Post on 30-Jul-2018
1
Medidas de seguridad para la migración de tarjetas a tecnología chip y protección de
usuarios de banca electrónica
XII Reunión Responsables de Sistemas de InformaciónLa Antigua, Guatemala
Septiembre, 2010Javier De la Rosa Gutiérrez
2
Marco Regulatorio
Alcance regulación Banca Electrónica
ContrataciónOperaciónControles de SeguridadMonitoreo y control de las operaciones
Fechas críticas
Agenda
4
Capítulo X de la Circular Única de Bancos. Sustituyen a las “Disposiciones del Uso de Medios Electrónicos” (Marzo 2006)
Publicadas en Diario Oficial de la FederaciónEnero 27, 2010Febrero 10, 2010 (Modificación al Artículo 307, contratación de los servicios)
Entran en vigor:Día siguiente de su publicación para Banca Móvil y Pago MóvilJulio 28, 2010 para los demás servicios de Banca Electrónica (excepto Host to Host) Diversos plazos aplicables a controles específicos (TPV, ATMs, CATs, Internet)
Disposiciones del Uso del Servicio de Banca Electrónica
5
Alcance Reglas Banca ElectrónicaBanca Electrónica: al conjunto de servicios y operaciones bancarias que las Instituciones de Crédito pactan con el público, a través de Medios Electrónicos
Banca por Internet / Banca Host to Host
Banca Móvil / Pago Móvil
Terminales Punto de Venta / Cajeros Automáticos
Banca Telefónica Audio‐respuesta / Voz a Voz
6
(1) Registro de cuentas, límites transaccionales, uso de Factores de Autenticación, notificaciones, cifrado de Información Sensible del Usuario, seguridad en sesiones, registro de cuentas destino)
Cumplimiento a las Disposiciones aplicables a los servicios de Banca Electrónica
2010 2011 2012 2013 20141T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T
Controles en Banca Móvil y Pago Móvil (1)
Entrega del programa para migración de ATM a lectores de chip de tarjetas por nivel de riesgo
Cumplimiento de controles en los servicios de ATM, TPV, BxI, BxT (IVR y V2V) (1)
Controles en la contratación de servicios de Banca Electrónica
Migración de TPV a lectores de chip de tarjetas
Validación de respuestas mediante sistemas informáticos en CAT
Migración de ATM de alto riesgo a lectores de chip de tarjetas
Autorización para continuar usando tarjetas de contraseñas como FAC3
Contraseñas de ocho caracteres en BxI
Cifrado de la Información Sensible del Usuario en TPV
Responsabilidad por operaciones realizadas en TPV y ATM con tarjetas sin chip
Cumplimiento de controles en H2H (1)
Migración de ATM de mediano riesgo a lectores de chip de tarjetas
Migración de ATM de bajo riesgo a lectores de chip de tarjetas
Cumplimiento
7
Para adecuarlas al constante desarrollo de nuevas tecnologías, nuevos productos y canales que generan nuevos riesgos
Para establecer controles que ofrezcan seguridad y confidencialidad en el uso de la información a través de Medios Electrónicos
Para prevenir la realización de operaciones irregulares con medidas que respondan a las nuevas y constantes técnicas de fraude a través de Medios Electrónicos
¿Por qué modificar las Disposiciones?
10
Clasificación de las Operaciones Monetarias
Para fines de estas disposiciones, las Operaciones Monetarias se clasifican en:
a) Micro Pagos: transacciones de hasta 70 UDIs. El saldo disponible de la cuenta no puede ser mayor en ningún momento a 70 UDIs
b) De Baja Cuantía: transacciones de hasta 250 UDIs diarias
c) De Mediana Cuantía: transacciones de hasta 1,500 UDIs diarias
d) Por montos superiores al equivalente a 1,500 UDIs diarias
13
Phishing Pharming
Spyware
Keylogger
Robo de identidad
Spam
Ingeniería social
Adware
Riesgos en Operaciones Banca por Internet
14
Puntos de Riesgo
Ingreso de las operaciones
Transmisión
Infraestructura tecnológica
Externa
Interior de los Bancos
15
1 2 3
1) 3 de marzo de 2006 Publicación de lasDisposiciones del Uso de Medios Electrónicos
2) Septiembre 2006 Entra en vigor la primera fase de las reglas con medidas de seguridad básicas
3) 3 de Marzo de 2007 2ª. Fase – Segundo factor de autenticación.
Reforzamiento en visitas de inspección en sitio
Fuente: CNBV a través de visitas de inspección al tercer trimestre 2009
Reclamaciones de Operaciones de Banca por Internet 2006 – 2009
$
16
Banca por Internet
• Las disposiciones vigentes requieren:
• Pre-registro de cuentas destino
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
• Se refuerza la seguridad de la operación mediante los siguientes controles:
• La institución proporcione información para dar certeza de que el Cliente accederá a la página de la Institución
• Construcción de contraseñas con mayor longitud (8 caracteres)
• Pre-registro de cuentas destino, habilitándolas en un periodo de 30 minutos
• Uso de un Segundo Factor de Autenticación en un mayor número de ocasiones (Registro de una cuenta destino, establecimiento de límites transaccionales y realizar una operación, principalmente)
Resumen por servicio
18
Banca por Teléfono de Audio Respuesta
• Las disposiciones vigentes requieren:
• Pre-registro de cuentas destino
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
• Estamos reforzando la seguridad de la operación mediante los siguientes controles:
• Pre-registro de cuentas destino, habilitándolas en un periodo de 30 minutos
• Uso de un Segundo Factor de Autenticación en un mayor número de ocasiones (Registro de una cuenta destino, establecimiento de límites transaccionales y realizar una operación, principalmente)
Resumen por servicio, cont.
19
Banca por Teléfono Voz a Voz
• Este servicio no se encontraba regulado. Lo hemos incorporado regulando su operación mediante los siguientes controles:
• Pre-registro de cuentas destino en otro servicio de Banca Electrónica o con firma autógrafa
• Uso de un segundo Factor de Autenticación
• Notificaciones al Usuario de operaciones monetarias
• Límite transaccional definido por el usuario
Principales Modificaciones, cont.
21
Dispositivo “Dispensador de Folletos” para filmar saldo y NIP
Dispositivo para leer y almacenar datos de bandas magnéticas
CNBVEnero 2010
Capítulo X
Fraudes en ATM
23
Cajeros Automáticos
• Este servicio ya se encontraba regulado, sin embargo, estamos reforzando los controles de seguridad mediante los siguientes aspectos:
• Uso de un segundo Factor de Autenticación, pueden utilizarse tarjetas con circuito integrado (chip). En caso que la Institución permita el uso de tarjetas con otra tecnología, la Institución deberá asumir los riesgos y costos
• Lectores para tarjetas con circuito integrado (chip). Su implementación se puede hacer agrupando por nivel de riesgo iniciando en 2011 yterminando en 2014.
• No requiere pre-registro de cuentas destino
• Límite transaccional de 1,500 UDIs diarias por cuenta
• Notificaciones al Usuario cuando el acumulado de las operacionesmonetarias sea mayor a 600 UDIs o bien, cada operación sea igual o mayor a 250 UDIs
• Los bancos que autoricen operaciones con tarjetas que no tengan circuitos integrados (chip) serán responsables de los costos de las reclamaciones de los clientes. Esto entrará en vigor a partir de 2013.
Principales Modificaciones
24
Terminales Punto de Venta
• Requiere el uso de un segundo Factor de Autenticación para operaciones monetarias
• Pueden utilizarse tarjetas con circuito integrado (chip). En caso que la Institución permita el uso de tarjetas con otra tecnología, la Institución deberá asumir los riesgos y costos
• Puede considerarse la firma autógrafa como Factor de Autenticación
• No requiere el uso de Factores de Autenticación para operaciones monetarias menores a 70 UDIS (siempre que el banco asuma los riesgos y costos)
• Requiere lectores para tarjetas con circuito integrado (chip).
• No requiere pre-registro de cuentas destino
• Posibilidad de establecer límites transaccionales definidos por el usuario
• Notificaciones al Usuario cuando el acumulado de las operacionesmonetarias sea mayor a 600 UDIs o bien, cada operación sea igual o mayor a 250 UDIs
• Los bancos que autoricen operaciones con tarjetas que no tengan circuitos integrados (chip) serán responsables de los costos de las reclamaciones de los clientes. Esto entrará en vigor a partir de 2013.
Principales Modificaciones
27
Contratación
Se definen procesos para la contratación de los servicios
De forma presencial (excepto Pago Móvil y cuando se usen tarjetas prepagadas y de baja transaccionalidad –art 115 de la LIC- en ATM y POS)
Se permite contratar servicios adicionales a través de otros Medios Electrónicos que usen 2FA (el cliente debe confirmar después de mínimo 30 minutos)
Pago Móvil puede contratarse en Centros de Atención Telefónica
El proceso para cancelar los servicios deberá ser similar en tiempo de respuesta y canales, al de contratación
Banco
Primer ServicioMás Servicios
28
Contratación
Los Usuarios podrán, en cualquier momento, desactivar y reactivar el uso de un servicio de Banca Móvil y Pago Móvil en forma temporal
La desactivación puede realizarse en el mismo servicio o en otro, requiriendo un Factor de Autenticación
La reactivación podrá realizarse vía CAT o con un procedimiento similar al de contratación
29
Factores de autenticación
Se establecen criterios para verificar la identidad de los clientes a través del uso de Factores de Autenticación:
Factor de Autenticación Categoría 1 (FAC1)
Procesos en CAT que utilizan cuestionarios de información que no ha sido impresa o enviada al usuario. Algunas características son:
Los cuestionarios son definidos por la Institución evitando la discrecionalidad para su aplicación
Deben utilizarse herramientas informáticas para la validación de respuestas
Cuando se incluya una contraseña, ésta debe ser única para el servicio y se debe solicitar información parcial
Se permite el uso de este factor para:Autenticar usuarios en servicios Voz a Voz
Contratar servicios de Pago Móvil
Desbloquear los Factores de Autenticación, reactivar o desactivar temporalmente el servicio
30
Factores de Autenticación
Factor de Autenticación Categoría 2 (FAC2)
Información que solo el usuario conoce, tales como contraseñas y NIP. Sus características principales son:
Permite al usuario definir y cambiar su contraseña o NIP
Longitud mínima de ocho caracteres en general
• Pago Móvil, cinco• Banca Móvil e IVR, seis • ATM y TPV, cuatro
Se debe proteger de lectura en pantalla
31
Factores de Autenticación
Factor de Autenticación Categoría 3 (FAC3)
Se compone de información contenida o generada por medios o dispositivos proporcionados por las Instituciones a los usuarios, tales como dispositivos generadores de contraseñas dinámicas de un solo uso.
32
Factores de AutenticaciónFactor de Autenticación Categoría 3 (FAC3), cont.
Algunas características son:
El medio o dispositivo debe contar con propiedades que impidan su duplicación o alteración, así como de la información que éstos contengan o generen
Debe contener información dinámica
Su vigencia es temporal (dos minutos) a menos que haya sido generada con datos de la operación
No podrá ser utilizada en más de una ocasión
La información de autenticación no deberá ser conocida por la Institución ni por el usuario con anterioridad a su generación y uso
Se considerarán dentro de esta categoría la información contenida en el circuito integrado de tarjetas bancarias, siempre y cuando se utilicen en dispositivos que obtengan dicha información directamente de dicho circuito (chip)
Las Instituciones que en un periodo de tres años autoricen operaciones con tarjetas sin uso del chip, deberán asumir los costos de operaciones no reconocidas por los clientes.
33
Factores de Autenticación
Factor de Autenticación Categoría 3 (FAC3), cont.Tablas aleatorias de contraseñas
Deben cumplir con:
El medio o dispositivo debe contar con propiedades que impidan su duplicación o alteración
Debe contener información dinámica que no podrá ser utilizada en más de una ocasión
La información de autenticación no deberá ser conocida por la Institución ni por el usuario con anterioridad a su generación y uso
Las Instituciones deberán obtener autorización para el uso de este tipo de tablas, debiendo asumir los costos de operaciones no reconocidas.
Quienes la usen actualmente, tienen un periodo de dos años para obtener dicha autorización.
34
Factores de Autenticación
Factor de Autenticación Categoría 4 (FAC4)Se compone de información del usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras. Sus principales características son:
Los dispositivos biométricos deberán mantener elementos que aseguren que la información sea distinta cada vez que sea generada, a fin de constituir claves de acceso de un sólo uso y que en ningún caso pueda repetirse o duplicarse con la de otro usuario
35
Se fortalece el procedimiento de Autenticación en Internet
Las Instituciones proporcionarán información personalizada para que el usuario se asegure que está operando con la Institución correspondiente
• Información que el usuario haya proporcionado a la Institución (nombre, alias, o imágenes)
• Información que pueda verificar en un dispositivo o medio de autenticación (challenge/response)
La Institución deberá mostrar la fecha del último acceso y el nombre completo del cliente
Autenticación Banco – Cliente - Banco
36
Se requiere utilizar un segundo Factor de Autenticación (FAC3 o FAC4) para los siguientes servicios:
Transferencias a cuentas de terceros u otros bancosPagos de créditos, de servicios e impuestosEstablecimiento e incremento de límites de montosRegistro de cuentas destino de terceros u otros bancosAlta y modificación del medio de notificaciónConsulta de estados de cuentaContratación de otros servicios de Banca ElectrónicaDesbloqueo del servicio y reactivaciónRetiro de efectivo en cajeros automáticos
Uso de un Segundo Factor de Autenticación
Es posible realizar transferencias con un solo factor de autenticación si la cuenta destino se dio de alta en sucursal mediante firma autógrafa del cliente.
37
Para la celebración de Operaciones Monetarias los Usuarios deberán registrar las Cuentas Destino previo a su uso, considerando lo siguiente:
Se permitirá el registro de cuentas destino en un servicio de Banca Electrónica para utilizarlas en dicho servicio o en otros
En el caso de servicios e impuestos, se considera como registro de cuentas destino el registros de los convenios, referencias o beneficiarios
Las cuentas deberán quedar habilitadas después de un período no menor a treinta minutos
Validar estructura de las cuentas destino
Las Instituciones no podrán registrar cuentas destino a través del servicio de Banca Telefónica Voz a Voz
Registro de cuentas
38
Las Instituciones podrán permitir a sus clientes realizar operaciones monetarias sinque para ello les requieran el registro previo de las cuentas destino, siempre que:
Las operaciones sean realizadas a través de Banca host to host, terminales punto de venta y cajeros automáticos
En operaciones de Banca Móvil y Pago Móvil cuando las operaciones no excedan el monto definido para las operaciones de Baja Cuantía
Excepciones para el Registro previo de cuentas destino
39
Límites de monto
Las Instituciones deberán proveer lo necesario para que sus usuarios establezcan límites de monto para las transferencias y pagos a cuentas de terceros u otros bancos para los servicios de Banca por Internet, Banca Telefónica Voz a Voz, Banca Telefónica Audio Respuesta y Banca Móvil :
En los servicios de Pago Móvil, el monto acumulado no podrá exceder del equivalente a las operaciones de Mediana Cuantía en un día ni 4,000 UDIs mensuales.
Tratándose de Micro Pagos, el saldo de la cuenta asociada no podrá ser mayor a 70 UDIs
El límite máximo para operaciones en ATM será de 1,500 UDIs diarias
40
Confirmaciones y comprobantes
Las Instituciones deberán solicitar confirmación del usuario antes de realizar operaciones monetarias con terceros u otros bancos.
Las Instituciones deberán generar comprobantes para todas las operaciones realizadas en un servicio de Banca Electrónica
41
NotificacionesSe deberá notificar a los usuarios a través de un medio diferente las siguientes operaciones:
Transferencias a cuentas de terceros u otros bancosPagos de créditos, servicios e impuestosModificación de límites de montosRegistro de cuentas destino de terceros u otros bancosAlta y modificación del medio de notificaciónContratación de otros servicios de Banca ElectrónicaDesbloqueo del servicio y reactivaciónCambios de contraseñasRetiro de efectivo en Cajeros Automáticos
Se exceptúan de notificación las operaciones de Pago Móvil, así como aquellas realizadas en ATM y TPV cuando el acumulado sea menor a 600 UDIs ó 250 UDIs en operaciones individuales si existen esquemas de prevención de fraudes.
42
Seguridad de la Información
La información sensible(1) debe ser protegida durante el uso
en Medios Electrónicos, cumpliendo con lo siguiente:
Siempre debe ser transmitida en forma cifrada, desde el dispositivo de acceso hasta la recepción en la Institución, así como para su almacenamiento, en su caso.
Para los servicios de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios
(1) Información personal del Usuario en conjunto con números de tarjetas de débito, crédito o prepagadas bancarias, números de cuenta, información de autenticación
43
Sesiones segurasLas Instituciones deberán asegurarse que una vez autenticado el usuario, la sesión no pueda ser utilizada por un tercero, estableciendo mecanismos para:
Terminar sesiones en forma automática por inactividad del usuario de veinte minutos como máximo, exceptuando:
Pago Móvil, ATM y TPV, un minuto máximo
Banca Telefónica Host to Host
Terminar sesiones en caso de detectar cambios en parámetros del enlace de comunicación en Banca por Internet
Evitar sesiones simultáneas
Informar del cierre de sesión en caso de ingresar a servicios de terceros ofrecidos por la misma Institución
44
Seguridad InformáticaEstablecer mecanismos de bloqueo automático de Factores de Autenticación en los siguientes casos:
Cuando se intente ingresar al servicio con información de autenticación incorrecta, en un número no mayor a 5 ocasiones
Cuando el usuario no utilice el servicio por un período que determine la Institución, no mayor a un año
Se podrán utilizar preguntas secretas para el desbloqueo, si éstas se almacenan en forma cifrada.
45
Las Instituciones deberán contar con los siguientes mecanismos para detectar y evitar operaciones irregulares:
Aplicativos y procedimientos para prevención de fraudes en las operaciones realizadas en Banca Electrónica
Registro detallado (bitácoras) de todos los eventos, servicios y operaciones realizados en Banca Electrónica, incluyendo grabaciones del servicio Voz a Voz, el cual debe ser revisado en forma periódica por la Institución y proporcionarse a los clientes en caso de requerirlo
Medios y procedimientos para que los clientes reporten el robo o extravío de los Factores de Autenticación
Prevención de operaciones irregulares
Mantener una base de datos centralizada, con todas las operaciones no reconocidas por los Usuarios
Las Instituciones deben realizar revisiones de seguridad a la Infraestructura de los servicios de Banca Electrónica, al menos una vez al año, incluyendo a los dispositivos dispuestos para su uso por los usuarios
La infraestructura para proporcionar los servicios de Banca Electrónica, debe incluir dispositivos y aplicativos de detección y prevención de eventos de seguridad
46
Monitoreo de incidentes
En caso de que la información sensible del usuario sea extraída, extraviada o las Instituciones supongan o sospechen de algún incidente que involucre accesos no autorizados a dicha información, las Instituciones deberán:
Enviar a la CNBV dentro de los cinco días naturales siguientes al evento un reporte de pérdida de información
Llevar a cabo una investigación inmediata para determinar la posibilidad de que la información ha sido o será mal utilizada, por lo que en este caso deberán notificar, tan pronto como sea posible, esta situación a los usuarios afectados, a fin de prevenirlos de los riesgos derivados del mal uso de la información que haya sido extraída, extraviada o comprometida, debiendo informarle de las medidas que deberán tomar.
Deberán enviar a la CNBV el resultado de la investigación