La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Contratación Electrónica y Seguridad en el medio bancario

Publicada porEncarnación Torres Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Contratación Electrónica y Seguridad en el medio bancario"— Transcripción de la presentación:

1 Contratación Electrónica y Seguridad en el medio bancario
Alfredo Reyes Krafft Octubre 2010

2 1863 Julio Verne describió: “Un sistema de comunicación a distancia, automático y secreto”… “La foto-telegrafía permitía enviar cualquier tipo de escrito, firma o ilustración, o cualquier contrato para ser firmado, a una distancia de 20,000 kilómetros”... “Todas las casas estaban cableadas”... Manuscrito fechado en 1863, París en el siglo XX, (publicado hasta 1994) Jules Hetzel se negó a publicarla, porque la consideró “demasiado pesimista”. El editor de Verne se negó a publicar el manuscrito, poco después del gran éxito obtenido por la primera novela del escritor francés, Cinco semanas en globo. Pierre-Jules Hetzel le explica sus razones a Verne en una carta que se estima fue escrita a finales de 1863 o principios de 1864, donde le dice que nadie leería una novela tan pesimista y le afirma que la publicación de dicho texto podría constituir un verdadero desastre para la reputación de Verne como escritor. Ha emprendido usted una tarea imposible y —como sus predecesores en cosas análogas— tampoco ha conseguido llevarla a buen fin. Está cien pies por debajo de Cinco semanas en Globo. Si la vuelve a leer estará de acuerdo conmigo. Es periodismo barato y sobre un tema nada afortunado. No esperaba una cosa perfecta; le vuelvo a decir que sabía que estaba intentando algo imposible, pero esperaba algo mejor. Aquí no hay resuelta ninguna cuestión de futuro serio, ninguna crítica que no parezca una caricatura ya hecha y rehecha, y si algo me asombra es que haya podido usted hacer, como en un arrebato y empujado por algún dios, algo tan penoso, tan poco vivo... (...) No está usted maduro para un libro así, vuelva a intentarlo dentro de veinte años.

3 Estudio Media Contacts Medios Digitales 2007
Importantes cambios en la comunicación … Estudio Media Contacts Medios Digitales 2007

4 Internet no es solo un conjunto de redes y computadoras interconectadas
… es una RED de PERSONAS...

5 Desafíos a la Contratación en Internet
AUTENTICACIÓN LEGISLACIÓN ? Seguridad en dispositivo INTEGRIDAD ACCESIBILIDAD

6 Foco en la educación al Usuario
DISPOSITIVOS SISTEMAS + FACILIDAD DE USO = – SEGURIDAD + FUNCIONALIDAD = – SEGURIDAD REDES + COMPLEJAS = – SEGURAS + FORMAS DE ACCESO = – SEGURAS

7 Autenticación A lo largo de la historia, el concepto de firma ha tenido distintas acepciones y modos de manifestarse Manufirmatio En Roma la ceremonia de firma consistía en pasar la mano sobre un documento determinado en actitud de jurar (sin hacerlo). Sellos En la Edad Media, el autor de un documento colocaba sellos personales, marcas y signos para manifestar su voluntad de reconocer el contenido. Firma Autógrafa En la actualidad, la firma no es sino un trazo peculiar mediante el cual un sujeto consigna su nombre, a fin de manifestar la autoría de un documento y el reconocimiento de su contenido. Fuente: 7

8 Firma Concepto Firma = Consentimiento Migrar a medios electrónicos:
Identificación de la persona Expresión del consentimiento (voluntad de asumir el contenido de un documento en el que se estampa) Medio de prueba Firma = Consentimiento Exteriorización de la declaración de voluntad de una persona Migrar a medios electrónicos: Reconocimiento y validez jurídica del contrato celebrado electrónicamente Exigibilidad judicial Equivalente funcional a través de la criptografía de clave pública: ATRIBUCIÓN Y NO REPUDIO INTEGRIDAD Y AUTENTICIDAD ACCESIBILIDAD Y CONFIDENCIALIDAD 8

9 AUTENTICACIÓN / ATRIBUCIÓN
Principios Conceptos Criptografía Equivalencia Funcional Compatibilidad Internacional Tecnología Firma Autonomía de la Voluntad ATRIBUCIÓN / AUTENTICACIÓN: La forma en que podemos garantizar que las partes que se obligan en la relación, son quienes dicen ser y expresan su voluntad. AUTENTICAR: (DE AUTÉNTICO) AUTORIZAR O LEGALIZAR ALGO ATRIBUIR: APILICAR HECHOS O CUALIDADES A ALGUIIEN. ASIGNAR ALGO A ALGUIEN COMO SUYO Neutralidad Tecnológica Fuente: 9

10 LEGISLACIÓN EN MÉXICO Código de Comercio 1889 - Telégrafo
Código Civil Teléfono Leyes Financieras y Bancarias Medios Telemáticos. Ley PROFECO Ventas a distancia. Telemarketing. Leyes Fiscales Declaraciones y pagos en formato electrónico. Enero 4, 2000 (LAASSP y LOP) La legislación existente hasta esa fecha, requería para la validez del acto o contrato del soporte de la forma escrita y la firma autógrafa, para vincular a las partes en forma obligatoria Es a partir del 29 de mayo del 2000 cuando en México se reconoce legalmente la equivalencia funcional a la firma electrónica en relación con la firma autógrafa y se considera expreso el consentimiento dado en medios electrónicos. (LAASSP) Ley de Arrendamientos, Adquisiciones y Servicios del Sector Público (LOP) Ley de Obras Públicas y Servicios relacionados con las mismas 10

11 INTEGRIDAD Mensaje de Datos del 11

12 INTEGRIDAD: Entendida en dos vertientes, la primera respecto de la fiabilidad del método para generar, comunicar, recibir o archivar el Mensaje de Datos. Y la segunda como la forma de garantizar que la información en él contenida no fue alterada 12

13 NOM- 151- SCFI-2002.- REQUISITOS QUE DEBEN OBSERVARSE PARA
LA CONSERVACIÓN DE MENSAJES DE DATOS (DOF. 04/06/2002) Campo de aplicación: Es de observancia general para los comerciantes que deban conservar los mensajes en que se consignen convenios o compromisos que originen el surgimiento de derechos y obligaciones, así como para todas aquellas personas con quienes los comerciantes otorguen o pacten dichos contratos. Método a seguir para la conservación de los mensajes de datos: (se describe en el apéndice del proyecto, requiere de la utilización de tecnología PKI y de la existencia y participación de un Prestador de Servicios de Certificación). La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadoras. Método para digitalizar archivos soportados en medio físico: La migración deberá ser cotejada por un tercero legalmente autorizado, quien constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. Entrada en vigor: 17 de febrero del días después de la publicación de la resolución de inicio de vigencia (19/12/2005) ACUERDO QUE MODIFICA LAS REGLAS GENERALES A LAS QUE DEBERAN SUJETARSE LOS PRESTADORES DE SERVICIOS DE CERTIFICACION ARTICULO UNICO.- Se adicionan las Reglas 2.bis., 2.bis.1., 2.bis.1.1., 2.bis.1.2., 2.bis.2. y 3.3.; se modifican las Reglas , 3., 3.2., 7., 7.1. y 7.2., y se derogan las Reglas , , 7.3. y 7.4. de las Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación, publicadas el 10 de agosto de 2004 en el Diario Oficial de la Federación, para quedar como siguen: “1. y 2. … 2.bis. En caso de que el Solicitante de Acreditación refiera en su solicitud, además de la emisión de Certificados, la prestación de otro u otros servicios de firma electrónica, como son la conservación de mensajes de datos, el sellado digital de tiempo y la validación de Certificados, conforme lo prevé el artículo 89 del Código de Comercio, se aplicará lo siguiente: 2.bis.1. Deberá cumplir, para cada uno de los servicios adicionales señalados en el numeral anterior, lo siguiente: 2.bis.1.1. Lo establecido en los apartados , , , , y , en relación con los servicios adicionales a la emisión de certificados para los que solicita su acreditación. 2.bis.1.2. El modelo operacional a que hace referencia el apartado , respecto del servicio de que se trate. 2.bis.2. En caso de que un Prestador de Servicios de Certificación ya acreditado por la Secretaría para la emisión de Certificados, solicite su acreditación para otro servicio de firma electrónica de los señalados en el apartado 2.bis., se tendrán por cumplidos los numerales 2.1, 2.2, 2.3 y 2.5. 2.1. a … El seguro, cuyo monto aplicable para cada año será el determinado por la Secretaría con base en un análisis de las operaciones comerciales y mercantiles en que sean utilizados los Certificados, y no será menor al equivalente a treinta veces el salario mínimo general diario vigente en el Distrito Federal correspondiente a un año. En caso de que un Prestador de Servicios de Certificación sea acreditado para otro u otros servicios de firma electrónica adicionales, de los mencionados en el apartado 2.bis., la cobertura del seguro deberá incluir la totalidad de los servicios. 2.4.- a … 3.- Para los efectos del artículo 102, inciso A), fracción V, del Código de Comercio, y del apartado 2.bis., de las presentes Reglas, en relación con el artículo 89 del Código de Comercio, las condiciones a las que se sujetará la fianza que otorguen los solicitantes que obtengan su acreditación, previo al inicio del ejercicio de sus funciones como Prestadores de Servicios de Certificación, serán conforme a lo siguiente: Se deroga. Se deroga. 3.2. El solicitante que haya sido acreditado como Prestador de Servicios de Certificación para expedir Certificados, deberá otorgar una fianza por un monto mínimo equivalente a cinco mil veces el salario mínimo general diario vigente en el Distrito Federal, monto que deberá incrementarse por cada persona, física o moral adicional, que contemple para efectos del artículo 104, fracción I del Código de Comercio, para prestar el servicio de certificación en nombre y por cuenta del solicitante, hasta por un monto máximo equivalente a cien mil veces el salario mínimo general diario vigente en el Distrito Federal. 3.3. En caso de que un Prestador de Servicios de Certificación acreditado por la Secretaría para expedir Certificados fuera acreditado para prestar también uno o más servicios adicionales de firma electrónica de los mencionados en el numeral 2.bis., deberá ampliar la cobertura de la fianza ya otorgada, para incluir las actividades de los nuevos servicios, por el monto señalado en el numeral anterior. 4. a 6. … 7. Para los efectos del artículo 108, fracción VI del Código de Comercio y 18 del Reglamento, así como, en caso de que sea necesario, del apartado 2.bis., de las presentes Reglas, la fecha y hora de emisión del Certificado o de la prestación del servicio de firma electrónica, se determinará conforme a lo siguiente: 7.1. El Prestador de Servicios de Certificación deberá llevar un registro de sellos digitales de tiempo, los cuales serán emitidos ya sea por la Secretaría, por un sistema propio o por el de otro Prestador de Servicios de Certificación acreditado para este servicio, para asegurar y dejar constancia de la fecha y hora de la emisión de los Certificados generados por el Prestador de Servicios de Certificación o de la prestación de los servicios de firma electrónica que lo requieran. En caso de que se solicite la acreditación para la emisión de sellos digitales de tiempo y para otro servicio adicional de los señalados en el numeral 2.bis., se podrán otorgar ambas acreditaciones por medio de un mismo trámite, siempre que para dicho servicio sea indispensable el sellado digital de tiempo. 7.2. El sistema de sellos digitales de tiempo deberá cumplir, en todo momento, por lo menos, con el estándar internacional Internet X.509 “Public Key Infraestructure Time Stamp” y considerar los RFC 3161 y 3628, o los que lo suplan, previo aviso que la Secretaría haga por escrito a los Prestadores de Servicios de Certificación. 7.3. Se deroga. 7.4. Se deroga. 8. a 11. …”. TRANSITORIO UNICO.- El presente Acuerdo entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación. México, D.F., a 26 de febrero de El Secretario de Economía, Eduardo Sojo Garza Aldape.- Rúbrica. 13

14 Código de Comercio Artículo 49.- Los comerciantes están obligados a conservar por un plazo mínimo de diez años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones. Para efectos de la conservación o presentación de originales, en el caso de mensajes de datos, se requerirá que la información se haya mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta. La Secretaría de Comercio y Fomento Industrial emitirá la Norma Oficial Mexicana que establezca los requisitos que deberán observarse para la conservación de mensajes de datos.

15 Código de Comercio Artículo 93 bis.- Sin perjuicio de lo dispuesto en el artículo 49 de este Código, cuando la ley requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho respecto a un Mensaje de Datos: I. Si existe garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como Mensaje de Datos o en alguna otra forma, y II. De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona a la que se deba presentar. Para efectos de este artículo, se considerará que el contenido de un Mensaje de Datos es íntegro, si éste ha permanecido completo e inalterado independientemente de los cambios que hubiere podido sufrir el medio que lo contiene, resultado del proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido será determinado conforme a los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

16 Código de Comercio Artículo Son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos y en consecuencia serán tomadas como pruebas las declaraciones de las partes, terceros, peritos, documentos públicos o privados, inspección judicial, fotografías, facsímiles, cintas cinematográficas, de videos, de sonido, mensajes de datos, reconstrucciones de hechos y en general cualquier otra similar u objeto que sirva para averiguar la verdad. Artículo 1298-A.- Se reconoce como prueba los mensajes de datos. Para valorar la fuerza probatoria de dichos mensajes, se estimará primordialmente la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada.

17 INTEGRIDAD y FIABILIDAD
PRUEBA EN JUICIO INTEGRIDAD y FIABILIDAD INTERNO CONTROL ACCESIBILIDAD Prestador de Servicios de Certificación Resguardo de copias de los Expedientes Generación de Constancias Sistema de Conservación de Información Constancias Constancias Constancias Usuarios Información Contable Expedientes Expedientes Expedientes Fundamentada en un método de dominio público (ASN.1) Impide la creación de monopolios Método basado en desarrollos Internacionales de ISO y ITU que iniciaron en 1946. Proponen las bases para la creación de un sistema de conservación de información en cualquier plataforma y que maneje cualquier tipo de datos. Información Legal Archivos Parciales Archivos Parciales Archivos Parciales Información Comercial 17

18 Autoridad de Sellos de Tiempo (TSA)
Diagrama del Sistema NOM-151 Mensaje de Datos Expediente Mensaje de Datos Sistema NOM-151 Cliente Mensaje de Datos PSC Usuario Sistema NOM-151 Servidor Autoridad de Sellos de Tiempo (TSA) RFC 3161 18 18

19 Autoridad de Sellos de Tiempo (AST)
Diagrama del Sistema NOM-151 Mensaje de Datos Mensaje de Datos Sistema NOM-151 Cliente RFC 3161 14:04:32 03/06/01 Expediente Constancia Mensaje de Datos PSC Usuario Sistema NOM-151 Servidor RFC 3161 14:04:32 03/06/01 Autoridad de Sellos de Tiempo (AST) 19 19

20 ADVANTAGE SECURITY, S. DE R.L. DE C.V.
Emisión de Certificados publicado en el DOF (13/12/2005) Conservación de mensajes publicado en el DOF (08/10/2007) PSC WORLD, S.A. DE C.V. Emisión de Certificados publicado en el DOF (15/12/2005) CECOBAN Emisión de Certificados publicado en el DOF (19/09/2008) Conservación de mensajes publicado en el DOF (19/09/2008) EDICOMUNICACIONES MEXICO S.A DE C.V. Emisión de Certificados publicado en el DOF (07/05/2009) Conservación de mensajes publicado en el DOF (07/05/2009) PSC acreditados por la Secretaría de Economía PRUEBA EN JUICIO FIABILIDAD INTEGRIDAD INTERNO CONTROL ACCESIBILIDAD + Banxico NOM-151 20

21 ACCESIBILIDAD: Se refiere a que el contenido de un mensaje de datos pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para su ulterior consulta. 21

22 Control de los Datos

23 Consentimiento Expreso Consentimiento Expreso Consentimiento Tácito
Cualquier información concerniente a una persona física Identificada o identificable Sensibles Financieros o Patrimoniales Datos Personales Consentimiento Expreso Sin excepción Justificación Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual Los datos financieros o patrimoniales al igual que los sensibles requerirán el consentimiento expreso de su titular (8), pero admiten excepciones, es decir no se requerirá, por ejemplo, cuando tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable … (10 y 37) Consentimiento Expreso Con excepciones Consentimiento Tácito Aviso de Privacidad

24 Ejes Rectores Autorregulación

25 ? Legislación

26 Paradigmas respecto de la legislación en materia de seguridad:
? Las leyes reducen necesariamente aquello que se pretende evitar… Las leyes tienen un efecto necesariamente positivo… Las leyes son necesariamente eficaces…. Las leyes implican necesariamente regulación del Internet…

27 Objetivos Razonables Efecto potencialmente disuasivo;
Creación de medios de resarcimiento legal; No-creación de cargas innecesarias a comercio electrónico o relaciones en línea; Eventuales medios de cooperación procesal internacional; Establecimiento de criterios para protección de Internautas y medidas para prevenir el fraude Limited Outright Ban: Definición clara de prohibiciones ADV Labeling: Obligación de usar información veraz y adecuada en los encabezados de los mensajes – Etiquetas para protección de menores- Anti-Fraud Provisions: Medidas para prevenir el fraude

28 El caso mexicano: Legislación en materia de Seguridad Bancaria

29 Ley de Instituciones de Crédito
Artículo 52.- Los bancos pueden ofrecer servicios a sus clientes a través de medios electrónicos siempre que se establezcan en los contratos que celebren: “Las operaciones y servicios cuya prestación se pacte; Los medios de identificación del usuario y las responsabilidades correspondientes a su uso, y Los medios por los que se hagan constar la creación, transmisión, modificación o extinción de derechos y obligaciones inherentes a las operaciones y servicios de que se trate”.   El uso de esos medios de identificación, “en sustitución de la firma autógrafa, producirá los mismos efectos que las leyes otorgan a los documentos correspondientes y, en consecuencia, tendrán el mismo valor probatorio.” La CNBV emitirá reglas para la instalación y uso de esos medios electrónicos Artículo 52.- Las instituciones de crédito podrán pactar la celebración de sus operaciones y la prestación de servicios con el público, mediante el uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos, estableciendo en los contratos respectivos las bases para determinar lo siguiente: I. Las operaciones y servicios cuya prestación se pacte;  II. Los medios de identificación del usuario y las responsabilidades correspondientes a su uso, y  III. Los medios por los que se hagan constar la creación, transmisión, modificación o extinción de derechos y obligaciones inherentes a las operaciones y servicios de que se trate.   El uso de los medios de identificación que se establezcan conforme a lo previsto por este artículo, en sustitución de la firma autógrafa, producirá los mismos efectos que las leyes otorgan a los documentos correspondientes y, en consecuencia, tendrán el mismo valor probatorio.  La instalación y el uso de los equipos y medios señalados en el primer párrafo de este artículo, se sujetarán a las Reglas de carácter general que en su caso, emita la Comisión Nacional Bancaria y de Valores. Lo anterior, sin perjuicio de las facultades con que cuenta el Banco de México para regular las operaciones que efectúen las instituciones de crédito relacionadas con los sistemas de pagos y las de transferencias de fondos en términos de su ley.

30 Reforma: art. 52 LIC (febrero 2008, DOF)
Previo acuerdo con sus clientes, el Banco podrá “suspender o cancelar el trámite de operaciones” siempre que cuente con “elementos suficientes para presumir que los medios de identificación fueron utilizados en forma indebida” o detecten algún error. También restringir la disposición de los recursos (hasta por 15 días y 10 mas si se ve involucrada la autoridad correspondiente), en caso de que detecte probables hechos ilícitos cometidos en virtud de la operación respectiva. Todo lo anterior deberá ser notificado al cliente respectivo . Cuando así lo acuerden con su clientela, las instituciones podrán suspender o cancelar el trámite de operaciones que aquélla pretenda realizar mediante el uso de equipos o medios a que se refiere el primer párrafo de este artículo, siempre que cuenten con elementos suficientes para presumir que los medios de identificación pactados para tal efecto han sido utilizados en forma indebida. Lo anterior también resultará aplicable cuando las instituciones detecten algún error en la instrucción respectiva. Asimismo, las instituciones podrán acordar con su clientela que, cuando ésta haya recibido recursos mediante alguno de los equipos o medios señalados en el párrafo anterior y aquéllas cuenten con elementos suficientes para presumir que los medios de identificación pactados para tal efecto han sido utilizados en forma indebida, podrán restringir hasta por quince días hábiles la disposición de tales recursos, a fin de llevar a cabo las investigaciones y las consultas que sean necesarias con otras instituciones de crédito relacionadas con la operación de que se trate. La institución de crédito podrá prorrogar el plazo antes referido hasta por diez días hábiles más, siempre que se haya dado vista a la autoridad competente sobre probables hechos ilícitos cometidos en virtud de la operación respectiva. No obstante lo dispuesto en el párrafo anterior, cuando las instituciones así lo hayan acordado con su clientela, en los casos en que, por motivo de las investigaciones antes referidas, tengan evidencia de que la cuenta respectiva fue abierta con información o documentación falsa, o bien, que los medios de identificación pactados para la realización de la operación de que se trate fueron utilizados en forma indebida, podrán, bajo su responsabilidad, cargar el importe respectivo con el propósito de que se abone en la cuenta de la que procedieron los recursos correspondientes. Las instituciones que por error hayan abonado recursos en alguna de las cuentas que lleven a su clientela, podrán cargar el importe respectivo a la cuenta de que se trate con el propósito de corregir el error, siempre que así lo hayan pactado con ella. En los casos señalados en los cuatro párrafos anteriores, las instituciones deberán notificar al cliente respectivo la realización de cualquiera de las acciones que hayan llevado a cabo de conformidad con lo previsto en los mismos.

31 ESQUEMA CIRCULAR ÚNICA BANCARIA (anterior a 2010)
Concientización - Riesgos y recomendaciones Confidencialidad - Manejo de información sensible SESIÓN IDENTIFICADOR DE USUARIO 2° FACTOR AUTENTICACIÓN CONTRASEÑA OPERACIÓN Longitud Estructura No permitidas Intentos Inactividad Restablecimiento OTP Una a la vez Time out OTP cuentas OTP transacciones Montos por cliente Monitoreo Notificación Alertamiento Continuidad – Áreas de Soporte y Comité de Auditoria

32 DOF 27 de enero del 2010

33 DOF 27 de enero del 2010

34

35

36 Controles de acuerdo al grado de riesgo
Tipos de Operaciones Se definen controles de acuerdo al riesgo asociado con cada Medio Electrónico y al tipo de operación. Operaciones Monetarias :Transacción que implique transferencias de recursos dinerarios, las cuales podrán ser : Micropagos: 70 UDIs (aprox. 25 dlls) Baja Cuantía: 250 UDIs diarias (aprox. 90 dlls ) Mediana Cuantía: 1,500 UDIs diarias (aprox. 530 dlls) Montos superiores a 1,500 UDIs diarias

37 Controles de acuerdo al grado de riesgo
Pago Móvil ( Monedero Electrónico ) Cajero Automático Banca Móvil , BxI IVR TPV Host to Host Sin NIP NIP + Control Compensatorio Tarjeta EMV Segundo Factor Cifrado / 1 Seguridad Registro de Cuentas 2 Notificaciones 70 250 500 Límite de acuerdo a la Institución UDIs Límite del Usuario No aplica para BxT No aplica para TPV Contratación en CAT Contratación en otro Medio Electrónico con FA Sin registro de cuentas Registro de cuentas destino mismo Medio BxT Voz a Voz Registro de cuentas destino en otro Medio Baja Cuantía Micro Pago Mediana TPV Móvil Baja cuantía

38 un solo FA (NIP de 5 dígitos)
Pago Móvil Servicio cuyo dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra asociado al servicio, en el que únicamente se podrán realizar consultas de saldos, pagos o transferencias con cargo a una tarjeta o cuenta bancaria. Se pueden realizar las siguientes operaciones (por no mas de 4,000 udis mensuales): Micro Pagos sin registro de cuentas y sin Factor de Autenticación (FA), siempre y cuando el Banco pague las reclamaciones en 24 horas Baja Cuantía sin registro de cuentas Mediana Cuantía requieren registro de Cuentas Destino Banca Móvil Servicios y operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al servicio Los servicios que utilicen navegadores (Java, Brew), y cuyo número de línea del Teléfono Móvil no se encuentre asociado al servicio, son considerados Banca por Internet un solo FA (NIP de 5 dígitos)

39 Se definen procesos para la contratación de los servicios
Banca por Internet Servicios y operaciones bancarias realizadas a través de Internet, en el sitio que corresponda a uno o más dominios de la Institución, incluyendo el acceso mediante el protocolo WAP o similar El acceso al servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA) con conexión a Internet Banca telefónica Voz a Voz Servicio mediante el cual un usuario instruye vía telefónica a un representante de la Institución para realizar operaciones bancarias en nombre del usuario. El servicio no está limitado en monto Terminales Punto de Venta Dispositivos o medios de acceso, tales como terminales de cómputo especializadas, software y teléfonos móviles, operados por usuarios para la recepción de pagos de bienes o servicios con cargo a tarjetas de crédito, débito u otro tipo de cuentas. El servicio no está limitado en monto Se definen procesos para la contratación de los servicios

40 Los Usuarios podrán, en cualquier momento, desactivar y reactivar el uso de un servicio de Banca Electrónica en forma temporal Se establecen criterios para verificar la identidad de los clientes a través del uso de Factores de Autenticación: Factor de Autenticación Categoría 1 Procesos en CAT que utilizan cuestionarios de información que no ha sido impresa o enviada al usuario. Factor de Autenticación Categoría 2 Información que solo el usuario conoce, tales como contraseñas y NIP. Factor de Autenticación Categoría 3 Se compone de información contenida o generada por medios o dispositivos proporcionados por las Instituciones a los usuarios, tales como dispositivos generadores de contraseñas dinámicas de un solo uso. Factor de Autenticación Categoría 4 Se compone de información del usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras.

41 Para la celebración de Operaciones Monetarias los Usuarios deberán registrar las Cuentas Destino previo a su uso Las Instituciones deberán solicitar confirmación del usuario antes de realizar operaciones monetarias con terceros u otros bancos. Las Instituciones deberán generar comprobantes para todas las operaciones realizadas en un servicio de Banca Electrónica Se deberá notificar a los usuarios a través de un medio diferente las siguientes operaciones: Transferencias a cuentas de terceros u otros bancos Pagos de créditos, servicios e impuestos Modificación de límites de montos Registro de cuentas destino de terceros u otros bancos Alta y modificación del medio de notificación Contratación de otros servicios de Banca Electrónica Desbloqueo del servicio y reactivación Cambios de contraseñas Se exceptúan de notificación las operaciones de Pago Móvil, así como aquellas realizadas en ATM y TPV cuando sean de Baja Cuantía Las Instituciones no deberán enviar números de cuenta completos ni domicilios del usuario en la notificación

42

43 ¿La legislación orientada a mecanismos o herramientas de seguridad nos da “más” seguridad o nos la quita?

44 Ladrón “invierte” en formas de ataque
Estandarizar mecanismos de seguridad implica fomentar “uniformidad” Y por ende mas RIESGO…

45 “Ni tanto que queme al santo… ni tan poco que no lo alumbre”

46 Muchas Gracias Dr. Alfredo A. Reyes Krafft aareyes@krafft.mx
Flickr (licencia creative commons) Estudio Media Contacts Medios Digitales 2007

Descargar ppt "Contratación Electrónica y Seguridad en el medio bancario"

Presentaciones similares

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
XI Reunión de Responsables de Sistemas de Información

XI Reunión de Responsables de Sistemas de Información
Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.

Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.
Delitos Informáticos.

Delitos Informáticos.
LEGISLACIÓN DE COMERCIO ELECTRÓNICO EN MÉXICO. Fuente: Diario Oficial de la Federación CÓDIGO DE COMERCIO Cámara de Diputados del H. Congreso de la Unión.

LEGISLACIÓN DE COMERCIO ELECTRÓNICO EN MÉXICO. Fuente: Diario Oficial de la Federación CÓDIGO DE COMERCIO Cámara de Diputados del H. Congreso de la Unión.
Antecedentes regulatorios

Antecedentes regulatorios
SIGAD – Proceso de Ingreso

SIGAD – Proceso de Ingreso
COMPROMISO DE LA COFEPRIS

COMPROMISO DE LA COFEPRIS
Comprobantes fiscales FBA Artículo 29.- Cuando las leyes fiscales establezcan la obligación de expedir comprobantes, deberán reunir los requisitos. 29-A.-I.-

Comprobantes fiscales FBA Artículo 29.- Cuando las leyes fiscales establezcan la obligación de expedir comprobantes, deberán reunir los requisitos. 29-A.-I.-
Firma Electrónica Avanzada

Firma Electrónica Avanzada
La Firma Autógrafa La firma autógrafa, son los rasgos o signos estampados en un documento u obra que liga, al que los estampa con el contenido del documento.

La Firma Autógrafa La firma autógrafa, son los rasgos o signos estampados en un documento u obra que liga, al que los estampa con el contenido del documento.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) 5031-1100 Fax: (54 11) 5217-6300 E-Mail: estudio@bpcm.com.ar Web: www.bpcm.com.ar.

Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) Fax: (54 11) Web:
Firma Digital en el Ecuador

Firma Digital en el Ecuador
Firma digital en el ecuador

Firma digital en el ecuador
E – COMMERCE Comercio Electrónico

E – COMMERCE Comercio Electrónico
CENTRAL DE RIESGOS CREDITICIOS

CENTRAL DE RIESGOS CREDITICIOS
Administración de Certificados Digitales

Administración de Certificados Digitales
Sistema de Cuentas Tributarias Sistema de Cuentas Tributarias Marzo 2008.

Sistema de Cuentas Tributarias Sistema de Cuentas Tributarias Marzo 2008.
Firma y Certificado Digital Angel Lanza Carlos Garcia.

Firma y Certificado Digital Angel Lanza Carlos Garcia.

Presentaciones similares

Anuncios Google