ASFI a de Supervision del Sistema Financiero Pion eM CIRCULAR ASFI/ 395 12016 LaPaz, “44 JUN. 2016 Sefiores Presente REF: MODIFICACIONES AL REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION Sefiores: Para su aplicacién y estricto cumplimiento, se adjunta a la presente la Resolucién que aprueba y pone en vigencia las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, las cuales consideran principalmente, lo siguiente 1. Seccion 1: Aspectos Generales Se especifica que el Reglamento tiene por objeto establecer las directrices y requisitos minimos que las Entidades de Intermediacién Financiera (EIF), Empresas de Servicios Financieros Complementarios (ESFC) y Sociedades Controladoras de Grupos Financieros (SCGF), deben cumplir para la gestion de seguridad de la informacién, de acuerdo a su naturaleza, tamafio y estructura, asi como con la complejidad de los procesos y operaciones que realizan, disponiendo que se encuentran sujetas al émbito de aplicacién las EIF, las SCGF y las ESFC (excepto Casas de Cambio) con Licencia de Funcionamiento otorgada por ASFI; se incorporan ademas, definiciones y se realizan precisiones en las existentes, 2. Seccién 2: Planificacién Estratégica, Estructura y Organizacién de los Recursos de Tecnologia de la Informacién (Tl) Se modifica la denominacién de la Seccién 2 por “Planificacin Estratégica, Estructura y Organizacion de los Recursos de Tecnologias de la Informacion”. En las disposiciones referidas a la planificacién estratégica e infraestructura del rea de Tecnologias de Informacién (Tl), se establece que éstas deben ser consistentes con “la naturaleza, tamafio y estructura de la Entidad Supervisada, Or \ ccrengusnea vig et ara ts ps ACsicsr 207 “el 1-212 17a4ns 2411919, a 391-2 2430028, Cala N47 - Calle Btalo Colas N” 42, El, Honey 18 Plo Pst Asin se fe N29" Clee rs vo Tel (593 aan nam Paso Cnc a Car leo. Pa te SIBtOR Sant Cru in we585, of 20, Conta W199 ee 3) 3152BH F394 53809, Cbya Cae 1 de sth ene STi Ares 601-5 BOA, Wad Cie la Porc. Pen a's ach Aas osteo G01 a8 Cochahuba de Samaes qs Ce {retio, sure al Dance M14 ste Bla Nicole Ostet} 09999-68977, Foe ON | IETTE 2 ena Tel 91-4) 6773708, Lea at 40103108 omcasgee ase gchboSistema Financiero sae Ph ei Gi Ase. asi como con la complejidad de los procesos y operaciones que realiza y los resultados del analisis y evaluacién de riesgos en seguridad de la informacion, efectuados" Se modifica la denominaci6n de los Articulos 3°, 5° y 6° como “Infraestructura del area de tecnologias de la informacién’, “Comite de tecnologias de la informacién” y “Comité operative de tecnologias de la informacion’, respectivamente, Se especifica que la Entidad Supervisada debe definir formalmente una instancia responsable de la funcién de la seguridad de la informacién y que corresponde a dicha instancia, gestionar, la implementacién, revision, actualizacién y difusion de la Politica de Seguridad de la Informacion (PSI), asi como de la normativa que se desprende de la misma, 3. Seccién 3: Administracién de la Seguridad de la Informacion Se dispone que la Entidad Supervisada es responsable de efectuar un andlisis y evaluacién de riesgos en seguridad de la informacién, acorde a su naturaleza, tamafio y complejidad de operaciones, debiendo desarrollar e implementar procedimientos especificos, formalmente establecidos para este propésito, cuyos, resultados deben estar ademas, contenidos en un informe elaborado por el Responsable de la funcién de la seguridad de ta informacion, dirigido a ta Gerencia General, para su posterior presentacién al Directorio u Organo equivalente, Se establece que el analisis y evaluacién de riesgos en seguridad de la informacion, se constituye en un proceso continuo, por lo cual, debe ser revisado y actualizado por IG menos una (1) vez al afio En cuanto a ta asignacién de ta propiedad de Ia informacién, se determina que, en coordinacién con la instancia responsable de seguridad de la informacién, deben definirse los controles de proteccién adecuados, de acuerdo con el nivel de clasificacién otorgado a la informacién Se detalian aspectos referidos a la ejecucién de pruebas de seguridad, al personal encargado y a las politicas y procedimientos que constituyen la gestion de vulnerabilidades técnicas, asi como aquellos referidos a la conservacién y custodia de los documentos telacionados con las operaciones y para la destruccién controlada de los medios utilizados para el almacenamiento y respaldo de la informacion. Se dispone que la Entidad Supervisada debe velar por el establecimiento de un proceso isciplinario formal para Directivos, Consejeros, Ejecutivos y Gr \e funcionarios que hubieran cometido faltas y/o violaciones a la PSI y la cA (Ofna Cental a le. seat Gaieyga11790 ch ee Ore cn Feo Sin, Gundlcy Te ate Po ye Botnet gn 126-04 Poe st Aloe asics N29, Cea Sip Pea eG 2) 62208. Orne Ps Cas Cine de Carers, Po DIOP le 042151499 te Sala ayy hala 850201 Cote 259 Tl f91-3 299620, Fo G91 1) SMD, Cala Cale ee aio 4 ete Arce Gol oeaebe, Wn aL in xy nce Rha Ne, Mo Ro 91-9) 09699. ooh lamanea en ane EC ip Cilskran S45 ei Vga Lem Tel 814) 112908 Unes gots HA 1D TOL se peo seas go oa nec Pag 2006 ipl Sesleri. on ae Caan oa 2 oreCa \eae (Otis Cena Lata acs a Cale hvn sere ASFI = Fin Pio determinacién en el contrato, de las sanciones para consultores y personal eventual que incurriesen en faltas y/o violaciones a la PSI. Seccién 4: Administracién del Control de Accesos Se dispone que la Entidad Supervisada debe revisar por lo menos una (1) vez al afio, mediante un procedimiento formaimente establecido, las asignaciones de privilegios para las cuentas de usuario y de administracién de los sistemas informaticos, aplicaciones, sistemas operativos, bases de datos, Intranet, Internet y otros servicios o componentes de comunicacién Se especifica que la Entidad Supervisada debe establecer un procedimiento formalizado, a efectos de detectar e identificar incidentes de seguridad de la informacién, asi como implementar pistas de auditoria que contengan los datos de los accesos y actividades de los usuarios, excepciones y registros de los incidentes de seguridad de fa informacion. Seccién 5: Desarrollo, Mantenimiento e Implementacién de Sistemas de Informacién Se detalla t@ documentacién minima con la que debe contar la Entidad Supervisada para el proceso de adquisicién, desarrollo y mantenimiento del software. Se dispone que la Entidad Supervisada debe establecer procedimientos formales para el control de cambios en los sistemas de informacion que contemplen documentacion, especificacion, prueba, control de calidad e implementacion. Consecuentemente, se elimina el Articulo 5° (Implementacién de controles), Se establece que la Entidad Supervisada debe implementar controles y mecanismos que garanticen la separacién fisica 0 logica de los ambientes de desarrollo, prueba y produccién, acordes con la criticidad del (los) sistema(s) involucrado(s) y la segregacién de funciones que debe existir en cada caso. Seccién 6: Gestién de Operaciones de Tecnologia de Informacion Se especifica que la Entidad Supervisada debe efectuar copias de seguridad de todos los datos e informacién, necesarios para el continuo funcionamiento de la misma. Seccién 7: Gestion de Seguridad en Redes y Comunicaciones Se establece que la Entidad Supervisada debe revisar y verificar_ por lo menos una (1), vez al afio, el estado de los elementos de la configuracién de datos actual e histérica, para confirmar la integridad de ésta, asi como la existencia de magus Fag. 3606 Zi Sec 2107 toe cpnaias resus. 242199, fox 9-21 220028, Cail 447 Cae atin Cea 2, Hoe, WS Btn kana aa a8 of Caso ast Wad Ca eft Pc e's Ra Cebu A sara Lny, fel "debe Vp Lema es (9146113700 nes rt: 80 101 139 wma gb a Gach te Et, Par) Wa (81.2) 231709, Cail NITRA ors Re? ly Autoridad dle Supervision del Sistema Financiero(. tad de Supervision del Sistema Financiero Fab Pas eb cualquier software de uso personal 0 no autorizado, que no se encuenttre incluido en los acuerdos de licenciamiento vigentes. 8. Seccién 8: Gestién de Seguridad en Transferencias y Transacciones Electrénicas Se dispone que los certificados digitales que utilice la Entidad Supervisada, asi como la existencia de sitios web de ésta, tienen que estar avalados en cuanto a su propiedad y seguridad de la informacion expuesta, por una entidad certificadora autorizada, por la Autoridad de Regulacién y Fiscalizacién de Telecomunicaciones y Transportes (ATT), Se especifica que los sistemas de transaccién y transferencia electronica deben generar la informacion necesaria para que el cliente pueda conciliar los movimientos efectuados en su(s) cuenta(s), a través de terminales ATM y POS. asi como de los sistemas disponibles en la web, en un determinado periodo, reflejando las fechas en que se realizaron las transacciones; Se dispone que los derechos y responsabilidades de cada una de las partes que intervienen en las transacciones y/o transferencias electronica, deben especificarse en el contrato que éstas suscriban para el efecto. 9. Seccién 9: Gestin de Incidentes de Seguridad de la Informacion Se determina que la Entidad Supervisada debe contar con un procedimiento para la gestion de incidentes de seguridad de Ia informacién formalizado, actualizado @ implementado; aprobado- por el Directorio u Organo equivalente, en concordancia con su Plan de Contingencias Tecnolégicas y que debe establecer los mecanismos necesarios que permitan identificar la tipologia, los voldmenes y los costos de los incidentes de seguridad de la informacién, asi como las medidas asumidas para mitigarlos, garantizando que éstos sean registrados, cuantificados y monitoreados. 10. Seccién 10: Continuidad del Negocio Se especifican los aspectos que la Entidad Supervisada debe considerar con relacion a la continuidad del negocio, entre ellos los referidos al establecimiento del Centro de Procesamiento de Datos Alterno, disponiendo que cuando la Entidad Supervisada, por sus caracteristicas, no cuente con ambientes para la instalacion de éste, en una ubicacién geografica diferente a aquella en la que se encuentra el Centro de Procesamiento de Datos, puede hacerlo en un espacio donde no preste servicios, localizado en otra area geografica, preservando que cuimpla con los requisites de seguridad fisica y tecnolégica que deber tener las areas de exclusion dense _ oi cea aati Sec a) arecd 2899 32 a nil A ln Con Hen ees rel aie hai Canc te Ee, G91) BHO, Cala Nt ARam HetencRe9N ce Taare (2) 00146 Poe aa ncn Gees 70 Caleta Sg, Pa el 913) 2908N Oar Pj Casco El. inte de Coren Po {isor was gat sss50ee 50 sans ania ena ss of St can 9 Tra) Maton Ga Sse, aca toro eet Sterne el or) Bae, Tad Cate La Pavey ef aoa N33 Pa eto G9) a9. Coombs Asma ey ta RCT ante B91 esr, SNe fae BN BHU, face Denon? Verte Wn Rec Cp, ake Say eT kalo Fae abuse Twin ale io ness Her y epi ema. 946112708 Lc ete A108 15D mee owas gt 01. 12. 13. 14. Es Seccién 11: Administracion de Servicios y Contratos con Terceros Relacionados con Tecnologia de la Informacion Se detallan los aspectos que minimamente debe considerar la Entidad Supervisada para la contratacién de empresas encargadas del procesamiento de datos 0 ejecucién de sistemas en lugar extemo; para determinar la necesidad de adquirir programas, sistemas 0 aplicaciones en forma previa a su adquisicion y las clausulas que debe tener el contrato con empresas de desarrollo externo, asi como el establecimiento de un Acuerdo de Nivel de Servicio (SLA), documento que seré parte del citado contrato. Se establece que la Entidad Supervisada, previo a la contratacion de servicio(s) de computacién en la nube, solicitard la no objecién a ASF en forma escrita, adjuntando para su evaluacién el “Proyecto de implementacién del servicio de computacién en la nube", debiendo contar con politicas y procedimientos que permitan definir los criterios que garanticen el debido tratamiento, proteccién y Privacidad de datos personales cuando se utilicen los servicios de computacion en la nube y realizar un diagnéstico del nivel de riesgo y la sensibilidad de la informacion y/o los recursos tecnolégicos a ser expuestos. Seccidn 12: Rol de la Auditoria Interna Entre las funciones de! Auditor interno o la Unidad de Auditoria Interna se dispone que debe refrendar el informe sobre procesamiento de datos o ejecucién de sistemas en lugar externo e incluir en su Plan Anual de Trabajo la verificacién del cumplimiento de las politicas y procedimientos relativos a la proteccién de datos en la nube, si la Entidad Supervisada contraté dicho servicio. Seccién 13: Otras Disposiciones Se establece que el cumplimiento, implementacion y difusion interna del Reglamento, es responsabilidad del Directorio u Organo equivalente y de fa Gerencia General de la Entidad Supervisada. Se modifica la denominacién del Articulo 4° (Sanciones) por “Régimen de sanciones", disponiendo ademas, que ia inobservancia al Reglamento, daré lugar al inicio del proceso administrativo sancionatorio. Seccién 14: Disposiciones Transitorias Se establece que las modificaciones e incorporaciones al Reglamento, entraran en vigencia a partir del 3 de octubre de 2016 i \seacnovesu vin sees sco tO. Cinch ae fe Pn fel 9-2) 31 F018, Coal ot vB A Ht Bt fe sts Noms de aes N30, ( i ASFI Autoridad de Supervision del Sistema Financiero nad Cate hu ou andes eta Xen ele (819) 499089. Cache Saran LanASFI Aural de Supervisin del ‘a Financiero sabia eB Las modificaciones realizadas, se incorporan en el Capitulo Il “Regiamento para la Gestion de Seguridad de la Informacién’, contenido en el Titulo Vil, Libro 3° de la Recopilacién de Normas para Servicios Financietos Atentamente. Lic. Ive toes 10 ORE onda de Supervision ‘is Siteme Finance men so coat st su Santa nash 201 Coe No 199 Tl ah) MBA) EIEN, Cla Cle Te) Shree Aneesh Tat Gory gensns, aa hes ym noch Nao 3-3) e980. Ceca Ae lane Palo ai ada, Haat Fac teh ase, Sure cae Denes? Yeo seary Relat Om, ale (819) o4107- CAD 7, Foe SM Sa Cae nin 452, ete 1 esl y Vga era ek. 4612708 pes gett 1D) 13) wnat ag boSistema Financiero ro sir Pinch a ik RESOLUCION ASFI/ 405 2016 La Paz, 14 JUN, 2016 vIsTOs: La Ley N° 393 de Servicios Financieros de 21 de agosto de 2013, la Ley N° 164 de Telecomunicaciones, Tecnologias de Informacién y Comunicacién de 8 de agosto de 2011, el Decreto Supremo N* 1793 de 13 de noviembre de 2013, la Resolucién SB N’ 066/2003 de 4 de julio de 2003, la Resolucion ASFI N° 604/2013 de 16 de septiembre de 2013, la Resolucion ASFI/838/2015 de 14 de octubre de 2015, las Cartas Circulares ASFI/JSI/3271/2011 y ASFISV/3272/2011, ambas de 14 de julio de 2011, a Carta Circular ASFI/DEP/2999/2012 de 30 de mayo de 2012 y el Informe ASFI/DNP/R-94563/2016 de 3 de junio de 2016, referido a las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION y demas documentacién que ver convino y se tuvo presente. CONSIDERANDO: Que, el Articulo 331 de la Constitucién Politica del Estado, establece que: “Las actividades de intermediacién financiera, la prestacion de servicios financieros y cualquier otra actividad relacionada con ef manejo, aprovechamiento e inversién de! ahorro, son de interés publico y sdlo pueden ser ejercidas previa autorizacién de! Estado, conforme con la Ley’ Que, el paragrafo | del Articulo 332 de la Constitucion Politica del Estado, determina que: “Las entidades financieras estarén reguladas y supervisadas por una institucién de regulacién de bancos y entidades financieras. Esta institucién tendré caracter de derecho publica y jurisdicaién en todo el territorio boliviano, reconociendo el caracter constitucional de la Autoridad de Supervisién de! Sistema Financiero. Que, el paragrato | del Articulo 6 de la Ley N° 393 de Servicios Financieros de 21 de agosto’ de 2013, dispone que las actividades de intermediacién financiera y la prestacién de servicios financieros, son de interés publico y sélo pueden ser ejercidas por entidades financieras autorizadas conforme a Ley. Que, el pardgrafo | del Articulo 8 de la Ley N° 303 de Servicios Financieros, determina que: "Es competencia privativa indelegable de la Autoridad de Supervision de! Sistema Financiero - ASF, ejecutar fa regulacién y supervisién financiera, con la finalidad de velar por el sano funcionamiento y desarrollo de las entidades financieras y preservar la estabilidad del sistema financiero, bajo los postulados de la politica yy financiera establecicios en la Constitucién Politica del Estado’ ‘CACIAGLIF ai Pag. 1405 atria Reaks °2507 Yl 159) 2374464243199, fo (5.2) 2530028, Cait NAA Colle alin Coos A. El, Hone, “ehh Ca a4 oy en 9H a | eaten am ce Peles io 7 | Brie le te tates cere saratoga arog as Ti Clc in 4S, ce 1 ny omnes 412708 cs pte 860103128 mane gen lags boASFI Antoridad de Supervision del Sistema Financiero ri Babs Que, el Articulo 16 de la Ley N° 393 de Servicios Financieros, dispone que: ‘La Autoridad de Supervisién del Sistema Financiero - ASFI, tiene por objeto regular, controlar y supervisar los servicios financieros en el marco de la Constitucion Politica del Estado, fa presente Ley y los Decretos Supremos reglamentarios, asi como la actividad del mercado de valores, los intermediarios y entidades auxiliares de! mismo” Que, mediante Resolucién Suprema N° 14431 de 19 de febrero de 2015, el sefior Presidente de! Estado Plurinacional, designé a la Lic. Ivette Espinoza Vasquez, como Directora General Ejecutiva a.i. de la Autoridad de Supervision del Sistema Financier. CONSIDERANDO: Que, ef inciso 1), paragrafo | del Articulo 23 de la Ley N° 393 de Servicios Financieros, establece entre las atribuciones de la Autoridad de Supervision de! Sistema Financiero, el emitir normativa prudencial de cardcter general, extendigndose a la regulacién de normativa contable para aplicacién de las entidades financieras. Que, el pardgrafo | del Articulo 124 de la Ley N° 393 de Servicios Financieros, dispone que las operaciones efectuadas, en el marco de los servicios que prestan las entidades financieras. podrén realizarse a través de medios electrénicos, los que necesariamente deben cumplir las medidas de seguridad que garanticen la integridad, confidencialidad, autentificacion y no repudio. Que, el paragrafo | del Articulo 72 de la Ley N° 164 de Telecomunicaciones,, Tecnologias de Informacion y Comunicacién de 8 de agosto de 2011, establece que: “El Estado en todos sus niveles, fomentard e! acceso, uso y apropiacién social de las tecnologlas de informacién y comunicacién, el desplieque y uso de infraestructura, e! desarrollo de contenidos y aplicaciones, la proteccién de las usuarias y usuarios, la seguridad informatica y de redes, como mecanismos de democratizacion de ‘oportunidades para todos los sectores de la sociedad y especialmente para aquellos con menores ingresos y con necesidades especiales" Que, el Reglamento para el Desarrollo de Tecnologias de Informacion y Comunicacion de la Ley N° 164 de Telecomunicaciones, Tecnologias de Informacion y Comunicacién de 8 de agosto de 2011, aprobado mediante Decreto Supremo N° 1793 de 13 de noviembre de 2013, establece en su Articulo 3° "Definiciones" que. "Seguridad de la informacién: La seguridad de la informacién es la preservacion de la confidencialidad, integridad y disponibilidad de la informacién; ademas, también pueden estar involucradas otras propiedades como /a autenticidad, responsabilidad, no repudio y confiabilid Que, mediante Resolucién SB N° 086/2003 de 4 de julio de 2003, la ex wll Superintendencia de Bancos y' Entidades Financieras, actual Autoridad de ora mates “froin Cenradtatac hace wet Neal 2907, Yel 91232174468. 24019%9, Fo: 501-2) 20028, Cala N47 - Calle Balln Clo, Homer, ee a1 212914790 Cote Reyen Onis ey Fedenca Sas El Catach, Ye aw Pn 3 lt (913) 2311818, Cala W410 At. Heres ale NT Va 3) 314 Paid Pats An een 2, Cs ha SH 5913 6200888 Ono Pf ctl a. Cara de Caner P0 3 ize 1FZten ana ry ala 8s, 20, ona N a9 aC) SMaBM Feat) Ma Cab Cale Vokes 129 ere I ae aaa mad Callens eny fst ea N33 fee 9813 Aba Casha fo Samsara. Fe Taipan 45, ee 3 ae ably Velo Tol. G94} 641270, Lowa yotua BON 102129 snag eal gab bo& 4 ¢ conc in Centra ta rsa a Sc ines Ar. Tal 501) BD. xa Fan ‘Supervision del Sistema Financiero, aprobé y puso en vigencia la normativa referida a los "Requisitos Minimos de Seguridad Informatica para la Administracion de Sistemas de Informacion y Tecnologias Relacionadas en Entidades Financieras’ Que, con Resolucion ASFI N° 604/2013 de 16 de septiembre de 2013, la Autoridad de Supervision del Sistema Financiero, aprobé y puso en vigencia las modificaciones al ‘Reglamento de Requisitos Minimos de Seguridad Informatica para la Administracion de Sistemas de Informacién y Tecnologias Relacionadas en Entidades Financieras’, efectuando el cambio, entre otros, de su denominacion por "REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION’, ahora contenido en el Capitulo I!, Titulo VII, Libro 3° de la Recopilacin de Normas para Servicios Financieros. Que, mediante Resolucién ASFI/838/2015 de 14 de octubre de 2015, la Autoridad de Supervision del Sistema Financiero, aprobé el Reglamento para la Gestion de Seguridad de la Informacién, contenido en el Capitulo |, Titulo I, Libro 11° de fa Recopilacion de Normas para el Mercado de Valores, estableciendo los requisitos minimos de seguridad de la informacién para las entidades supervisadas inscritas en el Registro del Mercado de Valores. Que, con Carta Circular ASFI/IS1/3271/2011 de 14 de julio de 2014, la Autoridad de Supervision del Sistema Financiero, instruyé a las entidades financieras, supervisadas, remitir el informe de la Unidad de Auditoria Interna que acredite el ‘cumplimiento de los Requisitos Minimos de Seguridad Informatica para la Administracién de Sistemas de Informacién y Tecnologias Relacionadas en Entidades Financieras, referido a la certificacién (SSL) para sitios web que permitan transferencias y transacciones electronicas seguras en las Entidades Financieras y Empresas de Servicios Auxiliares, actualmente Empresas de Servicios Financieros Complementarios Que, mediante Carta Circular ASFI/JSV3272/2011 de 14 de julio de 2011, la Autoridad de Supervision del Sistema Financiero, instruyé a las entidades financieras y empresas de servicios auxiliares, implementar elementos de hardware y software necesarios para garantizar la seguridad de las operaciones electronicas, Que, con Carta Circular ASFI/DEP/2999/2012 de 30 de mayo de 2012, la Autoridad de Supervision del Sistema Financiero, instruyd a las entidades financieras la ejecucién de pruebas de seguridad de los sistemas de informacién mediante procedimientos de "Hacking Etico” al final de cada semestre, asi como efectuar lo determinado en la citada Carta Circular ASFI/JSV/3272/2011 CONSIDERANDO: Que, en el marco de lo dispuesto en la Ley N° 393 de Servicios Financieros, en la Ley N° 164 de Telecomunicaciones, Tecnoiogias de Informacién y Comunicacién, en el Decteto Supremo N° 1793 de 13 de noviembre de 2013 y con el propésito de Pag 305 7. Ya, 591.2)2174444- 29199, Fe 981-2 249002, Calla N47 - Cale Bataln Clr N42, A Hone ‘ie ges Ores Faden ay, be. Gandgeh Tree Pa, 3912 2894816 Cala N18 EAR ese Kn 7 71 vl an les Ar deer N20 Caos a, Fa, 91-21 AOARA nwo sje Cunha Ease Comers eo Stn rue in W305, 0307 aA 1199 th 991) 485m Fae S913 3520209 Cb Cale eso 19 et ‘Wad Cate oe fen taca SP efi ol) Sono. Cacaharba A lms etre, HA, Fite) 884200 Sue ale sce W 4 frte Bilary Nicolls Ona} ele: SON ee 4esOr ae ON aR vee deal Yagi em Tel. 914) 6193909 Us poten #108198 manvoungebe aha gan 0 Sistema FinancieroASFI Auoridad cle Supervisin del Sistema Financiero wal dB ll contar con una normativa relativa a la gestién de seguridad de la informacién, que Tesponda conceptualmente a las-nuevas tendencias relacionadas con la misma, es. pertinente modificar el REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION Que, con el objeto de compatibilizar criterios normativos establecidos en la Recopilacién de Normas para el Mercado de Valores, respecto a la Seguridad de la Informacién, corresponde modificar el citado Reglamento, incorporando disposiciones. sobre la Seguridad de la Informacion aplicable a las Entidades de Intermediacion Financiera, Empresas de Servicios Financieros Complementarios y Sociedades Controladoras de Grupos Financieros. Que, conforme lo dispuesto en la Ley N° 393 de Servicios Financieros, asi como en la Ley N° 164 de Telecomunicaciones, Tecnologias de Informacién y Comunicacién, se deben suprimir del citado Reglamento, las referencias a la Ley N° 1488 de Bancos. y Entidades Financieras e incluir la aplicacion de! actual marco legal. Que, en virtud a la constante evolucién tecnolégica, asi como a las oportunidades y desafios que ésta plantea, es pertinente incorporar las definiciones y/o caracteristicas del tratamiento de datos, aplicaciones ¢ infraestructura relacionados con el uso por parte de las entidades supervisadas de! servicio de computacién en la ube. Que, en el entendido de que las disposiciones instruidas a las entidades financieras, mediante las Cartas Circulares ASFI/JSI/3271/2011 y ASFI/JSI/3272/2011, ambas de 14 de julio de 2011 y la Carta Circular ASFI/DEP/2999/2012 de 30 de mayo de 2012, fueron incorporadas al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, mediante Resolucién ASFI N° 604/2013 de 16 de septiembre de 2013, es pertinente dejar sin efecto dichas Cartas Circulares Que, con el propésito de que las entidades supervisadas puedan adecuar el funcionamiento de los sistemas de informacién, ambientes de desarrollo, prueba y produccién, asi como actualizar la Politica de Seguridad de la Informacion y la ormativa que se desprende de ésta, corresponde establecer un plazo para dicha adecuacién’ CONSIDERANDO: Que, mediante Informe ASFI/DNP/R-94563/2016 de 3 de junio de 2016, la Direccién de Normas y Principios estabiece que no existe impedimento técnico ni legal para aprobar las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo Il, Titulo VII, Libro 3° de la Recopilacion de Normas para Servicios Financieros. rng a 1) osc emanate STiinder Amine, ‘a sy 268e1 Tena Cal a > oy Prtraiorierrgetem terete omrayact rina ee abel y Vg en To. 5) 6911908, les atta E00 10) 105 wreasgehba sees gebb> 90023, Calla 44 - Cll Bln Clos N42, Hoge Te arasr ab cae igs Ose ey Fen Sao Gach Tre, i 59-2218 Cosa 61, he, ets 7 rehaloN 199 hereASFI word de Supervisiin del Sistema Financiero ps Fese Pini Bla POR TANTO: La Directora General Ejecutiva ai, de la Autoridad de Supervisién del Sistema Financiéro, en virtud de las facultades que le confiere la Constitucién Politica del Estado Plurinacional de Bolivia y demds normativa conexa y relacionada RESUELVE: PRIMERO.- Aprobar y poner en vigencia las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo Il, Titulo VII, Libro 3° de la Recopilacién de Normas para Servicios Financieros, de acuerdo al texto que en Anexo forma parte de la presente Resolucién. SEGUNDO.- Dejar sin efecto las Cartas Circulares ASFI/JSV3271/2011 y ASFIJSI/3272/2011, ambas de 14 de julio de 2011 y la Carta Circular ASFUDEP/2999/2012 de 30 de mayo de 2012, debido a que los lineamientos que éstas contenian, estan considerados en el REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION. Registrese, comuniquese y cumpiase st Sistoma Financiero Pag. $0 § 490028 Cla 7 -Cate SEtor ate, Wor suse. situes. ina Ce volo 03,0 20, avian 59a ors samo ra ca Sn Cece eee 1 ea al ote) eaaaet Wad ea 9 e's ka Ha "Stamares ex anon fe S050 84504 fae USES. Suee Calle Dalene NIB ene ly paatrrg ae oe sete dearly Vga Lem el 91-9 611909, aeAvrounav 08 Suess ae. Sere Fae RECOPILACION DE NonMAS PARA SERVICIOS FINANCIEROS CAPITULO II: REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION SECCION 1: DISPOSICIONES GENERALES Articulo 1°- (Objeto) El presente Reglamento tiene por objeto establecer las directrices y requisitos minimos que las Entidades de Intermediacién Financiera (EIF), Empresas de Servicios Financieros Complementarios (ESFC) y Sociedades Controladoras de Grupos Financieros (SCGF), deben cumplir para la gestién de seguridad de la informacién, de acuerdo a sw naturaleza, tamaiio y estructura, asi como con la complejidad de los procesos y operaciones que realizan, Articulo2°- (Ambito de aplicacién) Estin comprendidas en el Ambito de aplicacién del presente Reglamento las EIF, ESFC (excepto Casas de Cambio) y SCGF, que cuenten con Licenoia, de Funcionamicnto otorgada por la Autoridad de Supervisién del Sistema Financiero (ASFI), denominadas en adelante como Entidad Supervisada. Articulo 3°- Defini definiciones: mnes) Para efectos del presente Reglamento, se utilizaran las siguientes a, Activo de informacién: Aquelios datos, informacién, sistemas y elementos relacionados con la tecnologia de la informacién, que tienen valor para la Entidad Supervisada; b. —Acuerdo de nivel de servicio (SLA: Service Level Agreement ): Documento en el cual se estipulan las condiciones de un servicio en funcion a pardmetros objetivos, establecidos de mutuo acuerdo entre un proveedor de servicio y la Entidad Supervisada; c. Ambientes de desarrollo, prueba y produccién: Recursos de Tecnologias de Informacién, destinados al desarrollo, pruebas y uso oficial de sistemas informaticos; 4. Aniiliss y evaluaci6n de riesgos en seguridad de la informacién: Proceso por el cual se identifican los activos de informacién, asi como fas amenazas y vulnerabilidades a las que éstos se encuentran expuestos y que representan un riesgo para la seguridad de la informacién, se evalia la probabilidad de ocurrencia y se calcula el impacto potencial de su materializacién, con el fin de establecer controles que minimicen los efectos de los posibles. incidentes de seguridad de la informacién; ec. Area de exclusién: Area de acceso restringido identificada en las instalaciones de la Entidad Supervisada; £ Bana electréniea: Servicio financiero ofertado por las entidades de intermediacién financiera autorizadas, a través de Internet u otros medios electrénicos para procesar de ‘manera automética el registro de datos, desarrollo de transacciones y pagos, as{ como el intercambio de informacién, dinero y otros; 8 Cajero automatico (CA): Punto de atencién financiera que permite a los clientes y/o usuarios de servicios financieros, mediante la operacién de una méquina dedicada al efecto, de forma enunciativa y no limitativa, realizar retiros y/o depésitos de efectivo, consultas de ‘movimientos y saldos, reseate de cuotas, transferencias entre cuentas propias y a cuentas de terceros, carga y efectivizacién de billetera mévil y/o pagos de servicios, mediante el uso de Circular $B/436/03 (07/03) Inicial Libro 3° ASFU/93/13 (09/13) Modificacién 1 Titulo Vit ‘ASFU395/16 (06/16) Modificacion 2 Sepa t Pagina V6n _Auromman Sorex Sri 9 tarjetas de débito, tarjetas de crédito, tarjetas prepagadas 0 un dispositive mévil, que debe cumplir con lo establecido en el Reglamento para el Funcionamiento de Cajeros Auutomiticos, contenido en la Recopilacién de Normas para Servicios Financieros (RNSF). Los cajeros autométicos son también conocidos por su sigla en inglés: ATM (Automated Teller Machine); Centro de procesamiento de datos (CPD): Infraestructura tecnolégica ¢ instalacién(es); clasificada(s) como area de exclusién, donde estin ubicados los recursos utilizados para el procesamiento de informacién; Centro de procesamiento de datos alterno (CPDA): Infraestructura tecnolégica e instalacién(es), que cuenta con los recursos utilizados para el procesamiento de informacién cen forma alterna al CPD; El ambiente fisico donde se encuentra instalado el CPDA, debe ser clasificado como area de exclusién y encontrarse en una ubicacién geogréfica distinta al CPD; Cifrar: Proceso mediante el cual la informacién o archivos es alterada, en forma légica, incluyendo claves en el origen y en el destino, con el objetivo de evitar que personas no autorizadas puedan interpretarla al verla, copiarla o utilizarla para actividades no permitidas; Contrasefia o clave de acceso (Password): Conjunto de caracteres que una persona debe registrar para ser reconocida como usuario autorizado, para acveder a los recursos de un servicio, sistema, programa, equipo computacional o red; Computacién en la nube (Cloud Computing): Modelo de Acceso bajo demanda a través de una red (Intemet), a un conjunto compartido de recursos informéticos o computacionales (redes, servidores, almacenamiento, aplicaciones o servicios) que pueden ser répidamente provisionados y publicados con un ménimo esfuerzo de administracién o de interaccién con el proveedor de servicios, con un sistema de precios basado en el consumo realizado; Cortafuegos (Firewall): Dispositivo 0 conjunto de dispositivos (software ylo hardware) configurados para permiti, limitar, cifrar 0 descifrar el trfico entre los diferentes ambitos de un sistema, red 0 redes, sobre la base de un conjunto de normas y otros criterios, de manera ‘que s6lo e! trifico autorizado, definido por la politica local de seguridad, sea permitido; Encargado del tratamiento: Proveedor de servicios de computacién en la nube; Equipo critico: Equipo(s) de procesamiento de datos que soporta(n) las principales ‘operaciones de la Entidad Supervisada; Hardware: Conjunto de todos los componentes fisicos y tangibles de un computador equipo electrénico; Tneidente de seguridad de la informacién: Suceso o serie de sucesos, que tienen una probabilidad significativa de comprometer las operaciones de la Entidad Supervisada, amenazar la seguridad de Ia informacién y/o los recursos tecnolégicos; Interfaz de programacién de aplicaciones de la computacién en la nube (Cloud API): Conjunto de interfaces de programacién de aplicaciones que permiten aun software, solicitar Circular $B/436/03 (07/03) Inicial Tibro 3° { ASFVI93/13 (09/13) Modificactén 1 ‘Titulo Vit fies Capitulo I ASFVB9S/16 (06/16) Modificacién 2 ‘Seocién { Pagina 26aa, bb. ce. _Auron Serena 1 Sera Fa Recowt a SERVICIOS Poy datos 0 calculos de uno 0 mas servicios para el intercambio de mensajes o datos, conocido también como “Application Programming Interface”; Internet: Red de redes de alcance mundial que opera bajo estindares y protocolos internacionales; Intranet: Red informétioa de una Entidad Supervisada que permite compartir informacion © programas; Infraestructura de tecnologia de la informaci6n: Es el conjunto de hardivare, software, redes de comunicacién, multimedia y otros, as{ como el sitio y ambiente que los soporta, que es establecido para el procesamiento de la informacién; Mecanismo de autenticacién robusta: Forma de verificar Ia identidad de los usuarios, basada en el uso de la combinacién de dos de los tres factores de autenticacién siguientes: 1, Algo que el usuario sabe; 2. Algo que el usuario tiene; 3. Algo que el usuario es, ‘Medios de acceso a Ia informacién: Son equipos servidores, computadores personales, teléfonos inteligentes, terminales tipo cajero automatico, las redes de comunicacién, Intranet, Internet y telefonia; Plan de contingencias teenolégicas: Documento que contempla un conjunto de procedimientos y acciones que deben entraren funcionamiento al ocurrir un evento que datie parte o la totalidad de los recursos tecnolégicos de la Entidad Supervisada; Plan de continuidad del negocio (BCP: Business Continuity Planning): Documento que contempla la logistica que debe seguir la Entidad Supervisada a objeto de restaurar los servicios y aplicaciones criticas parcial o totalmente suspendidas dentro de un tiempo predeterminado, después de una interrupcién inesperada o un desastre; Portabilidad: Caracteristica de los servicios de computacién en [a nube, que establece que los datos del Responsable del tratamiento (contratista), que estén en los servidores del proveedor (Encargado del tratamiento) del servicio de computacién en Ia nube, puedan trasladarse a otto proveedor (0 a sistemas locales), a eleccién del contratista y sin pérdida de datos ni del servicio; Principio de menor privilegio: Establece que cada programa y cada usuario del(los) sistema(s) de informacién deben operar utilizando los privilegios estrictamente necesarios para completar el trabajo asignado; Proceso eritico: Proceso o sistema de informacién que al dejar de funcionar, afecta la continuidad operativa de la Entidad Supervisada; Procedimiento de enmascaramiento de datos: Mecanismo que modifica los datos de un determinado sistema en ambientes de desarrollo y pruebas, con el fin de garantizar la cconfidencialidad de la informacién del ambiente de produccién; Circular SB/436/03 (07/03) Inicial Libro 3° { ASFVI93/13 (09/13) Modificacin ! Titulo VIE ASFY39S/16 (06/16) Modificacion 2 Ceptut Pagina 3/6aa, ee. ff, bh, ii kk, Aurion oe Sores DL Sti nanci80 Propietario de la informacién: Es cl responsable formalmente designado para controlar la produceién, desarrollo, mantenimiento, uso y seguridad de los activos de informacién; Proteceién fisica y ambiental: Conjunto de acciones y recursos implementados para proteger y permitir el adecuado funcionamiento de los equipos ¢ instalaciones del Centro de Procesamiento de Datos y del Centro de Procesamiento de Datos Alterno, dada su condicién de areas de exclusién; Pruebas de intrusién (Pen test): Son pruebas controladas que permiten identificar posibles debilidades de los recursos tecnoldgicos de la Entidad Supervisada, que un intruso podria Hegar a explotar para obtener ef control de sus sistemas de informacién, redes de computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las pruebas de intrusién pueden ser realizadas a través de la intranet, desde Intemet, accesos Temotos 0 cualquier otro medio. Las pruebas de intrusién se clasifican, dependiendo del origen del ataque, en: 1. Externas, cuando se busca identificar las posibles vulnerabilidades que se encontrarian ante una accién maliciosa externa; 2. Internas, cuando se busca identificar las vulnerabilidades ante acciones que se produzcan dentro de la propia Entidad Supervisada. Punto de venta (POS: Point Of Sale): Equipo electrénico y/o electromecénico que permite a los usuarios de servicios financieros realizar pagos, mediante el uso de sus tarjetas ‘lectrénicas, en empresas aceptantes afiliadas a una red de sistemas de pago; Respaldo o copia de seguridad (Backup): Copia de datos ¢ informacién almacenada en un medio digital, que se genera en forma periédica; con el propésito de utilizar dicha informacién o datos, en casos de emergencia 0 contingencia; Responsable del tratamiento: Persona natural o juridica que contrata los servicios de ‘computacién en la nube; Seguridad de ta informacién: Conjunto de medidas y recursos destinados a resguardar y proteger 1a informacién, asi como los activos de informacién, buscando mantener ia confidencialidad, confiabilided, disponibilidad e integridad de la misma; Servicio de Pago Mévil: Conjunto de actividades relacionadas con la emisién de billeteras méviles y procesamiento de Srdenes de pago a través de dispositivos méviles, en el marco del Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB); Sistema de informacin: Conjunto organizado ¢ interrelacionado de procedimientos de recopilacion, procesamiento, transmisién y difusién de informacién que interactian entre sf para lograr un objetivo; Sitio externo de resguardo: Ambiente externo a las instalaciones de la entidad supervisada y al CPDA, donde se almacenan todos los medios de respaldo, documentacién y otros recursos de tecnologia de informacién catalogados como erticos y/o necesarios para soportar {os planes de continuidad y contingencias tecnolégicas, Circular SB/436/03 (07/03) Inicial Libro 3* t ASFUI93/13 (09/13) Modificacin 1 Titalo VIL ‘ASFI395/6 (06/16) Modificacion 2 Sipe Pagina 41600. pp. aq. Avro bi Surv Sera nance8o |RECOPILACION De NonMAs PARA SERVICIOS FINANCIEROS Software: Equipamiento o soporte {6gico de un sistema de informacién que comprende el conjunto de los componentes légicos que hacen posible la realizacién de tareas especificas. El software incluye: software de sistema, software de programacién y software de aplicaci6n; ‘Tarjeta electrénica: Instrumento Electrénico de Pago (IEP) que permite al tarjetahabiente instruir érdenes de pago, retirar efectivo y/o efectuar consultas de cuentas relacionadas con la tarjeta electrénica, Se consideran tarjetas electrénicas a los siguientes IEP, autorizados por ASF: 1. Tarjetas de debito; 2. Tarjetas de erédito; 3. Tarjetas prepagadas. ‘Transferencia electronica de informacién: Forma de enviar, recibir o transferir en forma electrSnica, datos, informacién, archivos y mensajes, entre otros; Tecnologia de la informacién (TD: Conjunto de procesos y productos derivados de herramientas (hardware y software), soportes de la informacién y canales de comunicacién relacionados con el almacenamiento, procesamiento y transmisién de la informacién; ‘TransacciGn electronica: Comprende a todas aquellas operaciones realizadas por medios celectrénicos que originen cargos 0 abonos de dinero en cuentas; Usuario del sistema de informacién: Persona identificada, autenticada y autorizada para utilizar un sistema de informacién. Esta puede ser funcionario de la Entidad Supervisada ‘Usuario Interno del sistema de informacién) o cliente (Usuario Externo del sistema de informacién), Articulo 4°- _(Elementos de Ia seguridad de la informacién) La informacién que genera y administra la Entidad Supervisada, debe contener un alto grado de seguridad, considerando minimamente los siguientes elementos: Autenticacién: Permite identificar al generador de la informaci6n y al usuario de la misma; >. Confiabilidad: Busca proveer informacién apropiada, precisa y veraz, para el uso de las cntidades supervisadas, tanto interna como externamente, que apoye el proceso de toma de decisiones; €. Confidencialidad: Garantiza que la informacién se encuentra accesible Gnicamente para el personal autorizadk 4. Cumplimiento: Busca promover el acatamiento de las leyes, regulaciones y acuerdos contractuales a las que se encuentran sujetos los procesos que realiza la Entidad Supervisada; e. Disponibilidad: Permite el acceso a la informacién en el tiempo y la forma que ésta sea requerida; Integridad: Busca mantener con exactitud la informacién completa tal cual fue generada, sin ser manipulada o alterada por personas 0 procesos no autorizados; Cirewlar $B/436/03 (07/03) Inicil Libra 3° ASFI/93/13 (09/13) Medificacin 1 quiet ASFI/395/16 (96/16) Modificacion 2 ee Pigina 516& Aros SUPERB DL SITU FICO RECOPILACION DE: NORMAS PARA SERVICIOS FINANCTEROS No repudio: Condicién que asegura que el emisor de una informacién no puede rechazar su transmisién 0 su contenido y/o que el receptor no pueda negar su recepcién o su contenido, Cirewlar $B/436/03 (07/03) Inicial i ‘ASFI/193/13 (09/13) Modifcactén 1 ASFU39S/16 (06116) Modificacién 2 Libro 3° ‘Titulo VIL Capitulo It ‘Seocién | Pégina 616Aono Surennse otSse FACIE SECCION 2: PLANIFICACION ESTRATEGICA, ESTRUCTURA ¥ ORGANIZACION DE LOS ‘RECURSOS DE TECNOLOGIAS DE LA INFORMACION Articulo 1°~ _(Planifieacién estratégica) La Entidad Supervisada debe desarrollar un Plan Estratégico de Tecnologia(s) de la Informacién (T1), que estéalineado con la estrategia institucional y que considere su naturaleza, tamaito y estructura, asi como Ia complejidad de los procesos y ‘operaciones que realiza y los resultados del andlisis y evaluacién de riesgos en seguridad de la informacién, efectuados. Este documento debe ser aprobado por su Directorio u Organo equivalente, EI nivel ejecutivo de la Entidad Supervisada que sea responsable de Ti, debe efectuar un seguimiento continuo de las tendencias tecnolégicas, asi como a las regulaciones emitidas por ASFI, de modo que éstas sean consideradas al momento de elaborar y actualizar la planificacion estratégica del érea de TI. Articulo 2°- (Estrategia de seguridad de la informacién) La Entidad Supervisada como parte de su Plan Estratégico de TI, debe definir la estrategia de seguridad de la informacién, que le permita realizar una efectiva administracién y control de la informaci6n, Articulo 3°- (Infraestructura del area de tecnologias de la informacién) La infraestructura del area de Tecnologias de Ja Informacién debe ser consistente con la naturaleza, tamafio y estructura de la Entidad Supervisada, asi como con la complejidad de los procesos y operaciones que realiza y los resultados del andlisis y evaluacién de riesgos en seguridad de la informaci6n, efectuado, Articulo 4°- (Estructura organizativa) La Entidad Supervisada, debe establecer una estructura organizativa adecuada al tamafio, volumen y complejidad de sus operaciones, que delimite las funciones y responsabilidades relativas a la gestiin de los recursos de tecnologta y seguridad de Ia informacién, aspectos que deben estar contemplados en un manual de organizacién y funciones, aprobados por su Directorio u Organo equivalente. Articulo 5°- (Comité de tecnologias de Ia informacién) Este Comité es responsable de establecer las politicas, procedimientos y prioridades para la administracién de informacion y gestion de los recursos de TI. El Comité de TI estar conformado al menos por: un miembro del Directorio u Organo equivalente, que sera quien lo presida, el Gerente General, Bjecutivos y/o funcionarios responsables de las &reas de servicios tecnol6gicos y de las areas usuatias del(los) sistema(s) de informacién de acuerdo al tema a ser tratado, cuyo funcionamiento se sujetard a su Reglamento, El Comité de TI debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones. Articulo 6°- (Comité operativo de tecnologias de Ia informacién) La Entidad Superviseda, de acuerdo su estructura organizativa, debe conformar un Comité Operativo de Tecnologias de la Informacién, el cudl debe estar consttuido por el nivel ejecutivo y los funcionarios encargados de las diferentes éreas que constituyen el érea de TL. Este Comité estar encargado de coordinar el ‘trabajo al interior de dicha érea. Titra Cireular $8/436%03 (07703) Inctal SBat303 (0003) Medfeacéa iwova € asmiis3/13 0913 Medteaion2 cata It ASFUB9S/I6 (06/16) Modificacion 3 a Pigina 1/2_Aoronan 08 Suc Ss FNciho -RECOPILACION DE NORMAS rata SeRvICrOS FINANCTEROS La frecuencia de las reuniones del Comité Operative de TI estard sujeta a su Reglamento. Asimismo, las decisiones y acuerdos establecidos en dicho Comité deben registrarse en actas que deben ser archivadas. Articulo 7°- (Responsable de la funci6n de la seguridad de la informacién) Con el propésito de establecer los mecanismos para la administracién y el control de la seguridad de los recursos de informacién, la Entidad Supervisada debe definir formalmente una instancia responsable que se cencargue de dicha funcién, de acuerdo con la naturaleza, tamaiio, volumen y complejidad de sus ‘operaciones. Esta instancia puede corresponder a una Gerencia, Jefatura, Oficial o a un Comité consttuido espeeificamente para tratar temas relacionados a la seguridad de la informacién. La ubicacién jerérquica de la instancia responsable de la seguridad de la informacién debe garantizar, su independencia funcional y operativa del (las) drea(s) de tecnologias y sistemas de informacién, unidades operativas y de la funcién de auditorfa. Adicionalmente, el responsable de la funcién de la seguridad de Ia informacién gestionard con las instancias que correspondan en la Entidad Supervisada, la implementacién, revisién, actualizacién y difusién de la Politica de Seguridad de la Informacién (PSI), asi como de la normativa que se ‘desprende de la misma, Cheadar $4363 0703) nical Pea 581443003 (0803) Modificacion 1 thot {ASPLIDI/3 (013) Modfeaion2 Seen? ASFIB9S/16 (06/16) Modifieacién 3 pagedecane Sure Sere Pcie) RECOM EROS SECCION 3: ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACION Articulo 1°~ _(Implementacién del anilisis y evaluactin de riesgos en seguridad de Ia informacién) La Entidad Supervisada es responsable de efectuar un andlisis y evaluacién de riesgos en seguridad de la informacién, acorde a su naturaleza, tamafio y complejidad de operaciones, debiendo desarrollar e implementar procedimientos especificos para este propésito, los cuales deben estar formalmente establecidos. El(los) resultado(s) obtenido(s) de dicho anilisis y evaluacién de riesgos en seguridad de la informacién, debe(n) estar contenido(s) en un informe elaborado por el Responsable de la funcién de la seguridad de Ja informacién, dirigido a la Gerencia General, para su posterior presentacién al Directorio u Organo equivalente. FI anélisis y evaluacién de riesgos en seguridad de la informaci6n, se constituye en un proceso continuo, por lo cual debe ser revisado y actualizado por lo menos una (1) vez al aio. Articulo 2°- (Politiea de seguridad de la informacién) De acuerdo con su estrategia do seguridad de la informacién y con los resultados de su andlisis y evaluacién de riesgos en seguridad de la informacién, la Entidad Supervisada debe tener formalizadas por escrito, actualizadas © implementadas la Politica de Seguridad de la Informacién (PSI) asi como la normativa que se desprende de la misma, aprobadas por el Directorio u Organo equivalente. La PSI asi como la normativa que se desprende de la misma, deben ser publicadas y comunicadas a las diferentes instancias de la Entidad Supervisada, en forma entendible y accesible. La Entidad Supervisada, al menos una (1) vez al aiio, debe revisar y actualizar la PSI asi como la normativa que se desprende de la misma, considerando su naturaleza, tamaflo, cambios y complejidad de sus operaciones, asegurando la correcta implementacién de las mejores practicas de seguridad de la informacién, . Articulo 3°~ _ (Licencias de software) Todo software utilizado por la Entidad Supervisada debe ccontar con las licencias respectivas. La Entidad Superviseda, debe definir los procedimientos necesarios para la instalacién, ‘mantenimiento y administracién de software, as{ como para el control del estado y custodia de las, licencias. Articulo 4°~ (Acuerdo de confidencialidad) Como parte de ta obligacién contractual, de los Directores, Consejeros de Administracion y Vigilancia, Ejecutivos, demés funcionarios, consultores y personal eventual, éstos deben aceptar y firmar los términos y condiciones del contrato de empleo en el cual se establecerén sus obligaciones en cuanto a ia seguridad de la informacién, entre las que se debe incluir el mantenimiento de la confidencialidad de la informacién a la que tengan acceso, inclusive después de la finalizacién de la relacién contractual. Articulo 5°- (Inventario de activos de informacién) La Entidad Supervisada debe contar con un inventario de los actives de informacién, permanentemente actualizado y asignar responsabilidades respecto a la proteccidn de los mismos. Se en a {Rage teat auch ses at we) “ASFUBIS/N6 (06/16) Modificacién 4 Pagina 14Arona bs SUPERS DEL STAM PMID RECOPILACION DE NORMAS PARA SERVICIOS PIUANCTEROS Articulo 6°- (Clasificacién de la informacion) La Entidad Supervisada debe establecer un esquema de clasificacién de la informacién, de acuerdo a la criticidad y sensibilidad de esta tltima, estableciendo adecuados derechos de acceso a los datos administrados en sus sistemas de informacién, asi como a la documentacién fisica. Esta clasificacién debe ser documentada, formalizada y comunicada a todas las dreas involucradas, Articulo 7°- _ (Propictarios de Ia informacién) Debe asignarse la propiedad de Ia informacion ‘a un responsable de cargo jerdrquico, de acuerdo al tipo de informacién y a las operaciones que desarrolla la Entidad Supervisada. Ademés, en coordinacién con 1a instancia responsable de seguridad de la informacién deben definirse los controles de proteccién adecuados, de acuerdo con el nivel de clasificacién otorgado a la informacién, Articulo 8°- (Andlisis de vulnerabilidades téenicas) La Entidad Supervisada es responsable de implementar una gestién de vulnerabilidades técnicas, a cuyo efecto debe contar con politicas y procedimientos formales que le permitan identificar su exposicién a las mismas y adoptar les, aeciones preventivas y/o correctivas que correspondan, considerando los siguientes aspectos: a. La evaluacién de vulnerabilidades técnicas debe efectuarse por lo menos una (1) vez por afio ¥y ante un cambio en la infraestructura tecnolégica. La ejecucién de pruebas de seguridad debe considerar la realizacién de pruebas de intrusién controladas intemas, externas 0 ambas de acuerdo con los resultados del andlisis y evaluacién de riesgos en seguridad de la informacién, efectuado por la Entidad Supervisada; b, El conjunto de politicas y procedimientos referido a la gestién de vulnerabilidades técnicas debe ser revisado y actualizado (si corresponde), por lo menos una (1) vez al afio; ¢. La Entidad Supervisada debe exigir a la(s) empresa(s) y/o persona(s) que le preste(n) servicios de evaluacién de seguridad de la informacién, la respectiva documentacién que acredite la experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que cl personal que realice las pruebas de intrusién controladas sea certificado y firme un acuerdo de confidencialidad conforme se establece en el Articulo 4° de la presente Seccién; El andlisis de vulnerabilidades técnicas puede ser realizado por personal externa, interno 0 ambos, conforme con los resultados del andlisis y evaluacién de riesgos en seguridad de la informacién, ofectuado por la Entidad Supervisada. Al efecto, el personal interno asignado para esta tarea debe ser ajeno al (las) area(s) de tecnologfas y sistemas de informacién. Articulo 9° (Clasificacién de direas de exclusién) La Entidad Supervisada debe identificar y clasificar las dreas de tecnologias de la informacién como dreas de exclusién que requieren medidas de proteccién y acceso restringido. Articulo 10°- (Caracteristicas del centro de procesamiento de datos) La Entidad Supervisada debe considerar los siguientes aspectos para la instalacién del ambiente destinado al Centro de Procesamiento de Datos (CPD): a, Ubicacién del CPD al interior de la Entidad Supervisada; . Espacio acorde y suficiente para la cantidad de equipos instalados; ©. Energia regulada de acuerdo con los requerimientos de los equipos; Circular $B/3608 (07703) tical Ther SB/44903 (0803) Medfoacn 1 Tilo VIL €——Sereses oad) Medipewcon 2 Capito t ASHII92/19 (0913) Medfecton3 Sreatn3 ‘ASPIB9S/I6 (06/16) Modificacién 4 gina 2/4Avro 8 Surg 1 ST FIED RECOPILACION DENORMAS PARA SERVICIOS FINANCIEROS 4. Cableado para el uso de los equipos de cémputo por medio de sistemas de ductos a través de piso 0 techo falso, de acuerdo con la necesidad de la Entidad Supervisada; e. Noalmacenar papel u otros suministros inflamables y/o equipos en desuso dentro del CPD; f£_Instalacign de los servidores y equipos de comunicacién de forma independiente, debidemente asegurados, segiin corresponda, Articulo 11°- (Manuales de procedimientos del centro de procesamiento de datos) La Entidad Supervisada debe contar con manuales de procedimientos para la gestién del (los) Centro(s) de Procesamiento de Datos, que consideren minimamente, los siguientes aspectos: iento; a Operacién y manteni b. Administracién de accesos; Pruebas a dispositivos de seguridad para garantizar su correcto funcionamiento. Articulo 12°~ (Proteceién de equipos) La Entidad Supervisada debe considerar que el Centro de Procesamiento de Datos debe contar al menos con los siguientes dispositivos: 4, Sistema de ventilacién que minimamente mantenga la temperatura y humedad en los niveles recomendados por los fabricantes de los equipos; b. Extintores de incendios (manuales y/o automiticos) u otros dispositivos segiin las caracteristicas de los equipos; €. Detectores de temperatura y humedad; 4, Equipos que aseguren el suministro de energia regulada en forma ininterrumpida; €. Mecanismos para el control de ingreso y salida del Centro de Procesamiento de Datos; {Vigilancia a través de cémaras de CCTV (Circuito Cerrado de TV). Articulo 13°- (Suministro eléctrico) Para el funcionamiento de equipos informiticos, se debe utilizar una acometida eléctrica independiente del resto de la instalacién, para evitar interferencias posibles interrupcioncs. La capacidad de autonomia de los equipos de suministro ininterrumpido ‘de energla, debe ser consistente con el Plan de Contingencias Tecnolégicas y con el Plan de Continuidad del Negocio. La Entidad Supervisada debe establecer mecanismos y destinar recursos para garantizar el suministro ininterrumpido de energia para el funcionamiento de equipos criticos y la prestacién de servicios al pablico, Articulo 14°- (Seguridad del eableado de red) El cableado utilizado para el transporte de datos de la Entidad Supervisada, debe cumplir con los estindares de cableado estructurado. Articulo 15°- (Pruebas a dispositivos de seguridad) Los dispositivos de seguridad fisica detallados en ef Articulo 12° de Ia presente Seccién, deben ser probados al menos dos (2) veces por afio, de tal forma que se garantice su correcto funcionamiento. La documentacién que respalde la realizaci6n de estas pruebas debe estar disponible cuando ASFI la requiera. Grader S603 7A3) al ae Swan (60) Medica amv ¢ Bias cae Nedtomtn! aa ASFUI93/13 (09/13) Modifeacion 3 Seccin3 “ASFU395/16 (06/16) Modifcacién 4 Pagina 3/4Avs = SUPERMSON LSITEUA FINNIE RECOPILACION DE NonMAS PARA SERVICIOS FINANCIEROS Articulo 16°- (Responsabilidad en ta gestién de seguridad de la informacién) La Entidad Supervisada debe realizar el control y cumplimiento de lo siguiente: a, Las fumeiones y responsabilidades de los Directivos, Consejeros, Ejecutivos, funcionarios, cconsultores y personal eventual deben ser definidas y documentadas en concordancia con la PSI y con la normativa que se desprende de la misma; b. Asegurar que los Directives, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual estén conscientes de las amenazas y riesgos de incidentes de seguridad de la informacién, asi como que estén capacitados para aceptar y cumplir con la PSI y con la normativa que se desprende de la misma, en el desarrollo normal de su trabaj ¢. Elestablecimiento de un proceso disciplinario formal para Directivos, Consejeros, Ejecutivos y funcionarios que hubieran cometido faltas y/o violaciones a la PSI y/o a la normativa que se “esprende de la misma, de la Entidad Supervisada; 4. La determinacién en ol contrato, de las sanciones para consultores y personal eventual que Ihubieran cometido faltas y/o violaciones a la PSI y/o a la normativa que se desprende de Ia misma, de la Entidad Supervisada, Articulo 17°- (Custodia y conservacién de datos) Los documentos relacionados con las ‘operaciones, microfilmados 0 registrados en medios magnéticos y/o electrénicos, deben ser conservados y permanecer en custodia de la Entidad Supervisada, por un periodo no menor a diez (10) afios La documentacién que se constituya en instrumento probatorio en un proceso administrativo, Judicial u otro, que se encuentre pendiente de resolucién, no debe ser objeto de destruecién, en resguardo de los derechos de las partes en conflicto. Articulo 18°- (Destruccién controlada de medios) La Entidad Supervisada debe establecer procedimientos para la destruccién controlada de los medios utilizados para el almacenamiento y respaldo de la informacién. cous aE a aa BERD, tS: aoe Bee eee Mean: eo sate ei hee? a ASPIB9S/I6 (06/16) Modificacién $ Pagina 44Atronnto oe Surenso De. SBA RCI RECOPLACION De NORMAS PARA SERVICIOS FINANCIEROS SECCION 4: ADMINISTRACION DEL CONTROL DE ACCESOS Articulo I°- (Administracién de cuentas de usuarios) La instancia responsable de la Seguridad de la Informacién debe implementar procedimientos formalizados, acordes con la Politica de Seguridad de la Informacién (PSI) y con la normativa que se desprende de la misma, respecto a la administracién de usuarios de los sistemas de informacién, debiendo considerar al menos: a, La administracién de privilegios de acceso a sistemas y a la red de datos (alta, baja y/o modificacién); b, La creacién, modificacién o eliminacién de cuentas de usuarios de los sistemas de informacién, debe contar con la autorizacién de In instancia correspondiente; c.La gestion de perfiles de acceso debe realizarse de acuerdo con el principio de menor privilegio; 4. La administracién y control de usuarios internos habilitados para navegacién en fa intranet e Internet; ¢. La asignacién de responsabilidad(es) sobre el hardware y software; f. La.administracién de estaciones de trabajo o computadoras personales. Articulo2°- (Administracién de privilegios) La Entidad Supervisada debe restringit y controlar el uso y asignacién de privilegios para las cuentas de usuario y de administracién de Ios sistemas de informacién, aplicaciones, sistemas operativos, bases de datos, intranet, Internet y otros servicios o componentes de comunicacién. Dichas asignaciones, deben ser revisadas por lo menos una (1) vez al ao, mediante un procedimiento formalmente establecido. Los privilegios de acceso a la informacién y a los ambientes de procesamiento de informacién otorgados a los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual, deben ser removidos a la culminacién de su mandato, funciones, contrato o acuerdo y deben ser ‘modificados en caso de cambio. Articulo 3°- (Administracién de contrasefias de usuarios) La Entidad Supervisada debe definir politicas de administracién de contrasefias que respondan a los resultados de su andlisis y ‘evaluacién de riesgos en seguridad de la informacién, Articulo 4°- (Monitoreo de actividades de los usuarios) Para el monitoreo de las actividades de los usuarios de los sistemas de informacién, Ia Entidad Supervisada debe establecer un procedimiento formalizado, a efectos de detectar ¢ identificar incidentes de seguridad de la informacién. Articulo 5°- (Registros de seguridad y pistas de auditoria) Con el objeto de minimizar los riesgos internos y extemnos relacionados con accesos no autorizados, pérdidas y datos de la informacién, la Entidad Supervisada, con base en los resultados de su andlisis y evaluacién de riesgos en seguridad de la informacién, debe implementar pistas de auditoria que contengan 10s datos de los accesos y actividades de los usuarios, excepeiones y registros de los incidentes de seguridad de la informacién, (eee ae ASFI/193/13 (09/13) Modificacién 3 Seccién 4 ‘ASFIBBS/IG (D6/16) Modifcacién Pagina 1/1Auronan oe Sunset Sera eter Recor scion pe SECCION 5: DESARROLLO, MANTENIMIENTO E IMPLEMENTACION DE SISTEMAS DE INFORMACION Articulo I°- (Politicas y procedimientos) La Entidad Supervisada debe establecer politicas y procedimientos, para el desarrollo, mantenimiento ¢ implementacidn, de sistemas de informacién ‘considerando las caracteristicas propias relacionadas a las soluciones informticas que requiere, a como los resultados de su andlisis y evaluaciOn de riesgos en seguridad de la informacién. Articulo 2°- (Desarrollo y mantenimiento de programas, sistemas de informacién o aplicaciones informaticas) La Entidad Supervisada que realice el desarrollo o mantenimiento de programas, sistemas de informacién o aplicaciones informéticas, debe garantizar que su disefio € implementacién se enmarque en la legislacién y normativa vigente, segin corresponda, asi como en sus politicas internas. Articulo 3°- (Requisitos de seguridad de los sistemas de informacién) La instancia responsable de la seguridad de la informacién de la Entidad Supervisada, debe velar por la inclusién en el disefio de los sistemas de informacién, de controles de seguridad, identificados y consensuados con las éreas involucradas. Articulo 4°- (Esténdares para el proceso de ingenierfa del software) De acuerdo con la ‘estructura y complejidad de sus operaciones, la Entidad Supervisada debe contar con metodologias, ‘esténdar para el proceso de adquisicién, desarrollo y mantenimiento del software, que comprendan aspectos tales como: estudio de factibilidad, andlisis y especificaciones, diseflo, desarrollo, pruebas, ‘migracién de datos preexistentes, implementacién y mantenimiento de los sistemas de informacién. Asimismo, acorde con los mencionados procesos, la Entidad Supervisida debe contar minimamente con la siguiente documentacién: a. Diccionario de datos; b. Diagramas de disefio (Entidad-Relacién, Flujo de datos, entre otros); c. Manual téenico; d. Manual de usuario; ©. Documentacién que especifique el flujo de la informacién entre los médulos y los sistemas. Articulo 5°- (Integridad y validez de Ia informacién) La Entidad Supervisada para el desarrollo y mantenimiento de los sistemas de informacién, debe tomar en cuenta al menos los siguientes aspectos: a. Implementar controles automatizados que permitan minimizar errores en la entrada de datos, ‘en su procesamiento y consolidacién, en la ejecucién de los procesos de actualizacién de archivos y bases de datos, asf como en la salida de la informacidn; b. Verificar periédicamente que la informacién procesada por los sistemas de informacién sea integra, valida, confiable y razonable; ¢, Establecer controles que limiten la modificacién y la eliminacién de datos en cuanto a movimientos, saldos y operaciones efectuadas por los clientes y otros. Circular SB/43603 (0703) Inca Libros? ‘$8/643/03 (08/03) Modificacién 1 Titulo VIL {— Stacsou 10) Medienion2 Capito 1 ‘ASFI/I/I3 (09/13) Modificacion 3 Seccién 5 ASFUBIS/6 (06/6) Modificacién 4 ‘Pagina 3