientodedatos: Mecanismo que modifica los datos de un determinado sistema en ambientes de desarrollo y pruebas, con el fin de garantizar la confidencialidad de la informacin del ambiente de produccin. w)Propietario de la informacin: Es el responsable designado formalmente para controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos de informacin. x)Proteccinfsicayambiental:Conjuntodeaccionesyrecursosimplementadospara proteger y permitir el adecuado funcionamiento de los equipos e instalaciones del Centro de Procesamiento de Datos ydel Centrode Procesamientode Datos Alterno, dada su condicin de reas de exclusin. y)Pruebasdeintrusin:Esunapruebacontroladaquepermiteidentificarposibles debilidades de los recursos tecnolgicos de la entidad supervisada, que un intruso podra llegaraexplotarparaobtenerelcontroldesussistemasdeinformacin,redesde computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las pruebas de intrusin pueden ser realizadas a travs de la red interna o bien desde Internet, Accesos Remotos o cualquier otro medio. z)Respaldo o copia de seguridad (Backup): Copia de datos e informacin almacenada en unmediodigital, que segeneraen forma peridica; conel propsitode utilizar dicha informacin o datos, en casos de emergencia o contingencia. aa) Seguridad de la informacin: Conjunto de medidas y recursos destinados a resguardar y protegerlainformacin,buscandomantenerlaconfidencialidad,confiabilidad, disponibilidad e integridad de la misma. bb) ServiciodePagoMvil:Conjuntodeactividadesrelacionadasconlaemisinde billeteras mviles y procesamiento de rdenes de pago a travs de dispositivos mviles, en el marco del Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB). cc) Sistemadeinformacin: Conjuntode procedimientos de recopilacin, procesamiento, transmisin y difusin de informacin; organizados y relacionados que interactan entre s para lograr un objetivo. dd) Sitio externo de resguardo: Ambiente, externo al Centro de Procesamiento de Datos, de almacenamientodetodoslosmediosderespaldo,documentacinyotrosrecursosde tecnologa de informacin catalogados como crticos, necesarios para soportar los planes de continuidad y contingencias tecnolgicas. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 1Pgina 4/4CircularSB/436/03 (07/03)Inicial ASFI/193/13 (09/13) Modificacin 1 ee) Software:Equipamiento o soporte lgico de un sistema de informacin; comprende el conjuntodeloscomponenteslgicosquehacenposiblelarealizacindetareas especficas.Elsoftwareincluye:softwaredesistema,softwaredeprogramaciny software de aplicacin. ff)Transferenciaelectrnicadeinformacin:Formadeenviar,recibirotransferiren forma electrnica, datos, informacin, archivos, mensajes, entre otros. gg) Tecnologadeinformacin(TI):Conjuntodeprocesosyproductosderivadosde herramientas(hardwareysoftware),soportesdelainformacinycanalesde comunicacin relacionados conel almacenamiento, procesamientoy transmisindela informacin. hh) Transaccin electrnica de fondos: Comprende a todas aquellas operaciones realizadas por medios electrnicos que originen cargos o abonos de dinero en cuentas. ii)Usuario del sistema de informacin: Persona identificada, autenticada y autorizada para utilizarunoomssistemasdeinformacin.Estepuedeserfuncionariodelaentidad supervisada (Usuario Interno del sistema de informacin) o cliente (Usuario Externo del sistema de informacin). Artculo 4 -(Elementos de la seguridadde lainformacin) La informacin que administra la entidad supervisada, debe contener un alto grado de seguridad, considerando mnimamente lo siguiente: a)Autenticacin:Permiteidentificar al generador de la informaciny al usuariodela misma. b)Confiabilidad: Busca proveer informacin apropiada, precisa y veraz, para el uso de las entidades supervisadas, tanto interna como externamente, que apoye el proceso de toma de decisiones. c)Confidencialidad:Garantizaquelainformacinseencuentraaccesiblenicamente para el personal autorizado. d)Cumplimiento: Busca promover el acatamiento de las leyes, regulaciones y acuerdos contractualesalasqueseencuentransujetoslosprocesosquerealizalaentidad supervisada. e)Disponibilidad: Permite la accesibilidad a la informacin en el tiempo y la forma que esta sea requerida. f)Integridad:Buscamantenerconexactitudlainformacincompletatalcualfue generada, sin ser manipulada o alterada por personas o procesos no autorizados. g)No repudio: Servicio que asegura que el emisor de una informacin no puede rechazar sutransmisinosucontenido,y/oqueelreceptorpuedanegarsurecepcinosu contenido. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 2Pgina 1/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 ASFI/193/13 (09/13)Modificacin 2 SECCIN 2:PLANIFICACIN ESTRATGICA, ESTRUCTURA Y ORGANIZACIN DE LOS RECURSOS DE TECNOLOGA DE LA INFORMACIN (TI) Artculo 1 -(Planificacinestratgica)LaentidadsupervisadadebedesarrollarunPlan Estratgico de Tecnologa de la Informacin (TI) que est alineado con la estrategia institucional, yque considere sunaturaleza, tamao, complejidadde sus operaciones, procesos,estructura y anlisis de riesgo tecnolgico realizado. Este documento debe ser aprobado por su Directorio u rgano equivalente.El nivel ejecutivo de la entidad supervisada que sea responsable de tecnologa de la informacin debe efectuar un seguimiento continuo de las tendencias tecnolgicas, as como a las regulaciones emitidasporASFIquenormensufuncionamiento,demodoquestasseanconsideradasal momento de elaborar y actualizar la planificacin estratgica del rea de TI. Artculo 2 -(Estrategia de seguridad de la informacin) La entidad supervisada como parte de su Plan Estratgicode TI, debedefinir la estrategia de seguridad dela informacin, quele permita realizar una efectiva administracin y control de la informacin. Artculo 3 -(Infraestructura delreade TI) La infraestructura del rea de tecnologa de la informacin debe ser consistente con la naturaleza, tamao y complejidad de las operaciones que realiza la entidad supervisada. Artculo 4 -(Estructuraorganizativa)Laentidadsupervisada,debeestableceruna estructuraorganizativaadecuadaaltamao,volumenycomplejidaddesusoperaciones,que delimite las funciones y responsabilidades relativas a la gestin de los recursos de tecnologa y seguridaddelainformacin,aspectosquedebenestarcontempladosenunmanualde organizacin y funciones, aprobados por su Directorio u rgano equivalente. Artculo 5 -(Comitdetecnologadelainformacin)EsteComitesresponsablede establecer las polticas, procedimientosy prioridades para la administracindeinformaciny gestin de los recursos de tecnologa de la informacin. El Comit estar conformado al menos por: un miembro del Directorio u rgano equivalente, que ser quien lo presida, el Gerente General, Ejecutivos y/o funcionarios responsables de las reas de servicios tecnolgicos y de las reas usuarias del sistema de informacin de acuerdo al tema a ser tratado, cuyo funcionamiento se sujetar a su manual de organizacin y funciones. El Comit debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones. Artculo 6 -(ComitoperativodeTI) La entidad supervisada, de acuerdo a su estructura organizativa, debe conformar un Comit Operativo de Tecnologa de la Informacin, el cul debe estar constituido por el nivel ejecutivo y los funcionarios encargados de las diferentes reas que constituyen la unidad de TI. Este Comit estar encargado de coordinar el trabajo al interior de esta unidad. LafrecuenciadelasreunionesdelComitOperativodeTIestarsujetaasumanualde organizacinyfunciones.Asimismo,lasdecisionesyacuerdosestablecidosendichoComit deben registrarse en actas que deben estar archivadas. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 2Pgina 2/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 ASFI/193/13 (09/13)Modificacin 2 Artculo 7 -(Responsabledelafuncindeseguridaddelainformacin)Conel finde establecer losmecanismos para la administracinyel controldela seguridad sobreel acceso lgicoyfsicoalosdistintosambientestecnolgicosyrecursosdeinformacin,laentidad supervisadadebeestablecerunainstanciaresponsablequeseencarguededichafuncin,de acuerdo conla naturaleza, tamao, volumen ycomplejidadde sus operaciones. Esta instancia puede corresponder a una Gerencia, J efatura, Oficial o a un Comit constituido especficamente para tratar temas relacionados a la seguridad de la informacin.Laubicacinjerrquicadelainstanciaresponsabledelaseguridaddelainformacindebe garantizar,enformadirecta,suindependenciafuncionalyoperativadelreadetecnologay sistemas de informacin, unidades operativas y de la funcin de auditora.Adicionalmente, el responsable de la funcin de la seguridad de la informacin gestionar con las instancias que correspondan en la entidad supervisada, la implementacin, revisin, actualizacin ydifusindelaPolticadeSeguridaddelaInformacin,ascomodelosprocedimientos establecidos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 3Pgina 1/4CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 SECCIN 3:ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN Artculo 1 -(Implementacin delanlisis de riesgo tecnolgico) La entidad supervisada es responsabledeefectuarelanlisisderiesgotecnolgico,acordeasunaturaleza,tamaoy complejidad de operaciones, debiendo desarrollar e implementar procedimientos especficos para este fin, que deben estar formalmente establecidos. El resultadoobtenidodel anlisisde riesgo tecnolgicoefectuadodebeestar contenidoen un informedirigidoalGerenteGeneral,parasuposteriorpresentacinalDirectoriourgano equivalente. El anlisis de riesgo tecnolgico, debe constituirse en un proceso continuo por lo cual debe ser revisado y actualizado permanentemente. Artculo 2 -(Polticasdeseguridaddelainformacin)Deacuerdoconsuestrategiade seguridad de la informacin y el anlisis de riesgo tecnolgico efectuado, la entidad supervisada debetenerformalizadasporescrito,actualizadaseimplementadaspolticasquedebenestar aprobadas por el Directorio u rgano equivalente. Las polticas de seguridad de la informacin, deben ser publicadas y comunicadas a las diferentes instancias de la entidad supervisada, en forma entendible y accesible. Laentidadsupervisada,almenosunavezalao,deberevisaryactualizarlaspolticasde seguridad de la informacin, considerando su naturaleza, tamao, cambios y complejidad de sus operaciones, asegurando la correcta implementacin de las mejores prcticas de seguridad de la informacin. Artculo 3 -(Licencias de software) Todo software utilizado por la entidad supervisada debe contar con las licencias respectivas.Laentidadsupervisada,debedefinirlosprocedimientosnecesariosparalainstalacin, mantenimiento y administracin de softwarey la custodia de las licencias. Artculo 4 -(Acuerdodeconfidencialidad)Como parte de la obligacin contractual, de los Directores,ConsejerosdeAdministracinyVigilancia,Ejecutivos,demsfuncionarios, consultores y el personal eventual, deben aceptar y firmar los trminos y condiciones del contrato de empleo en el cual se establecern sus obligaciones en cuanto a la seguridad de la informacin, en las que se debe incluir el mantenimiento de confidencialidad de la informacin a la cual tengan acceso, inclusive despus de la finalizacin de la relacin contractual. Artculo 5 -(Inventariodeactivosdeinformacin)La entidad supervisada debe contar y mantener un inventario de los activos de informacin, y asignar responsabilidades respecto a su proteccin. Artculo 6 -(Clasificacindelainformacin)Laentidadsupervisadadebeestablecerun esquemadeclasificacindelainformacin,deacuerdoasucriticidadysensibilidad, estableciendoadecuadosderechosdeaccesoalosdatosadministradosensussistemasde informacin,ascomoaladocumentacinfsica.Estaclasificacindebeserdocumentada, formalizada y comunicada a todas las reas involucradas.AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 3Pgina 2/4CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 Artculo 7 -(Propietarios de la informacin) Debe asignarse la propiedad de la informacin a un responsable de cargo jerrquico, de acuerdo al tipo de informacin y a las operaciones que desarrolla la entidad supervisada.Estasactividadesdecontroldebenrealizarseencoordinacinconlainstanciaresponsablede seguridad de la informacin establecida por la entidad supervisada. Artculo 8 -(Anlisisdevulnerabilidadestcnicas)La entidad supervisada es responsable de implementar una gestin de vulnerabilidades tcnicas, a cuyo efecto debe contar con polticas y procedimientos formales que le permitan identificar su exposicin a las mismas y adoptar las acciones preventivas y/o correctivas que correspondan. La evaluacin de vulnerabilidades tcnicas debe efectuarse por lo menos una vez por ao y ante uncambioenlainfraestructuratecnolgica.Laejecucindepruebasdeseguridaddebe considerar la realizacin de pruebas de intrusin controladas internas y/o externas.El conjunto de polticas y procedimientos que constituyen la gestin de vulnerabilidades tcnicas deben ser revisados y actualizados permanentemente. Laentidadsupervisadadebeexigiralasempresasy/opersonasqueprestanserviciosde evaluacindeseguridaddelainformacin,larespectivadocumentacinqueacreditela experiencia necesaria para realizar este tipode trabajos, adicionalmentedebegarantizar queel personal que realice las pruebas de intrusin controladas sea certificado y firme un acuerdo de confidencialidad conforme se establece en el Artculo 4 de la presente Seccin. Artculo 9 -(Clasificacindereasdetecnologadelainformacin)Laentidad supervisada debe identificar y clasificar las reas de tecnologas de la informacin como reas de exclusin que requieren medidas de proteccin y acceso restringido.Artculo 10 -(Caractersticas del centro de procesamiento de datos) La entidad supervisada debe considerar los siguientes aspectos para la instalacin del ambiente destinado al Centro de Procesamiento de Datos: a)Ubicacin del Centro de Procesamiento de Datos al interior de la entidad supervisada. b)Espacio acorde y suficiente para la cantidad de equipos instalados. c)Energa regulada de acuerdo a los requerimientos de los equipos. d)Cableado para el uso de los equipos de cmputo por medio de sistemas de ductos a travs de piso o techo falso, de acuerdo a la necesidad de la entidad supervisada. e)No almacenar papel u otros suministros inflamables y/o equipos en desuso. f)Instalacindelosservidoresylosequiposdecomunicacindeformaindependiente, debidamente asegurados, segn corresponda. Artculo 11 -(Manualesdeprocedimientos)Laentidadsupervisadadebecontarcon manuales de procedimientos de proteccin fsica para el Centro de Procesamiento de Datos, que considere mnimamente los siguientes aspectos: a)Operacin y mantenimiento del Centro de Procesamiento de Datos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 3Pgina 3/4CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 b)Administracin de accesos. c)Pruebas a dispositivos de seguridad para garantizar su correcto funcionamiento. Artculo 12 -(Proteccindeequiposinformticos) La entidad supervisada debeconsiderar que el Centro de Procesamiento de Datos debe contar al menos con los siguientes dispositivos: a)Sistemadeventilacinquemnimamentemantengalatemperaturayhumedadenlos niveles recomendados por los fabricantes de los equipos. b)Extintores de incendios (manuales y/o automticos) u otros segn las caractersticas de los equipos. c)Detectores de temperatura y humedad. d)Equipos que aseguren el suministro de energa en forma ininterrumpida y regular. e)Mecanismos para el control de ingreso y salida del Centro de Procesamiento de Datos. f)Vigilancia a travs de cmaras de CCTV (Circuito Cerrado de TV). Artculo 13 -(Suministroelctrico)Para el funcionamiento de equipos informticos, se debe utilizarunaacometidaelctricaindependientedelrestodelainstalacinelctricaparaevitar interferencias y posibles interrupciones. La capacidad de autonoma de los equipos de suministro ininterrumpido de energa debe ser consistente con el Plan de Contingencias Tecnolgicas y con el Plan de Continuidad del Negocio. Laentidadsupervisadadebeestablecermecanismosydestinarrecursosparagarantizarel suministro ininterrumpido de energa para el funcionamiento de equipos crticos y la prestacin de servicios al pblico. Artculo 14 -(Seguridaddecableadodered)Elcableadoutilizadoparaeltransportede datos de la entidad supervisada, debe cumplir con estndares de cableado estructurado. Artculo 15 -(Pruebasadispositivosdeseguridad)Losdispositivosdeseguridadfsica detallados en el Artculo 12 de la presente Seccin deben ser probados al menos dos (2) veces porao,detalformaquesegaranticesucorrectofuncionamiento.Ladocumentacinque respalde la realizacin de estas pruebas debe estar disponible cuando ASFI as lo requiera. Artculo 16 -(Destruccin controlada de medios de respaldo) En el marco de lo establecido en el Artculo 94 de la Ley N 1488 de Bancos y Entidades Financieras referido a la custodia de losdocumentosrelacionadosconsusoperaciones,microfilmadosoregistradosenmedios magnticos y electrnicos, por un periodo no menor a diez (10) aos, la entidad supervisada debe establecer procedimientos para la destruccin controlada de los medios de respaldo utilizados.Ladocumentacinqueseconstituyaeninstrumentoprobatorioenunprocesoadministrativo, judicialuotro,queseencuentrependientederesolucin,nodebeserobjetodedestruccin controlada, en resguardo de los derechos de las partes en conflicto. Artculo 17 -(Responsabilidadenlagestindeseguridaddelainformacin) Laentidad supervisada debe realizar el control y cumplimiento de lo siguiente:AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 3Pgina 4/4CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 a)LasfuncionesyresponsabilidadesdelosDirectivos,Consejeros,Ejecutivos, funcionarios,consultoresypersonaleventualdebenserdefinidasydocumentadasen concordancia con la Poltica de Seguridad de la Informacin. b)Se debe asegurar que los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual estn conscientes de las amenazas y riesgos de incidentes de seguridad delainformacin,yqueestncapacitadospara aceptarycumplirconlaPolticade Seguridad de la Informacin en el desarrollo normal de su trabajo. c)Debe existir un proceso formal disciplinario para empleados que han cometido faltas y/o violaciones a la Poltica de Seguridad de la Informacin de la entidad supervisada. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 4Pgina 1/1CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 SECCIN 4:ADMINISTRACIN DEL CONTROL DE ACCESOS Artculo 1 -(Administracindecuentasdeusuarios)Lainstanciaresponsabledela Seguridad de la Informacin debe implementar procedimientos formalizados, acordes a la Poltica deSeguridaddelaInformacin,respectoalaadministracindeusuariosdelossistemasde informacin, debiendo considerar al menos: a)Laadministracindeprivilegiosdeaccesoasistemasyalared(alta,bajay/o modificacin). b)Lacreacin,modificacinoeliminacindecuentasdeusuariosdelossistemasde informacin, debe contar con la autorizacin correspondiente. c)Lagestindeperfilesdeaccesodeberealizarsedeacuerdoalprincipiodemenor privilegio. d)Laadministracinycontroldeusuariosinternoshabilitadosparanavegacinenla Intranet e Internet. e)La asignacin y responsabilidad de hardware y software. f)La administracin de estaciones de trabajo o PC. Artculo 2 -(Administracindeprivilegios)Laentidadsupervisadadeberestringiry controlar el uso y asignacin de privilegios para las cuentas de usuario y de administracin de los sistemas de informacin, aplicaciones, sistemas operativos, bases de datos, Intranet, Internet y otros servicioso componentesde comunicacin. Dichas cuentas, deben ser objetode revisin peridica, mediante un procedimiento formalmente establecido. Los privilegios de acceso a la informacin y a los ambientes de procesamiento de informacin otorgados a los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual, deben ser removidos a la culminacin de su mandato, funciones, contrato o acuerdo; o deben ser modificados en caso de cambio. Artculo 3 -(Administracindecontraseasdeusuarios)Laentidadsupervisadadebe definirpolticasdeadministracindecontraseasquerespondanasuanlisisderiesgo tecnolgico y a buenas prcticas de seguridad de la informacin. Artculo 4 -(Monitoreo de actividades de los usuarios) Para el monitoreo de las actividades de los usuarios, la entidad supervisada debe establecer un procedimiento formalizado, con el fin de detectar incidentes de seguridad de la informacin. Artculo 5 -(Registrosdeseguridadypistasdeauditora) Con el objeto de minimizar los riesgosinternosyexternosrelacionadosconaccesosnoautorizados,prdidasydaosdela informacin,laentidadsupervisadaconbaseenelanlisisderiesgotecnolgicodebe implementarpistasdeauditoraquecontenganlosdatosdelosaccesosyactividadesdelos usuarios, excepciones y registros de los incidentes deseguridad de la informacin. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 5Pgina 1/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 SECCIN 5:DESARROLLO, MANTENIMIENTO E IMPLEMENTACIN DE SISTEMAS DE INFORMACIN Artculo 1 -(Polticasyprocedimientos)La entidad supervisada debe establecer polticas y procedimientos, para el desarrollo, mantenimiento e implementacin, de sistemas de informacin considerando las caractersticas propias relacionadas a las soluciones informticas que requiere y el anlisis de riesgo tecnolgico efectuado. Artculo 2 -(Desarrolloymantenimientodeprogramas,sistemasdeinformacino aplicacionesinformticas) La entidad supervisada que realice el desarrollo o mantenimiento de programas, sistemas de informacin o aplicaciones informticas, debe garantizar que su diseo e implementacin se enmarque en la legislacin y normativa emitida segn corresponda, as como en sus polticas internas. Artculo 3 -(Requisitosdeseguridaddelossistemasdeinformacin)Lainstancia responsable de la seguridad de la informacin de la entidad supervisada, debe considerar en el diseo de los sistemas de informacin, el establecimiento de controles de seguridad, identificados y consensuados con las reas involucradas. Artculo 4 -(Estndaresparaelprocesodeingenieradelsoftware)De acuerdo con la estructura y complejidad de sus operaciones, la entidad supervisada debe contar con metodologas estndarparaelprocesodeadquisicin,desarrolloymantenimientodelsoftware,que comprendanaspectostalescomo:estudiodefactibilidad,anlisisyespecificaciones,diseo, desarrollo, pruebas, migraciones de datos preexistentes, implementacin y mantenimiento de los sistemas de informacin. Artculo 5 -(Implementacindecontroles)Paraeldesarrolloymantenimientodelos sistemasdeinformacin,laentidadsupervisadadebeconsiderarcomomnimo,la implementacindecontrolessegnlosrequerimientosregulatoriosylanormativavigente establecida por ASFI. Artculo 6 -(Integridadyvalidezdelainformacin)Laentidadsupervisadaenel desarrollo y mantenimiento de los sistemas de informacin, debe tomar en cuenta al menos los siguientes aspectos: a)Implementar controles automatizados que permitan minimizar errores en la entrada de datos,ensuprocesamientoyconsolidacin,enlaejecucindelosprocesosde actualizacin de archivos y bases de datos, as como en la salida de la informacin. b)Verificar peridicamente que la informacin procesada por los sistemas de informacin sea integra, vlida, confiable y razonable. c)Establecer controles que limiten la modificacin y la eliminacin de datos en cuanto a movimientos, saldos, operaciones concretadas por los clientes y otros. Artculo 7 -(Controlescriptogrficos)En el desarrollo de los sistemas de informacin, la entidadsupervisadadebeimplementarmtodosdecifradoestndarquegaranticenla confidencialidad e integridad de la informacin. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 5Pgina 2/2CircularSB/436/03 (07/03)Inicial SB/443/03 (08/03)Modificacin 1 SB/466/04 (04/04)Modificacin 2 ASFI/193/13 (09/13)Modificacin 3 Artculo 8 -(Controldeaccesoalcdigofuentedelosprogramas)El acceso al cdigo fuentedeprogramasyalainformacinrelacionadacondiseos,especificaciones,planesde verificacin y de validacin, debe ser estrictamente controlado para prevenir la introduccin de funcionalidades y/o cambios no autorizados.Artculo 9 -(Procedimientos de control de cambios) La entidad supervisada debe establecer procedimientosformales(documentacin,especificacin,prueba,controldecalidade implementacin) para el control de cambios en los sistemas de informacin. Se debe documentar y resguardar cada versin del cdigo fuente de los sistemas de informacin. Artculo 10 -(Ambientesdedesarrollo,pruebayproduccin)Sedebeimplementar controlesquegaranticenlaseparacindelosambientesdedesarrollo,pruebayproduccin, acorde a la segregacin de funciones que debe existir en cada caso. Artculo 11 -(Datosdepruebaenambientesdedesarrollo)Parautilizarinformacinde produccinenlosambientesdedesarrolloypruebassedebeaplicarunprocedimientode enmascaramiento de datos a efectos de preservar la confidencialidad de dicha informacin. Artculo 12 -(Migracin de sistemas de informacin) El proceso demigracin de un sistema deinformacin,debeestarbasadoenunplandeaccinyprocedimientosespecficosque garanticen la disponibilidad, integridad y confidencialidad de la informacin. Es responsabilidad de la Gerencia General designar a la instancia que realice el control de calidad duranteelprocesodemigracin.Elmismoquedebeestardebidamentedocumentadoya disposicin de ASFI. La Unidad de Auditora Interna debe evaluar los resultados obtenidos en el proceso de migracin. Artculo 13 -(Parchesdeseguridad)Laactualizacindelsoftwareolaaplicacindeun parche de seguridad debe ser previamente autorizada en funcin a un procedimiento formalmente establecido.Estaautorizacindebeserotorgadaonosegncorresponda,considerandola estabilidad del sistema, las necesidades funcionales de la organizacin y los criterios de seguridad de la informacin establecidos en las polticas de la entidad supervisada. Adicionalmente, todo el software debe mantenerse actualizado con las mejoras de seguridad distribuidas o liberadas por el proveedor, previa realizacin de pruebas en ambientes controlados.

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 6Pgina 1/2CircularASFI/193/13 (09/13)Inicial SECCIN 6:GESTIN DE OPERACIONES DE TECNOLOGA DE INFORMACIN Artculo 1 -(Gestindeoperaciones)Lagestindeoperacionesdetecnologadela informacin,debeestarbasadaenpolticasyprocedimientosestablecidosporlaentidad supervisada, en las cuales se consideren al menos: a)Laplanificacinydocumentacindelosprocesosyactividadesquesedesarrollen dentro del Centro de Procesamiento de Datos. b)La revisin peridica de los procedimientos relacionados a la gestin de operaciones en funcin a los cambios operativos y/o tecnolgicos. Artculo 2 -(Administracin de las basesde datos) La entidad supervisada debe realizar la administracin de bases de datos, en funcin a procedimientos formalmente establecidos para este propsito, los cuales consideren mnimamente lo siguiente: a)Instalacin, administracin, migracin y mantenimiento de las bases de datos. b)Definicin de la arquitectura de informacin para organizar y aprovechar de la mejor forma los sistemas de informacin. c)Establecimiento de mecanismos de control de acceso a las bases de datos. d)Documentacin que respalde las actividades de administracin de las bases de datos. e)Realizacin de estudios de capacidad y desempeo de las bases de datos que permitan determinarlasnecesidadesdeexpansindecapacidadesy/olaafinacinenforma oportuna. Artculo 3 -(RespaldoocopiadeseguridadBackup)Laentidadsupervisadadebe efectuar copias de seguridad de todos los datos e informacin que considere necesaria para el continuo funcionamiento de la misma, cumpliendo al menos con las siguientes disposiciones: a)Contarconpolticasyprocedimientosqueasegurenlarealizacindecopiasde seguridad. b)La informacin respaldada debe poseer un nivel adecuado de proteccin lgica, fsica y ambiental, en funcin a la criticidad de la misma.c)Losmediosderespaldodebenprobarseperidicamente,afindegarantizarla confiabilidad de los mismos con relacin a su eventual uso en casos de emergencia. d)El ambiente fsicodestinado al resguardodela informacin crtica, debe contar con condiciones fsicas y ambientales suficientes para garantizar mnimamente la proteccin contra daos, deterioro y hurto. e)El sitio externo de respaldo donde se almacenan las copias de seguridad debe mantener al menos diez (10) aos de informacin crtica de la entidad supervisada.f)Cualquiertrasladofsicodelosmediosdigitalesderespaldo,deberealizarsecon controlesdeseguridadadecuados,queevitenunaexposicinnoautorizadadela informacin contenida en los mismos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 6Pgina 2/2CircularASFI/193/13 (09/13)Inicial g)Se debe realizar el etiquetado de todos los medios de respaldo y mantener un inventario actualizado de los mismos. Artculo 4 -(Mantenimientopreventivodelosrecursostecnolgicos)Laentidad supervisadadeberealizarperidicamenteelmantenimientopreventivodelosrecursos tecnolgicos que soportan los sistemas de informacin y de los recursos relacionados, mediante el establecimientoformalydocumentadodeunprocedimientoqueincluyaelcronograma correspondiente.AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 7Pgina 1/2CircularASFI/193/13 (09/13) Inicial SECCIN 7:GESTIN DE SEGURIDAD EN REDES Y COMUNICACIONES Artculo 1 -(Polticas y procedimientos) La entidad supervisada debe contar con polticas y procedimientos para la instalacin y mantenimiento del hardware y su configuracin base, a fin de asegurar que proporcionenla plataforma tecnolgicaque permita soportar las aplicaciones relacionadas con las redes y comunicaciones, y minimice la frecuencia e impacto de las fallas de desempeo de las mismas. Asimismo,debedesarrollarpolticasyprocedimientosparalacorrectaadministracindela infraestructuraderedesytelecomunicaciones.Paraesteefecto,laentidadsupervisadadebe considerar lo siguiente: a)Garantizarquelosplanesdeadquisicindehardwareysoftwarereflejenlas necesidades identificadas en el plan estratgico de TI. b)Garantizarlaproteccindelosdatosquesetrasmitenatravsdelaredde telecomunicaciones,mediantetcnicasdecifradoestndaratravsdeequiposo aplicaciones definidas para tal fin. c)Asegurarquelasredesdevozy/odatoscumplanconestndaresdecableado estructurado. d)Definir los niveles de acceso de los usuarios del sistema de informacin a las redes y servicios de red, en funcin de las autorizaciones predefinidas. e)Controlar el acceso a los puertos de diagnstico. f)Establecercontrolesdeaccesopararedescompartidas,particularmenterespectoa aquellas que se extienden a usuarios fuera de la entidad supervisada. Artculo 2 -(Estudiodecapacidadydesempeo)Laentidadsupervisadadeberealizar estudios peridicos de capacidad y desempeo del hardware y las lneas de comunicacin que permitan determinar las necesidades de expansin de capacidades y/o actualizacin de equipos en forma oportuna. Artculo 3 -(Exclusividad delrea de telecomunicaciones) El ambiente fsico en el que se encuentran instalados losequiposde telecomunicacionesdebe ser de usoexclusivo para el fin sealado,conexcepcindeldestinadoalosequiposdeseguridadoprocesamientode informacin. Artculo 4 -(Activosdeinformacincomponentesdelared)Losequiposcomo concentradores,multiplexores,puentes,cortafuegos(firewall),enrutadores,conmutadoresy componentes del cableadoestructuradode la red, debeninstalarse sobreestructuras dedicadas para equipos de telecomunicacin. Artculo 5 -(Configuracindehardwareysoftware)Laentidadsupervisada,debe establecerunregistroformalquecontengatodalainformacinreferentealoselementosde configuracindelhardware,software,parmetros,documentacin,procedimientosy herramientasparaoperar,accederyutilizarlossistemasdeinformacin.Asimismo,debe considerar los siguientes aspectos: AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 7Pgina 2/2CircularASFI/193/13 (09/13) Inicial a)Contarconprocedimientosformalmenteestablecidospara:Identificar,registrary actualizarloselementosdeconfiguracinexistentesenelrepositoriode configuraciones.b)Revisar y verificar de manera regular el estado de los elementos de configuracin para confirmar la integridad de la configuracin de datos actual e histrica. c)Revisarperidicamente,laexistenciadecualquiersoftwaredeusopersonalono autorizado que no se encuentre incluido en los acuerdos de licenciamiento actuales. Artculo 6 -(Documentacintcnica)Ladocumentacintcnicaasociadaala infraestructuraderedesytelecomunicacionesdebeconservarseactualizada,resguardaday contemplar como mnimo las siguientes disposiciones:a)Caractersticas, topologa y diagrama de red. b)Descripcin de los elementos de cableado.c)Planos de trayectoria del cableado y ubicacin de puntos de salida.d)Diagramadelsistemadeinterconexindecablesdered,distribucinderegletasy salidas.e)Certificacin del cableado estructurado de la red. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 8Pgina 1/3CircularASFI/193/13 (09/13) Inicial SECCIN 8:GESTIN DE SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES ELECTRNICAS Artculo 1 -(Requisitosdelossistemasdetransferenciaytransaccinelectrnica)Para habilitarunsistemadetransferenciaelectrnicadeinformacinotransaccinelectrnicade fondosmediantebancaelectrnicaoserviciosdepagomvil,laentidadsupervisadadebe adquirireimplementar loselementosdehardware y softwarenecesarios para la protecciny controldesuplataformatecnolgica.Adicionalmenteyenformacomplementariadebedar cumplimiento de los siguientes requisitos mnimos: a)Seguridaddelsistema:El sistema debe proveer un perfil de seguridad que garantice quelas operaciones slo puedan ser realizadas por personas debidamente autorizadas paraello,debiendoresguardar,adems,laprivacidadoconfidencialidaddela informacin transmitida o procesada por ese medio.Dichosistema,debecontenerlosmecanismosfsicosylgicosdeseguridadpara controlar y detectar cualquier alteracinointervencin a la informacin transmitida, entre el punto en que sta se origina y aquel en que es recibida por el destinatario. Los procedimientos deben asegurar que tanto el originador como el destinatario, en su caso,conozcanlaautoradelastransaccionesomensajesylaconformidaddesu recepcin,debiendoutilizarlaspolticasyprocedimientosdeseguridaddela informacinindicadasenelArtculo2delaSeccin3delpresenteReglamento, incluyendomtodosdecifradoestndardedatos,quepermitanasegurarsu confiabilidad, no repudio, autenticidad e integridad. Laentidadsupervisada,esresponsabledeimplementarmecanismosdecontrolde accesoy/o contraseas adicionales a los clientes, as comodelnivelde robustez del sistemadeautenticacinpara aquellastransaccionesqueseanrealizadasatravsde Internet, caso contrario no se podr atribuir ninguna responsabilidad a un usuario del sistemaenelcasodequesematerialiceunfraudeatravsdeestossistemasde transacciones y transferencias electrnicas. Elmecanismodeaccesoy/ocontraseaalSistemaWebdebeserdiferenteal mecanismo que permita realizar transferencias de fondos en lnea. b)Canaldecomunicacin:Laentidadsupervisadadebemantenerpermanentemente abierto y disponible un canal de comunicacin que permita al cliente realizar consultas ysolicitarelbloqueodecualquieroperacinqueintenteefectuarseutilizandosus medios de acceso a la informacin o claves de autenticacin. Cada sistema que opere en lnea y en tiempo real, debe permitir dicho bloqueo tambin en tiempo real. Todainformacinrelacionadaatransferenciaytransaccioneselectrnicas,debe contemplar enloscanalesdecomunicacinmecanismosde cifradoestndar durante todo el flujo operativo de los sistemas de informacin tanto al interior como al exterior de la entidad supervisada.

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 8Pgina 2/3CircularASFI/193/13 (09/13) Inicial c)Difusin de polticas de seguridad: La entidad supervisada debe difundir sus polticas de seguridad relativas al temade transferenciasy transaccioneselectrnicas tanto al interior de la misma, como a los clientes externos que utilizan dicho sistema. d)Certificacin:LaexistenciadelaspginasWebutilizadasporlasentidades supervisadas, debe estar avalada en cuanto a su propiedad y seguridad de la informacin expuesta, por una certificadora nacional o internacional. En el caso de la certificadora nacional, sta debe estar respaldada por una certificadora internacional. e)Continuidad operativa: La entidad supervisada, debe contar con procesos alternativos quepuedanasegurarlacontinuidaddetodoslosprocesosdefinidoscomocrticos relacionados con los servicios de transferencias y transacciones electrnicas. Es decir, lasinstalacionesyconfiguracionesdelosequipos,sistemasydelasredesdeben garantizar la continuidad delas operaciones frente a eventos fortuitosodeliberados, para lo cual debe considerar lo previsto en la Seccin 10, del presente Reglamento. f)Disponibilidaddelainformacin(informes):Lossistemasdetransacciny transferencia electrnica de fondos deben generar la informacin necesaria para que el clientepuedaconciliarlosmovimientosdedineroefectuados,tantoporterminales comoporusuariohabilitado,incluyendo,cuandocorresponda,totalesdelas operaciones realizadas en un determinado perodo. g)Registro de pistas de auditora: Los sistemas utilizados, adems de permitir el registro yseguimientontegrodelasoperacionesrealizadas,debengenerararchivosque permitanrespaldarlosantecedentesdecadaoperacinelectrnica,necesariospara efectuar cualquier seguimiento, examen o certificacin posterior, tales como, fechas y horas en que se realizaron, contenido de los mensajes, identificacin de los operadores, emisoresy receptores, cuentas ymontos involucrados, as comola identificacinde terminales desde las cuales se realizaron. La conservacin de esta informacin se regir por lo establecido en el Artculo 94 de la LeyN1488deBancosyEntidadesFinancierasreferidoalacustodiadelos documentos relacionados con sus operaciones, microfilmados o registrados en medios magnticos y electrnicos, por un periodo no menor a diez (10) aos. h)Verificacinycontroldetransaccionesytransferenciaselectrnicas:Laentidad supervisada debe implementar mnimamente las siguientes medidas de seguridad:i.Regionalizacin de operaciones electrnicas nacionales e internacionales de los clientes. ii.Fijar lmites monetarios en transferencias y transacciones electrnicas. i)Acuerdosprivados:Paralarealizacindetransaccionesy/otransferenciasde informacin entre entidades supervisadas, BCB, ASFI, usuarios y todas las que estn relacionadas con la actividad de intermediacin financiera, deben celebrarse acuerdos privados que estn debidamente firmados y protocolizados entre las partes interesadas y que consideren las medidas de seguridad que se indican en el Artculo 2 de la Seccin 3 del presente reglamento. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 8Pgina 3/3CircularASFI/193/13 (09/13) Inicial Artculo 2 -(Contrato formal) Debe celebrarse un contrato entre la entidad supervisada y el cliente, en el cual queden claramente establecidos los derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrnicas. Este contrato debe contener de manera enunciativa y no limitativa, los siguientes puntos: a)El cliente, ser responsable exclusivo del uso y confidencialidad de la clave de acceso, queutilizarensusoperaciones.Ademssedebeindicar,quelacontraseaser bloqueada automticamente despus de tres intentos fallidos, as como el procedimiento para su desbloqueo debe estar claramente especificado. b)El tipo de operaciones que puede efectuar el cliente. c)Elhorarioyconsideracionesdecierrediariodecadaentidadsupervisada,juntoal procedimiento alternativo en caso de que el servicio no est disponible. d)Las medidas de seguridad que ha tomado la entidad supervisada para la transferencia electrnica de informacin y transaccin electrnica de fondos. e)Los sistemas que permitan ejecutar transacciones con fondos, adems de reconocer la validez de la operacin que el cliente realice, deben controlar que los importes girados no superen el saldo disponible o el lmite que para el efecto haya sido fijado por ste, salvolaexistenciapreviadecontratosdeanticipooadelantoencuenta,debiendo cumplir para tal efecto con las formalidades del Cdigo de Comercio y reglamentacin vigente. f)Todaslascondiciones,caractersticasycualquierotraestipulacindeterminanteque conlleve el uso de este servicio.Artculo 3 -(Cifradodemensajesyarchivos)Paraqueunaentidadsupervisada,efecte transferenciaselectrnicasdeinformacinytransaccioneselectrnicasdefondos,debetener implementado un sistema de cifrado estndar que garantice como mnimo que las operaciones realizadas por los usuarios internos o externos de los sistemas de informacin sean efectuadas en un ambiente seguro y no puedan ser observadas por usuarios no autorizados. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 9Pgina 1/2CircularASFI/193/13 (09/13) Inicial SECCIN 9:GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN Artculo nico -(Gestindeincidentesdeseguridaddelainformacin)Laentidad supervisadadebetenerformalizadoporescrito,actualizado,implementadoyaprobadoporel Directorio u rgano equivalente, un procedimiento para la gestin de incidentes de seguridad de la informacin, en concordancia con el Plan de Contingencias definido en el Artculo 1, Seccin 10 del presente Captulo. Este procedimiento debe contar mnimamente con lo siguiente:a)Responsabilidadesyprocedimientos:LaGerenciaGeneraldebeestablecer formalmente las responsabilidades y procedimientos para asegurar una rpida, efectiva y ordenada respuesta a los incidentes de seguridad de la informacin. b)Registro, cuantificacin y monitoreo de incidentes de seguridad de la informacin: La entidad supervisada debe establecer los mecanismos necesarios que permitan que los tipos,volmenesycostosdelosincidentesdeseguridaddelainformacinsean registrados, cuantificados y monitoreados. De igual manera, debe ejecutar las acciones correctivas oportunas. c)Clasificacindeincidentesdeseguridaddelainformacin: La entidad supervisada debe considerar al menos las siguientes categoras:A.Prdida de servicio, equipo o instalaciones. B.Sobrecargo o mal funcionamiento del sistema. C.Errores humanos. D.Incumplimiento de polticas o procedimientos. E.Deficiencias de controles de seguridad fsica. F.Cambios incontrolables en el sistema. G.Mal funcionamiento del software o hardware. H.Violacin de accesos.I.Cdigo malicioso. J.Negacin de servicio. K.Errores resultantes de datos incompletos o no actualizados. L.Violaciones en la confidencialidad e integridad de la informacin. M.Mal uso de los sistemas de informacin. N.Accesosnoautorizadosexitosos,sinperjuiciosvisiblesacomponentes tecnolgicos. O.Intentos recurrentes y no recurrentes de acceso no autorizado. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 9Pgina 2/2CircularASFI/193/13 (09/13) Inicial d)Registrodeincidentesdeseguridaddelainformacin:La entidad supervisada para efectosde control, seguimiento y solucin,debemantener una basededatos para el registro de los incidentes de seguridad de la informacin que considere la clasificacin establecida en el inciso c) del presente artculo. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 10Pgina 1/2CircularASFI/193/13 (09/13) Inicial SECCIN 10:CONTINUIDAD DEL NEGOCIO Artculo 1 -(Plandecontingenciastecnolgicas)Laentidadsupervisadadebetener formalizadoporescrito,actualizado,implementadoyaprobadoporelDirectoriourgano equivalente,undocumentodenominadoplandecontingenciastecnolgicas,queconsidere mnimamente: a)Objetivo del plan de contingencias tecnolgicas. b)Metodologa del plan de contingencias tecnolgicas que incluya lo siguiente: i.Anlisis de riesgo tecnolgico. ii.Definicin de eventos que afecten la operacin de los sistemas de informacin. iii.Definicin de procesos crticos relacionados a los sistemas de informacin. c)Procedimientos de recuperacin de operaciones crticas para cada evento identificado en el inciso b), numeral ii) del presente artculo. d)Descripcin de responsabilidades, funciones e identificacin del personal que ejecutar el plan. e)Medidas de prevencin. f)Recursos mnimos asignados para la recuperacin. g)Convenios realizados para la recuperacin. h)Revisin anual y evaluaciones ms frecuentes del plan de contingencias tecnolgicas de acuerdo con el anlisis de riesgo tecnolgico efectuado y/o los incidentes de seguridad de informacin acontecidos. i)Pruebas al plan de contingencias tecnolgicas. j)Situaciones no cubiertas y supuestos. Artculo 2 -(Plandecontinuidaddelnegocio-BCP)Laentidad supervisadadebe tener formalizadoporescrito,actualizado,implementadoyaprobadoporelDirectoriourgano equivalente, un plan de continuidad del negocio, que incluya al menos: a)Inicio del proyecto. b)Anlisis de riesgo tecnolgico. c)Anlisis de impacto al negocio (BIA: Business Impact Analysis). d)Desarrollo de estrategias para el BCP. e)Respuesta ante emergencias. f)Desarrollo e implementacin del BCP. g)Programa de Concientizacin y Capacitacin. h)Mantenimiento y Ejercicio del BCP. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 10Pgina 2/2CircularASFI/193/13 (09/13) Inicial i)Comunicacin de crisis. Artculo 3 -(Capacitacinenlaaplicacindelosplanesdecontingenciastecnolgicasy decontinuidaddelnegocio)Laentidadsupervisadadebeasegurarsequetodaslaspartes involucradas en los planes de contingencias tecnolgicas y de continuidad del negocio reciban sesiones de capacitacin de forma regular respecto a los procesos, sus roles y responsabilidades en caso de presentarse algn incidente de seguridad de la informacin. Artculo 4 -(Pruebasdelosplanesdecontingenciastecnolgicasycontinuidaddel negocio)Laentidadsupervisadadebeefectuaralmenosunapruebaalaodelosplanesde contingencias tecnolgicas y continuidad del negocio, debiendo los resultados de ambas pruebas ser exitosas en toda su dimensin, caso contrario se deben ejecutar las acciones correctivas que correspondan y ejecutar las pruebas necesarias hasta cumplir con el objetivo planteado.La entidad supervisada debe documentar la realizacin de las pruebas y de la implementacin de los planes de accin correctivos o preventivos que correspondan. El cronograma de realizacin de pruebas, conforme a los planes de contingencias tecnolgicas y de continuidad del negocio para lagestinqueseplanifica,debeserremitidoaASFIparasuconocimiento,hastael20de diciembre del ao anterior a su ejecucin. El alcance de las pruebas de recuperacin debe considerar aplicaciones individuales, escenarios depruebasintegrados,pruebasdepuntaapuntaypruebasintegradasconelproveedor.El resultado de stas debe estar disponible para ASFI. Artculo 5 -(Controldelosplanesdecontingenciastecnolgicasydecontinuidaddel negocio)Laentidadsupervisadaatravsdelosfuncionariosinvolucradosenlaspruebasy ejecucindelosplanesdecontingenciastecnolgicasydecontinuidaddelnegocio,es responsable de mantener los niveles de seguridad definidos para cada etapa del mismo.Artculo 6 -(Establecimientodelcentrodeprocesamientodedatosalterno)Laentidad supervisadadebe contar con unmecanismo alternode procesamientode informacinque sea consistenteconsunaturalezaytamaoyestdeacuerdoalanlisisderiesgotecnolgico realizado y a la criticidad de sus operaciones, el cual le permita dar continuidad a los servicios queofrece. En casode ocurrir una contingencia queinterrumpa las operaciones del Centro de Procesamientode Datos principal,el centro alternodeber funcionar hasta que se resuelva la contingencia. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 11Pgina 1/4CircularASFI/193/13 (09/13) Inicial SECCIN 11:ADMINISTRACIN DE SERVICIOS Y CONTRATOS CON TERCEROS RELACIONADOS CON TECNOLOGA DE LA INFORMACIN Artculo 1 -(Administracin de servicios y contratos con terceros) La entidad supervisada debe contar con polticas y procedimientos para la administracin de servicios y contratos con terceros, a fin de asegurar que los servicios y contratos requeridos sean provistos en el marco de unadecuadoniveldeserviciosqueminimicenelriesgorelacionadoyseenmarquenenlas disposiciones contenidas en el presente Reglamento segn corresponda. La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para la administracin de servicios y contratos con terceros. Artculo 2 -(Evaluacinyseleccindeproveedores)Para la contratacinde proveedores externosdetecnologadeinformacin,laentidadsupervisadadebeposeerunprocedimiento documentadoyformalizadopararealizarlaevaluacinyseleccindelosmismos,previoa proceder con su contratacin. Artculo 3 -(Procesamientodedatosoejecucindesistemasenlugarexterno)Para la contratacin de empresas encargadas del procesamiento de datos o ejecucin de sistemas en lugar externo, la entidad supervisada debe considerar al menos los siguientes aspectos: a)Es deber del Directorio u rgano equivalente, Gerencia General y dems administradores responsables, asegurarse que la empresa proveedora cuente con la experiencia y capacidad necesarias para el procesamiento de datos relacionados al giro de la entidad supervisada y que respondan a las caractersticas del servicio que se desea contratar. b)Lainfraestructuratecnolgicaylossistemasqueseutilizarnparalacomunicacin, almacenamientoyprocesamientodedatos,debenofrecerlaseguridadsuficientepara resguardar permanentementela continuidadoperacional,la confidencialidad, integridad, exactitudycalidaddela informacinylosdatos.Asimismo, sedebeverificar quelas condiciones garantizan la obtencin oportuna de cualquier dato o informacin que necesite, parafinesdelaentidadsupervisadaoparacumplirconlosrequerimientosdelas autoridades competentes, como es el caso de la informacin que en cualquier momento puede solicitar ASFI. c)Esresponsabilidaddelaentidadsupervisada,verificaryexigiralproveedorde tecnologasdeinformacinelcumplimientodelaspolticasyprocedimientosde seguridad de la informacin pertinentes del presente Reglamento.d)Esresponsabilidaddelaentidadsupervisadaasegurarlasmedidasnecesariasque garanticen la continuidad operacional del procesamiento de datos, en caso de cambio de proveedor externo u otro factor no previsto. e)En caso dequeel procesamientodedatos se realice fuera del territorionacional, la entidadsupervisadadebecomunicarestasituacinaASFI,adjuntandolasiguiente documentacin:i.Detalle de las actividades descentralizadas. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 11Pgina 2/4CircularASFI/193/13 (09/13) Inicial ii.Descripcin del entorno de procesamiento. iii.Lista de encargados del procesamiento. iv.Responsables del control de procesamiento. v.Informedel Gerente General, dirigido alDirectorio u rganoequivalente,que seale el cumplimiento de lo dispuesto en los incisos precedentes.Dichadocumentacindebepermaneceractualizadaenlaentidadsupervisada,a disposicin de ASFI. f)El Gerente General de la entidad supervisada debe remitir anualmente a ASFI hasta el 31 de marzo de cada ao, un informe con carcter de declaracin jurada refrendado por el auditor interno, en el que se especifique que el sistema de procesamiento de datos, cumple con los criterios establecidos en el presente Reglamento. Artculo 4 -(Contratoconproveedordeprocesamientoexterno)Es responsabilidaddel Directorio u rgano equivalente y el Gerente General de la entidad supervisada, la suscripcin delcontrato conlaempresa proveedora delos serviciosde procesamiento,elqueentreotros aspectos debe especificar lo siguiente: a)La naturaleza y especificaciones del servicio de procesamiento contratado. b)Laresponsabilidadqueasumelaempresaproveedora,paramantenerpolticasy procedimientos que garanticen la seguridad de la informacin, el secreto bancario y la confidencialidaddelainformacin,enconformidadconlalegislacinboliviana,as como para prever prdidas, atrasos o deterioros de la misma. c)La responsabilidadqueasumelaempresaproveedoradetecnologasencasodeser vulneradossussistemas,yaseaporataquesinformticosinternosy/oexternos, deficiencias en la parametrizacin, configuracin y/o rutinas de validacin inmersas en el cdigo fuente. d)Lafacultaddelaentidadsupervisada,parapracticarevaluacionesperidicasenla empresa proveedora del servicio, directamente o mediante auditoras independientes.La entidad supervisada debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnologa de informacin a disposicin de ASFI. Artculo 5 -(Adquisicin de sistemas de informacin) La entidad supervisada debe evaluar la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisicin, en base a un anlisis que considere como mnimo lo siguiente:a)Fuentes alternativas para la compra. b)Revisin de la factibilidad tecnolgica y econmica. c)Anlisis de riesgo tecnolgico y de costo-beneficio. d)Eleccin del proveedor, que permita un nivel de dependencia aceptable. e)Disponibilidad de cdigo fuente. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 11Pgina 3/4CircularASFI/193/13 (09/13) Inicial Asimismo, los contratos con el proveedor deben indicar los requisitos de seguridad establecidos por la entidad supervisada. Si la funcionalidad del producto ofrecido, no satisface los requisitos de seguridad de la informacin establecidos por la entidad supervisada, se debe reconsiderar los riesgos y controles asociados antes de adquirir el producto. Artculo 6 -(Desarrollo ymantenimiento de programas, sistemas o aplicacionesa travs deproveedoresexternos)Paralacontratacindeempresasencargadasdeldesarrolloy mantenimiento de sistemas de informacin, la entidad supervisada debe considerar al menos los siguientes aspectos: a)Es deber del Gerente General y de los administradores responsables, asegurarse que la empresacontratadacuenteconsolidezfinanciera,organizacinypersonalcon conocimientoyexperienciaeneldesarrollodesistemasy/oenserviciosfinancieros relacionados al giro de la entidad supervisada; asimismo, asegurarse que sus sistemas de controlinternoyprocedimientosdeseguridaddelainformacin,respondenalas caractersticas del servicio que se requiere contratar. b)Lainfraestructuratecnolgica,sistemasoperativosylasherramientasdedesarrollo, referidos a licencias de software, que se utilizarn estn debidamente licenciados por el fabricante o representante de software. c)Esresponsabledeasegurarlaadopcindemedidasquegaranticenlacontinuidaddel desarrollo de sistemas, en caso de cambio de proveedor externo u otro factor no previsto. d)Es responsable de exigir al proveedor de tecnologas de informacin que cumpla con las polticas y procedimientos de seguridad de la informacin sealados en el Artculo 1 de la presente Seccin. Artculo 7 -(Contratoconempresasencargadasdeldesarrolloymantenimientode programas,sistemasoaplicaciones)Elcontratoconempresasdedesarrolloexternodebe contener como mnimo las siguientes clusulas: a)Sedebeaclararaquienpertenecelapropiedadintelectualenelcasodedesarrollode programas, sistemas o aplicaciones. b)Se debe indicar en detalle la plataforma de desarrollo, servidores, sistemas operativos y las herramientas de desarrollo, tales como lenguaje de programacin y sistema de gestin de base de datos. c)El proveedor debe tener el contrato del personal que participa en el proyecto, actualizado y con clusulas de confidencialidad para el manejo de la informacin. Adicionalmente, debe enviar al cliente - entidad supervisada - el currculo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales. d)Se debe indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo, incluyendo las pruebas de programas. e)Conla finalidadde proteger alaentidad supervisada, junto alasclusulasnormalesde condiciones de pago se debe establecer multas por atrasos en la entrega. Al mismo tiempo, indemnizacin por daos y perjuicios en caso de fraudes o ataques informticos. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 11Pgina 4/4CircularASFI/193/13 (09/13) Inicial f)En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores de la entidad supervisada, debe regirse y cumplir las polticas y procedimientos de la misma en lo referido a la seguridad de la informacin. g)Al trminodel proyecto, al adquirir un producto previamentedesarrolladoy/ocuandoel proveedornoestendisponibilidaddecontinuaroperandoenelmercado,laentidad supervisada debe asegurarse el acceso oportuno a los programas fuentes.h)Acorde alos cambios realizados al sistemadeinformacin,laentidadsupervisadadebe asegurarsedequeelproveedoractualiceyentreguemnimamentelasiguiente documentacin: 1)Diccionario de datos. 2)Diagrama Entidad Relacin (ER). 3)Manual tcnico. 4)Manual de usuario. 5)Documentacin que especifique el flujo de la informacin entre los mdulos y los sistemas. Artculo 8 -(Otros servicios) La entidad supervisada podr tercerizar otros servicios como el mantenimientodeequipos,soportedesistemasoperativos,hospedajedesitiosWeb,paralos cuales debe considerar al menos los siguientes aspectos: a)Tipo de servicio. b)Soporte y asistencia. c)Seguridad de datos. d)Garanta y tiempos de respuesta del servicio. e)Disponibilidad del servicio. f)Multas por incumplimiento.Artculo 9 -(Acuerdo de nivel de servicio - SLA) La entidad supervisada de forma previa a la contratacin de un proveedor externo de tecnologa de informacin, debe establecer un SLA en el contrato respectivo, de acuerdo a su anlisis de riesgo tecnolgico y de acuerdo a la criticidad de sus operaciones.LosparmetrosdelSLA,puedenreferirsealtipodeservicio,soporteyasistenciaaclientes, provisiones para seguridad y datos, garantas del sistema y tiempos de respuesta, disponibilidad del sistema, conectividad, multas por cada del sistema y/o lneas alternas para el servicio. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 12Pgina 1/1CircularASFI/193/13 (09/13) Inicial SECCIN 12:ROL DE LA AUDITORA INTERNA Artculo nico (Auditora Interna) La Unidad de auditora interna es un elemento clave en la gestindeseguridaddelainformacin,debiendoentreotras,cumplirconlassiguientes funciones: a)VerificarelcumplimientodelpresenteReglamento,enlosdocemesesprecedentes, debiendo la entidad supervisada remitir a ASFI hasta el 15 de enero de cada ao, o el siguiente da hbil en caso de feriado o fin de semana, el informe elaborado. Dicha labor podr realizarse a travs, de evaluaciones internas y/o externas. b)Verificar la ejecucin delas pruebas solicitadas enelArtculo 8 de la Seccin 3, del presente Captulo y comunicar el resultado del anlisis de vulnerabilidades a ASFI, hasta el 15de noviembrede cada ao,oel siguientedahbilen casode feriadoo finde semana a travs del informe elaborado por la Unidad de auditora interna. c)Emitiruninformesobreelresultadodelaspruebasrealizadasalosplanesde contingencias tecnolgicas y de continuidad del negocio.

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 13Pgina 1/1CircularASFI/193/13 (09/13) Inicial SECCIN 13:OTRAS DISPOSICIONES Artculo 1 -(Responsabilidad) El Gerente General de la entidad supervisada, es responsable del cumplimiento, implementacin y difusin interna del presente Reglamento. Artculo 2 -(Normasyestndaresinternacionalesaplicables)Encasodeexistir situaciones no previstas en el presente Reglamento, la entidad supervisada, debe aplicar normas y/oestndaresinternacionalesde Tecnologas de Informacin y Seguridaddela Informacin, debiendo identificar la referencia de la(s) norma(s) y/o estndares utilizados en sus polticas. Artculo 3 -(Herramientasinformticas)Pararealizarevaluacionesdeseguridaddela informacin y auditora de sistemas a entidades supervisadas, ASFI podr utilizar herramientas informticas cuando lo considere pertinente. Asimismo, ASFI podr evaluar a la entidad supervisada de acuerdo a su naturaleza, tamaoy complejidad de sus operaciones, aplicando normas y/o estndares internacionales de Tecnologas de Informacin y Seguridad de la informacin. Artculo 4 -(Sanciones)ElincumplimientooinobservanciaalpresenteReglamentodar lugar a la aplicacin del Artculo 99 de la Ley N 1488 de Bancos y Entidades Financieras y a lo dispuesto por elReglamentode SancionesAdministrativas contenidoen la RNSF a travsde proceso administrativo sancionatorio establecido en la Ley de Procedimiento Administrativo N 2341 de 23 de abril de 2002 y en el Reglamento a la Ley de Procedimiento Administrativo para el Sistema de Regulacin Financiera SIREFI aprobado mediante Decreto Supremo N 27175 de 15 de septiembre de 2003. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IISeccin 14Pgina 1/1CircularASFI/193/13 (09/13) Inicial SECCIN 14:DISPOSICIONES TRANSITORIAS Artculonico(Adecuacinycronograma)Laentidad supervisadadebe cumplir con las disposiciones establecidas en el presente Reglamento hasta el 31 de diciembre de 2014.La entidad supervisada debeelaborar un cronograma para el cumplimientoy adecuacin ala presentenormativa,elcualdebeseraprobadoporsuDirectoriourganoequivalentey permanecer a disposicin de ASFI. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo IIISeccin 1Pgina 1/4CircularASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 CAPTULO III:REGLAMENTO PARA LA GESTIN DE SEGURIDAD FSICA SECCIN 1:ASPECTOS GENERALES Artculo 1 -(Objeto)ElpresenteReglamentotieneporobjetoestablecerlineamientosy condicionesparalaGestindeSeguridadFsica,quedebenimplementarlasEntidadesde Intermediacin Financiera (EIF) y las Empresas de Servicios Financieros Complementarios para la prestacin de servicios a sus clientes y usuarios. Artculo 2 -(mbitodeaplicacin)Seencuentransujetosalmbitodeaplicacindel presenteReglamento,losBancos,MutualesdeAhorroyPrstamo,EntidadesFinancierasde Vivienda,CooperativasdeAhorroyCrditoAbiertas,CooperativasdeAhorroyCrdito Societarias,InstitucionesFinancierasdeDesarrollo,EmpresasdeArrendamientoFinanciero, Empresas de Servicios de Pago Mvil, Casas de Cambio, Empresas de Giro y Remesas de Dinero yEmpresasdeTransportedeMaterialMonetarioyValores,quecuentenconlicenciade funcionamientootorgadaporlaAutoridaddeSupervisindelSistemaFinanciero(ASFI), denominadas en adelante entidades supervisadas. Artculo 3 -(Definiciones)Paraefectosdelasdisposiciones,contenidasenelpresente Reglamento, se considerarn las siguientes definiciones: a)readeexclusin:readeaccesorestringidoidentificadaenlasinstalacionesdela entidad supervisada;b)Botn de pnico: Dispositivo electrnico que genera una seal de auxilio no audible que comunica la ocurrencia de un incidente de seguridad fsica a la central de monitoreo; c)Bvedaprincipal:rea destinada a la custodia y atesoramiento del material monetario y/o valores; d)Bvedaauxiliar:rea destinada a la custodia y atesoramiento transitorio del material monetario y/o valores, durante la atencin de las operaciones y/o al cierre del da; e)Cajafuertebveda:Equipo fsico destinado a la custodia y atesoramiento del material monetario y/o valores; f)Caja fuerte auxiliar: Equipo fsico destinado a la custodia y atesoramiento transitorio de unaparte del material monetario y/o valores; g)Caja tipo buzn: Permite el atesoramiento transitorio de material monetario y/o valores con ubicacin en el rea de ventanillas de atencin al pblico; h)Camino de ronda: Recorrido que el guardia privado o polica de seguridad, realiza a lo AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo IIISeccin 1Pgina 2/4CircularASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 largo de los pasillos, salidas de emergencia, gradas, reas de carga o descarga, garajes, reas comunes y otras reas, con el objeto de velar por la integridad fsica de las personas y la seguridad de los activos de la entidad; i)Circuitocerradodetelevisin:Sistema de transmisin de imgenes compuesto por un nmerodeterminadodecmarasquetransmitenlassealescapturadasaunooms monitores, que forman un conjunto cerrado y limitado, en adelante CCTV; j)Centraldemonitoreo:rea de exclusin donde estn instaladas las centrales para la recepcin de seales provenientes de los sistemasde alarma y almacenamiento de las grabaciones de las cmaras de Circuito Cerrado de TV (CCTV); k)Corresponsalfinanciero:Puedesercorresponsalfinanciero,laEntidadde IntermediacinFinancieraconLicenciaFuncionamiento,laCooperativadeAhorroy Crdito Societario, previa autorizacin de ASFI, la Institucin Financiera de Desarrollo conCertificadodeAdecuacin,laEmpresadeTransportedeMaterialMonetarioy Valores y la Casa de Cambio con Personalidad J urdica, que cuenten con Licencia de Funcionamiento; l)Corresponsal no financiero: Es la persona natural o jurdica legalmente constituida que norealizaactividadesdeintermediacinfinancieraodeserviciosfinancieros complementarios; m)Contactomagntico:Dispositivoelectrnicoqueseactivaalsepararuncontacto elctrico de un imn, rompiendo el campo magntico y activando el sistema de alarma, utilizado para el control de apertura de puertas y ventanas; n)Detectorinercial:Dispositivoelectrnicoqueactivaelsistemadealarmaantela deteccin de vibraciones en el suelo o paredes; o)Diagnsticodeseguridadfsica:Resultadodelanlisisqueserealizaala infraestructura, entorno y medidas de seguridad fsica de una entidad supervisada, que tiene como fin conocer las caractersticas especficas, vulnerabilidades y amenazas a las que estn expuestas las instalaciones, operaciones y/o servicios de la entidad supervisada; p)Empresa privada de vigilancia: Empresa privada autorizada por la instancia competente para prestar servicios remunerados de seguridad fsica a entidades financieras y empresas de servicios financieros complementarios, que incluyen la provisin de guardias, sistemas de alarma, monitoreo y/o vigilancia motorizada entre otros; q)Equipoanti-skimming:Equipo instalado en el cajero automtico que previene el robo de identidad y reduce el fraude; AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo IIISeccin 1Pgina 3/4CircularASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 r)Gestindeseguridadfsica:Conjunto de objetivos, polticas, procedimientos, planes y acciones que implementa la entidad supervisada con el objeto de proteger la integridad fsicadelaspersonas,ascomolosactivosqueseencuentrenbajosucustodia,enel interior o fuera de sus instalaciones, asimismo, la seguridad de su personal cuando estos realicen operaciones y servicios fuera de las dependencias de la entidad; s)Guardiaprivado:Personaldependientedeunaempresaprivadadevigilancia, autorizada por la instancia competente, que vigila, protege y custodia la integridad fsica de las personas y/o activos asignados; t)Grupoelectrgeno:Equipogeneradordeelectricidadpormediodeunmotorde combustininterna,quegarantizaelsuministroininterrumpidodeenergaparalos sistemas elctricos de seguridad fsica; u)Incidentedeseguridadfsica:Cualquier evento o acontecimiento que causa daos o prdidas de vidas humanas, activos e imagen institucional de la entidad supervisada; v)Medidasdeseguridadfsica:Sonlosprocesosfsicos,humanosytecnolgicos adoptadosporlaentidadsupervisadaqueenformaaisladaocombinada,minimizan, retardan,impideny/oneutralizanriesgosdeincidentesdeseguridadfsicaysus consecuencias; w)Nivel de riesgo ante incidentes de seguridad fsica: Es el grado de exposicin a daos o prdidas ocasionadas por incidentes de seguridad fsica; x)Particionado:Es el procedimiento por el cual se divide un sistema de alarma en dos o ms reas de forma que puedan activarse o desactivarse en forma independiente; y)PersonaldeVigilancia:PersonalpertenecientealaPolicaBolivianaoEmpresas PrivadasdeVigilanciaquebrindaseguridadalaspersonasenlasinstalacionesylos activos de la entidad; z)Plandeseguridadfsica:Documentoaprobadoporlainstanciacompetente,que estableceloscursosdeaccin,mediosyrecursosquesernimplementadospara proporcionar seguridad fsica en las instalaciones de la entidad supervisada, as como a las operaciones y servicios que realice; aa) Policadeseguridad:Personal de la Polica Boliviana provisto de armas de fuego, que prestaserviciosdeprotecciny/ocustodiadelaintegridadfsicadelaspersonasy/o activos asignados; bb) PuntodeAtencinFinanciero(PAF):Instalacinoestablecimientoequipadopara realizaroperacionesdeintermediacinfinancieraoserviciosfinancieros AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3 Ttulo VII Captulo IIISeccin 1Pgina 4/4CircularASFI/146/12 (10/12) Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 complementarios,segncorresponda,enelmarcodelaLeyN393deServicios Financieros(LSF)enelterritorionacionalydeacuerdoaloestablecidoenla Recopilacin de Normas para Servicios Financieros (RNSF); cc)Sensorinfrarrojo:Dispositivo electrnico que emite un rayo infrarrojo continuo, cuya interferencia por elementos extraos, activa el sistema de alarma; dd) Sensorderupturadecristal:Dispositivoelectrnicoquedetectalasfrecuenciasdel sonido que producen los vidrios al astillarse, a travs de un micrfono instalado en su interior; ee)Sensorssmico:Dispositivo electrnico que detecta golpes o vibraciones, instalados en el suelo o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda; ff)Sirenas de Alarma: Dispositivo que emite sonidos y luces de alarma u otros elementos disuasivosquealertenalostransentesopersonaldevigilanciadeunincidentede seguridad fsica; gg) Skimming: Robo de informacin de tarjetas de dbito o crdito al momento de efectuar una transaccin, con la finalidad de reproducir o clonar la tarjeta de crdito o dbito para su posterior uso fraudulento; hh) Vigilanciamotorizada:Patrullajedisuasivorealizadoporunidadesmotorizadasalas instalaciones de la entidad supervisada; ii)Transportedematerialmonetarioy/ottulosvalores:Trasladofsicodematerial monetario y/o valores, de un PAF a otro; jj)UnidaddeSeguridadFsica:Unidadorganizacionaldependientedelainstancia ejecutivaquecorresponda,responsabledeoperativizareinformarsobrelagestinde seguridad fsica en la entidad supervisada. Su tamao y estructura interna debe estar en relacin con el nivel de riesgo,incidentes de seguridad fsica y volumen de operaciones de los PAF. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IIISeccin 2Pgina 1/5CircularASFI/146/12 (10/12)Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 SECCIN 2:GESTIN DE SEGURIDAD FSICA Artculo 1 -(GestindeSeguridadFsica)Laentidadsupervisada,debeconstituirun sistemaparalaGestindeSeguridadFsica,quepermitaidentificar,monitorear,controlary mitigar en forma preventiva o correctiva, impidiendo y/o neutralizando los riesgos a incidentes de seguridad fsica y sus consecuencias.Artculo 2 -(Nivelderiesgo)Laentidadsupervisada,deberealizarundiagnsticode seguridad fsica que identifique el nivel de riesgo ante incidentes de seguridad fsica al que se encuentranexpuestassusinstalaciones,considerandomnimamentelaszonasgeogrficasde riesgoidentificadasporlaautoridadcompetenteentemasdeseguridadciudadanayelvalor monetario de los activos que se encuentran bajo su resguardo. Para la aplicacin de las medidas especficas de seguridad fsica establecidas en la Seccin 4 del presente Reglamento, la entidad supervisada, debe clasificar el nivel de riesgo de sus PAF en las categoras de riesgo alto, medio o bajo, considerando mnimamente los aspectos mencionados en el prrafo anterior. ASFI podr instruir, a la entidad supervisada, modificar el nivel de riesgo determinado para sus PAF en funcin a la ocurrencia de incidentes de seguridad fsica reportados en cumplimiento al Artculo490delaLeyN393deServiciosFinancierosocomoproductodelasupervisin realizada por las Direcciones correspondientes. Artculo 3 -(Polticas) La entidad supervisada debe contar con polticas de seguridad fsica aprobadas por el Directorio u rgano equivalente, orientadas a priorizar el fortalecimiento de la seguridadfsicaensusinstalaciones,operacionesy/oservicios,lasmismasquedebenincluir referenciasdela(s)Norma(s)Internacional(es)deseguridadfsicaadoptada(s)porlaentidad. Dichaspolticasdebenconsiderarlossiguientesprincipios,segnseenuncianenordende prioridad: a)Proteccin a la vida de las personas que se encuentren dentro de las instalaciones de lasEntidades Supervisadas y de su personal cuando estos realicen operaciones y/o servicios fuera de las mismas; b)Proteccin de los activos propios y en custodia, incluida la documentacine informacin en mediosimpresos o electrnicos; c)Proteccin de la imagen institucional. La entidad supervisada debe implementar polticas de capacitacin en seguridad fsica para todo su personal, sin exclusiones. AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IIISeccin 2Pgina 2/5CircularASFI/146/12 (10/12)Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 Artculo 4 -(Manuales de funciones y procedimientos) La entidad supervisada debe contar conmanualesdefuncionesydeprocedimientosdeseguridadfsica,queestablezcan mnimamente el personal responsable y la periodicidad para surealizacin. Los manuales de funciones y procedimientos mnimos que debe considerar la entidad supervisada son: a)Manuales de funciones para: 1)Personal de vigilancia y vigilancia motorizada, que incluya la prohibicin de que el mencionado personal realice actividades no relativas a la seguridad fsica;2)Miembros del Comit de Seguridad Fsica y Personal de la Unidad de Seguridad Fsica, que establezca la interaccin con reas relacionadas; 3)Personal de la entidad supervisada y personal de vigilancia, que interacta en la recepcin, envo y transporte delmaterial monetario y/o valores. b)Manuales de procedimientos para: 1)Asistenciaapersonasafectadasporincidentesdeseguridadfsicaocurridosen instalaciones de la entidad supervisada que debe ser inmediata, adecuada y en base a capacitacin previa; 2)Resguardo de la privacidad en las transacciones financieras realizadas por clientes y usuarios en ventanillas de atencin al pblico; 3)Administracin de llaves de ingreso a las instalaciones de la entidad supervisada,accesoalasreasdeexclusin,clavesdesistemasdealarmayclavesdeequiposdeatesoramientosegncorresponda.Lasclavessealadasdebensermodificadasal menos cada seis (6) meses o cuando se realice el cambio del personalencargado;Pruebas de funcionamiento de los sistemas de seguridad, que incluya el inventario de equipos e instalaciones sujetos a revisin; 4)Mantenimientopreventivoycorrectivodelossistemasdeatesoramiento, dispositivos de proteccin, sistemas de monitoreo y alarmas, al menos una vez al ao; 5)Transporte de material monetario y/o valores por parte del personal de la entidad supervisada y personal de vigilancia, cuando corresponda; 6)Abastecimiento de material monetario en los cajeros automticos u otros Puntos de Atencin Financiero, cuando corresponda; AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS Libro 3Ttulo VIICaptulo IIISeccin 2Pgina 3/5CircularASFI/146/12 (10/12)Inicial Circular ASFI/178/13 (05/13) Modificacin 1 Circular ASFI/251/14 (07/14) Modificacin 2 7)Ubicacin,construccin,instalacinymanejodebveda(s)ycaja(s)fuerte(s) bveda; 8)Instalacin de medidas de seguridad fsica en los ambientes destinados a cajeros automticos; 9)Funcionamiento de centrales de monitoreo que incluya tiempo de almacenamiento, modalidadyresguardodelasgrabacionesdemonitoreo,paraatencinde denuncias y reclamos de los usuarios o clientes; 10)Activacin y atencin de sistemas de alarma. Artculo 5 -(Estructuraorganizacional)Laentidadsupervisada,debeestableceruna estructura organizacional adecuada al nivel de riesgo y nmero de PAF en funcionamiento, que delimite las funciones y responsabilidades relativas a la gestin de seguridad fsica. Artculo 6 -(UnidaddeSeguridadFsica)Laentidadsupervisadaquecuenteconun patrimoniocontableigualomayoraUFV30.000.000,00(TreintaMillonesdeUnidadesde Fomento a la Vivienda)o su equivalente, debe contar con una Unidad de Seguridad Fsica, que serresponsabledeoperativizarymonitorearlagestindeseguridadfsica,emitirreportese informesparalasinstanciasdedecisin,prop