2. Controles Regulatorios Circular Única de Bancos (Capítulo X): 2º Factor de autenticación Registro de cuentas Notificaciones Limites de operación Prevención de fraudes Registro de bitácoras Seguridad: datos y comunicaciones Contratos Clientes Back Office Aceptación del Cliente
3. Cuatro categorías de Autenticación Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP) Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras Según el articulo 310
4. Autenticación de las Instituciones Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo siguiente: Proporcionar a sus Usuarios información personalizada y suficiente para que estos puedan verificar, antes de ingresar todos los elementos de identificación y Autenticación, que se trata efectivamente de la Institución con la cual se iniciará la Sesión Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la siguiente información: Fecha y hora del ingreso a su última Sesión, y Nombre y apellido del Usuario Según el articulo 311
5. Protección de las sesiones Las Instituciones deberán proveer lo necesario para que una vez autenticado el Usuario en el servicio de Banca Electrónica de que se trate, la Sesión no pueda ser utilizada por un tercero. Terminar las sesiones por inactividad Impedir el acceso en forma simultánea con la misma cuenta Según el articulo 316 B2
6. manejo de Contraseñas Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación Según el articulo 316 B4
7. equipos electrónicos (POS) Evitar la instalación de dispositivos o programas que puedan leer, copiar, modificar o extraer información de los Usuarios Procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes Según el articulo 316 B6
8. centros de atención telefónica Controles de seguridad física y lógica en la infraestructura tecnológica Delimitar las funciones de los operadores telefónicos Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por sus Usuarios Según el articulo 316 B7
9. CHIP en las Tarjetas 1 de septiembre de 2011, para los Cajeros Automáticos que sean clasificados por las Instituciones como de alto riesgo. El 1 de septiembre de 2013, para los Cajeros Automáticos que sean clasificados por las Instituciones como de mediano riesgo. El 1 de septiembre de 2014, para los Cajeros Automáticos que sean clasificados por las Instituciones como de bajo riesgo. Según el articulo 316 B8
10. Cifrado Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos Administración de las llaves criptográficas Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), Según el articulo 316 B10
11. controles de acceso Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos Definir las personas que pueden acceder a la información Dejar constancia de los permisos y señalar los propósitos Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado Procedimientos seguros de destrucción de los medios de almacenamiento Verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados Según el articulo 316 B11
12. Extravio de Información En caso de extravio de información se debe notificar a la CNBV Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y notificar a sus Usuarios afectados Según el articulo 316 B12
13. Registro de incidencias En caso de alguna incidencia se debe registrar Fecha del suceso, Duración, Servicio de Banca Electrónica afectado y Clientes afectados Registrar operaciones no reconocidas por los Usuarios Mantener en la Institución durante un periodo no menor a cinco años Según el articulo 316 B14
14. Generación de Bitacoras Las bitácoras deberán registrar Los operaciones y servicios bancarios realizados a través de Medios Electrónicos y, en el caso de Banca Telefónica Voz a Voz, Grabaciones de los procesos de contratación, activación, desactivación, modificación de condiciones y suspensión del uso del servicio de Banca Electrónica Según el articulo 316 B15
15. Reporte de Robo de parte del Cliente Procedimientos y mecanismos para que sus Usuarios les reporten el robo o extravío de los Dispositivos de Acceso o, en su caso, de su información de identificación y Autenticación Políticas que definan las responsabilidades tanto del Usuario como de la Institución Procedimientos y mecanismos para la atención y seguimiento de las operaciones realizadas a través del servicio de Banca Electrónica que no sean reconocidas por sus Usuarios Según el articulo 316 B16
16. revisiones de seguridad a la infraestructura de cómputo Deberán realizarse al menos en forma anual y se revisara Mecanismos de Autenticación Controles de acceso a la infraestructura Actualizaciones de sistemas operativos y software Análisis de vulnerabilidades Identificación de posibles modificaciones no autorizadas al software original; Procedimientos que NO permitan conocer los valores de Autenticación de los Usuarios y El análisis metódico de los aplicativos críticos relacionados con los servicios de Banca Electrónica Según el articulo 316 B17
17. Respuesta a Incidentes Medidas preventivas, de detección, disuasivas y procedimientos de respuesta Las medidas y procedimientos, deberán ser evaluadas por el área de auditoría interna Según el articulo 316 B20
18. HIGHLIGHTS capítulo X Las tarjetas de débito deberán cambiar a tecnología de chip: tendrán un plazo de 5 años, aunque las primeras medidas de protección al consumidor se empezarán a aplicar en 3 años. A partir de este momento, cualquier reclamación de fraude sobre el uso de una tarjeta sin chip, deberá absorberse por el banco en máximo 48 horas. Pago móvil y banca móvil: las transacciones por celular facilitarán el acceso a las operaciones financieras más comunes. La red de telefonía existente con 77.9 millones de líneas de celular, será empleada como canal para realizar pagos y trasferencias de bajo valor. Paralelamente se definirán los controles necesarios para hacer estas operaciones seguras y proteger al usuario en caso de que su teléfono sea robado. Sistema de comisionistas: una nueva figura de bancarización que suplirá la falta de sucursales en el país a través de los comercios. Las tiendas podrán operar como cajeros, manejando operaciones de retiro hasta los $6,000 pesos, así como depósitos, que se registrarán automáticamente en la cuenta del usuario a través de dispositivos móviles conectados con el banco, con todas las garantías de seguridad. Ya se iniciaron operaciones con WalMart y en los próximos meses se irán incorporando otros comercios, como farmacias, misceláneas y otros. Simplificación de la apertura de cuentas: se elimina otra barrera crítica para el acceso al ahorro y a los beneficios del sistema financiero. A través de los comisionistas, será posible abrir una cuenta a partir de los $8,000 pesos, proporcionando únicamente el nombre, dirección y fecha de nacimiento.
19. HIGHLIGHTS capítulo X Incorporación del sistema de comisionistas para el cobro de subsidios a la pobreza: un proyecto único en el mundo que beneficiará cerca de 5 millones de familias. A través del sistema de comisionistas, los beneficiarios podrán acudir a su tiendita más cercana para cobrar el subsidio. Mediante un dispositivo móvil se identifican usando una tarjeta con chip y su huella digital (muchos no saben escribir y no tienen documentos). En el momento pueden hacer efectivo su subsidio o abrir una cuenta que les permitirá proteger su dinero y pensar en un futuro administrando su consumo y ahorro. Bancos de nicho: con esta medida innovadora se aseguran las condiciones de mercado para la competencia y para que surja la oferta adecuada de servicios financieros para los ciudadanos de cualquier nivel de ingreso. La ley permitirá la aparición de bancos especializados en un tipo de operación únicamente, como por ejemplo, operaciones por celular.