1

ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS

DE LA INFORMACION

La Antigua, Guatemala 23 de Septiembre de 2008

2

Requerimientos mínimos de seguridad

Circular externa para intermediarios financieros y de valores

Confidencialidad

Integridad

Disponibilidad

Criterios de seguridad

Criterios de calidad

Efectividad

Eficiencia

Confiabilidad

3

Requerimientos mínimos de seguridad

Políticas y procedimientos para la seguridad y calidad:

Hardware, software, equipos de telecomunicación, procedimientos y controles, que permitan condiciones de seguridad y calidad.

Gestionar la seguridad de la información con estándares ISO17799 y 27001 o el último.

El envío de información a los clientes en condiciones de seguridad, o cifrada si va por correo electrónico.

Dotar de seguridad la información confidencial de clientes en equipos y redes de la entidad.

Dotar a las terminales o equipos de elementos que eviten la captura de información de clientes y operaciones.

4

Requerimientos mínimos para celebrar operaciones

Circular externa para intermediarios de valores

Todas las operaciones

Llamadas telefónicas

Medios electrónicos

Marco general

Características técnicas

Mínimos de calidad

Contenido y trazabilidad

Sincronización

5

Circular de grabación de llamadas

Abarca la grabación de la totalidad de comunicaciones telefónicas y medios electrónicos que tengan lugar para la realización de operaciones de intermediación de valores, incluyendo las propuestas, celebración y cierre de las mismas.

Importancia de las operaciones, la transparencia e integridad del mercado de valores y la protección del inversionista

Responsabilidad de revisión periódica:

Departamentos de auditoría o el área que haga sus veces en la entidad, conjuntamente con el área de tecnología. Verificar la debida configuración y mantenimiento, para satisfacer los requerimientos exigidos mediante la circular, así como el plan de contingencia y continuidad del mismo.

6

Circular de grabación de llamadas

Garantizar la grabación de la totalidad de las comunicaciones telefónicas o medios electrónicos en los que se opere incluyendo las propuestas, celebración y cierre de las operaciones,

Mercado primario, como en secundario,

Internas como externas,

Entrantes como salientes,

Todas las líneas y las extensiones al interior de la entidad,

De manera automática y sin necesidad de intervención por parte del usuario

Totalidad de la conversación

Borrado de archivos solo a través de su módulo de administración

7

Circular de grabación de llamadas

Calidad de grabación mayor o igual a 4.0 MOS (Mean Opinion Score), de acuerdo con la recomendación P.800 de la International Telecomunications Union (ITU-T) o una equivalente.

Las labores de administración remota o local solo deben ser posibles a través de la conexión con protocolos seguros.

Proveer mecanismos que permitan verificar la integridad y autenticidad de los archivos. Los algoritmos utilizados para tales efectos no deben ser propietarios, sino estándares reconocidos.

Los archivos de voz deben incorporar una estampilla de tiempo que permita establecer de manera confiable el momento en el cual ocurrió la llamada.

Debe contar con mecanismos que permitan su sincronización con dispositivos que definan la hora oficial en Colombia.

8

Circular de grabación de llamadas

Para la administración y consulta de la información los usuarios deberán autenticarse con claves de usuario y password que controlen el acceso a la información, así como su almacenamiento para posterior seguimiento.

El sistema debe implementar un modelo de operación basado en roles.

Debe contar con mecanismos que garanticen que los archivos exportados a otros medios de almacenamiento (CDs, DVDs, memorias USB, etc.) conserven la integridad al ser copiados.

Disponer de mecanismos para el registro de eventos del sistema, tales como: intentos de acceso fallidos, borrado de archivos, modificaciones a las bases de datos, etc.

9

Circular de grabación de llamadas

Debe permitir la consulta de llamadas según diferentes criterios, tales como: fecha, hora, canal, usuario, etc.

El sistema debe permitir el envío de la información de la llamada (identificación, canal, fecha, hora, usuario, etc.) para ser utilizada por otros sistemas tales como el libro de órdenes.

El sistema debe permitir identificar y almacenar como mínimo fecha y hora inicial de la llamada, fecha y hora final de la llamada (año, mes, día, hora, minutos y segundos), identificación de número telefónico entrante en la llamada, identificación de número telefónico saliente y extensión, canal de ubicación, archivo y ruta de almacenamiento, identificación del servidor, identificación del agente, identificación del usuario.

10

Circular de grabación de llamadas

Permitir exportar los archivos de voz a un formato estándar tal como WAV, MP3, etc.

Cada archivo grabado debe contener solo una llamada. Cada llamada debe estar contenida completamente en un archivo.

Las grabaciones deberán almacenarse en forma fidedigna y verificable.

En las mesas de negociación no se podrán ingresar y utilizar ningún

tipo de teléfonos móviles, celulares, satelitales, radio teléfonos, beepers y cualquier otro mecanismo que sirva para el envío de mensajes de voz y datos, que no permita su grabación o registro.

Se deben grabar los correos electrónicos enviados y recibidos desde las cuentas asignadas a los funcionarios pertenecientes a las mesas de negociación, independientemente de que hayan sido eliminados.

11

Circular de grabación de llamadas

Considerar práctica prohibida no grabar la totalidad de comunicaciones, no tener sincronizado el equipo a la hora oficial, o utilizar cualquier medio que no este siendo grabado.

12

Gracias