viernes , abril 19 2019
Home / Corporativos / Fortalece México marco normativo para evitar hackeo a bancos

Fortalece México marco normativo para evitar hackeo a bancos

Instituciones financieras deben endurecer control de información y generar bases de datos sobre vulnerabilidades

Foto: pixabay.com

El Diario Oficial de la Federación (DOF) publicó esta mañana nuevas disposiciones en materia de ciberseguridad para las instituciones bancarias; entre ellas detalla los periodos y procedimientos para reportar fallas en sus plataformas, cómo cambiar componentes en sus sistemas tecnológicos a fin de evitar que sean vulnerados o hackeados y cómo recopilar los datos biométricos de los empleados del sistema financiero y sus usuarios.

En abril y mayo de este año, una falla general en el Sistema de Pagos Electrónicos Interbancarios (SPEI) prendió los focos rojos de la protección de los bancos ante hackeos y el robo de información a través de plataformas digitales. Si bien la alerta en el sistema bancario estaba presente, no pasó mucho antes de que la situación se repitiera. En octubre, la aseguradora AXA también enfrentó este problema.

Entre las modificaciones que mañana entran en vigor para el sistema financiero, se cuenta que las instituciones deben hacer revisiones periódicas a sus sistemas tecnológicos.  Además deben avisar a la Comisión Nacional Bancaria y de Valores (CNBV) cuando se de una falla que afecte a 30 por ciento de los servicios de las sucursales y banca electrónica, cajeros automáticos, y si estas interrupciones se dan al menos cada hora; en ese reporte, que no debe tardar más de una hora en llegar a la Comisión después de detectado el suceso se debe enviar una evaluación preliminar de la gravedad de la falla.

Los incidentes que generen pérdidas económicas, de información o interrupción de los servicios del banco; su modo de operación, incluyendo las vulnerabilidades que puedan replicarse en otras Instituciones; que puedan representar una afectación a los clientes o a la estabilidad del sistema financiero o de pagos, a los sistemas centrales de pagos deberán reportarse de manera inmediata.

Mientras dure el problema, el banco debe enviar diariamente a la CNBV un reporte; y en un plazo no mayor a 15 días hábiles posteriores a la conclusión de la contingencia, un análisis de las causas que la motivaron, la afectación, la temporalidad, el impacto monetario y la indicación de las acciones que se implementarán para minimizar el daño en situaciones similares subsecuentes. 

Por otro lado, los bancos deberán llevar una base de datos de los incidentes, fallas o vulnerabilidades detectadas en su infraestructura tecnológica, en donde se contemple la fecha del suceso y una breve descripción de éste, la duración, servicio o canal afectado, clientes afectados y montos, así como las medidas para corregir cada uno; esas bases de datos, deben tener un respaldo y guardarse por al menos 10 años.

Paralelamente deben tener un registro de todas las operaciones efectuadas a través del servicio de Banca Electrónica que no sean reconocidas por sus usuarios y que incluya todo lo relativo a la reclamación (folio, fecha, motivo), de la operación reclamada, la cuenta origen, tipo de producto,importe, estado de la reclamación, resolución, fecha deresolución, monto abonado, monto recuperado y monto quebrantado.

También deben hacer de sus actividades cotidianas la búsqueda de alertas de fraude y amenazas, como campañas de correos fraudulentos, sitios de Internet falsos, divulgación de bases de datos con informaciónde sus usuarios, alteración de cajeros automáticos o terminales punto de venta y suplantación de identidad, entre otros, y hacer un registro de estos.

Además todos los bancos deben implementar un Sistema de Control Interno para el manejo de la información entre sus empleados, generar mecanismos de cifrado que eviten accesos no autorizados y procedimientos para cambiar las claves de acceso cada 90 días o menos.

Y contar con mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la operación; así como registros de auditoría con información detallada de los accesos o intentos de acceso; esta información la deben guardar los bancos por tres años cuando dichos registros almacenen información considerada como crítica; en caso contrario, el periodo de conservación de los registros será mínimo de seis meses.

En el caso de datos biométricos, los bancos deberán primeramente hacer la captura de las huellas dactilares de sus empleados, directivos o funcionarios que tendrán a su cargo recopilar las de los clientes y, posteriormente, recopilarán las de sus cliente.

so

About Redacción

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.