La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Contratación Electrónica y Seguridad en el medio bancario Alfredo Reyes Krafft Octubre 2010.

Presentaciones similares


Presentación del tema: "Contratación Electrónica y Seguridad en el medio bancario Alfredo Reyes Krafft Octubre 2010."— Transcripción de la presentación:

1 Contratación Electrónica y Seguridad en el medio bancario Alfredo Reyes Krafft Octubre 2010

2 1863 Julio Verne describió: –Un sistema de comunicación a distancia, automático y secreto… –La foto-telegrafía permitía enviar cualquier tipo de escrito, firma o ilustración, o cualquier contrato para ser firmado, a una distancia de 20,000 kilómetros... –Todas las casas estaban cableadas... Manuscrito fechado en 1863, París en el siglo XX, (publicado hasta 1994)

3 Estudio Media Contacts Medios Digitales 2007 Importantes cambios en la comunicación …

4 Internet no es solo un conjunto de redes y computadoras interconectadas … es una RED de PERSONAS...

5 AUTENTICACIÓN INTEGRIDAD Seguridad en dispositivo ACCESIBILIDAD Desafíos a la Contratación en Internet LEGISLACIÓN ?

6 –SISTEMAS + FACILIDAD DE USO= – SEGURIDAD + FUNCIONALIDAD= – SEGURIDAD –REDES + COMPLEJAS= – SEGURAS + FORMAS DE ACCESO= – SEGURAS DISPOSITIVOS Foco en la educación educación al Usuario

7 A lo largo de la historia, el concepto de firma ha tenido distintas acepciones y modos de manifestarse Manufirmatio En Roma la ceremonia de firma consistía en pasar la mano sobre un documento determinado en actitud de jurar (sin hacerlo). Sellos En la Edad Media, el autor de un documento colocaba sellos personales, marcas y signos para manifestar su voluntad de reconocer el contenido. Firma Autógrafa En la actualidad, la firma no es sino un trazo peculiar mediante el cual un sujeto consigna su nombre, a fin de manifestar la autoría de un documento y el reconocimiento de su contenido. Fuente: Autenticación

8 FIRMA Concepto Identificación de la persona Expresión del consentimiento (voluntad de asumir el contenido de un documento en el que se estampa) Medio de prueba Firma = Consentimiento Exteriorización de la declaración de voluntad de una persona Migrar a medios electrónicos: Reconocimiento y validez jurídica del contrato celebrado electrónicamente Exigibilidad judicial Equivalente funcional a través de la criptografía de clave pública: ATRIBUCIÓN Y NO REPUDIO INTEGRIDAD Y AUTENTICIDAD ACCESIBILIDAD Y CONFIDENCIALIDAD Firma

9 Conceptos Criptografía Firma Tecnología Fuente: Principios EquivalenciaFuncional Neutralidad Tecnológica Compatibilidad Internacional Internacional Autonomía de la Voluntad AUTENTICACIÓN / ATRIBUCIÓN

10 LEGISLACIÓN EN MÉXICO Código de Comercio Telégrafo Código Civil Teléfono Leyes Financieras y Bancarias Medios Telemáticos. Ley PROFECO Ventas a distancia. Telemarketing. Leyes Fiscales Declaraciones y pagos en formato electrónico. Enero 4, 2000 (LAASSP y LOP) La legislación existente hasta esa fecha, requería para la validez del acto o contrato del soporte de la forma escrita y la firma autógrafa, para vincular a las partes en forma obligatoria del 29 de mayo del 2000 Es a partir del 29 de mayo del 2000 cuando en México se reconoce legalmente la equivalencia funcional a la firma electrónica en relación con la firma autógrafa y se considera expreso el consentimiento dado en medios electrónicos.

11 INTEGRIDAD del Mensaje de Datos

12 INTEGRIDAD: fiabilidad del método Entendida en dos vertientes, la primera respecto de la fiabilidad del método para generar, comunicar, recibir o archivar el Mensaje de Datos. información Y la segunda como la forma de garantizar que la información en él contenida no fue alterada

13 (DOF. 04/06/2002) Campo de aplicación : Es de observancia general para los comerciantes que deban conservar los mensajes en que se consignen convenios o compromisos que originen el surgimiento de derechos y obligaciones, así como para todas aquellas personas con quienes los comerciantes otorguen o pacten dichos contratos. 1.Método a seguir para la conservación de los mensajes de datos : (se describe en el apéndice del proyecto, requiere de la utilización de tecnología PKI y de la existencia y participación de un Prestador de Servicios de Certificación). La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadoras. 2.Método para digitalizar archivos soportados en medio físico : La migración deberá ser cotejada por un tercero legalmente autorizado, quien constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. Entrada en vigor: 17 de febrero del días después de la publicación de la resolución de inicio de vigencia (19/12/2005) NOM SCFI REQUISITOS QUE DEBEN OBSERVARSE PARA LA CONSERVACIÓN DE MENSAJES DE DATOS

14 Código de Comercio están obligados Artículo 49.- Los comerciantes están obligados a conservar por un plazo mínimo de diez años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones. íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta Para efectos de la conservación o presentación de originales, en el caso de mensajes de datos, se requerirá que la información se haya mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta. La Secretaría de Comercio y Fomento Industrial emitirá la Norma Oficial Mexicana que establezca los requisitos que deberán observarse para la conservación de mensajes de datos.

15 Artículo 93 bis.- Sin perjuicio de lo dispuesto en el artículo 49 de este Código, cuando la ley requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho respecto a un Mensaje de Datos: I. Si existe garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como Mensaje de Datos o en alguna otra forma, y II. De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona a la que se deba presentar. Para efectos de este artículo, se considerará que el contenido de un Mensaje de Datos es íntegro, si éste ha permanecido completo e inalterado independientemente de los cambios que hubiere podido sufrir el medio que lo contiene, resultado del proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido será determinado conforme a los fines para los que se generó la información y de todas las circunstancias relevantes del caso. Código de Comercio

16 Artículo Son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos y en consecuencia serán tomadas como pruebas las declaraciones de las partes, terceros, peritos, documentos públicos o privados, inspección judicial, fotografías, facsímiles, cintas cinematográficas, de videos, de sonido, mensajes de datos, reconstrucciones de hechos y en general cualquier otra similar u objeto que sirva para averiguar la verdad. valorar la fuerza probatoria Artículo 1298-A.- Se reconoce como prueba los mensajes de datos. Para valorar la fuerza probatoria de dichos mensajes, se estimará primordialmente la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada. Código de Comercio

17 Información Contable Información Legal Información Comercial Usuarios Sistema de Conservación de Información Archivos Parciales Expedientes Constancias Prestador de Servicios de Certificación Resguardo de copias de los Expedientes Generación de Constancias PRUEBA EN JUICIO INTEGRIDAD y FIABILIDAD CONTROL INTERNO ACCESIBILIDAD

18 Mensaje de Datos Mensaje de Datos Mensaje de Datos Sistema NOM-151 Cliente Sistema NOM-151 Servidor Autoridad de Sellos de Tiempo (TSA) RFC 3161 Usuario PSC Expediente Diagrama del Sistema NOM-151

19 Mensaje de Datos Sistema NOM-151 Cliente Mensaje de Datos Mensaje de Datos Sistema NOM-151 Servidor Autoridad de Sellos de Tiempo (AST) RFC :04:32 03/06/01 Usuario PSC RFC :04:32 03/06/01 Expediente Constancia Diagrama del Sistema NOM-151

20 NOM-151 PRUEBA EN JUICIO INTEGRIDAD FIABILIDAD CONTROL INTERNO ACCESIBILIDAD ADVANTAGE SECURITY, S. DE R.L. DE C.V. PSC WORLD, S.A. DE C.V. CECOBAN EDICOMUNICACIONES MEXICO S.A DE C.V. Emisión de Certificados publicado en el DOF (13/12/2005) Conservación de mensajes publicado en el DOF (08/10/2007) Emisión de Certificados publicado en el DOF (15/12/2005) Emisión de Certificados publicado en el DOF (19/09/2008) Conservación de mensajes publicado en el DOF (19/09/2008) Emisión de Certificados publicado en el DOF (07/05/2009)) Conservación de mensajes publicado en el DOF (07/05/2009) PSC acreditados por la Secretaría de Economía Banxico + Banxico

21 ACCESIBILIDAD: contenido Se refiere a que el contenido de un mensaje de datos pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para su ulterior consulta.

22 Control de los Datos

23 23 Sensibles Financieros o Patrimoniales Datos Personales Cualquier información concerniente a una persona física Identificada o identificable Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual Consentimiento Tácito Aviso de Privacidad Consentimiento Expreso Sin excepción Justificación Consentimiento Expreso Con excepciones

24 Ejes Rectores 24

25 Legislación ?

26 Paradigmas respecto de la legislación en materia de seguridad: Las leyes reducen necesariamente aquello que se pretende evitar… Las leyes tienen un efecto necesariamente positivo… Las leyes son necesariamente eficaces…. Las leyes implican necesariamente regulación del Internet… ?

27 Objetivos Razonables Efecto potencialmente disuasivo; Creación de medios de resarcimiento legal; No-creación de cargas innecesarias a comercio electrónico o relaciones en línea; Eventuales medios de cooperación procesal internacional; Establecimiento de criterios para protección de Internautas y medidas para prevenir el fraude

28 El caso mexicano: Legislación en materia de Seguridad Bancaria

29 Artículo 52.- Los bancos pueden ofrecer servicios a sus clientes a través de medios electrónicos siempre que se establezcan en los contratos que celebren: I.Las operaciones y servicios cuya prestación se pacte; II.Los medios de identificación del usuario y las responsabilidades correspondientes a su uso, y III.Los medios por los que se hagan constar la creación, transmisión, modificación o extinción de derechos y obligaciones inherentes a las operaciones y servicios de que se trate. El uso de esos medios de identificación, en sustitución de la firma autógrafa, producirá los mismos efectos que las leyes otorgan a los documentos correspondientes y, en consecuencia, tendrán el mismo valor probatorio. La CNBV emitirá reglas para la instalación y uso de esos medios electrónicos Ley de Instituciones de Crédito

30 Previo acuerdo con sus clientes, el Banco podrásuspender o cancelar el trámite de operaciones siempre que cuente con elementos suficientes para presumir que los medios de identificación fueron utilizados en forma indebida o detecten algún error. También restringir la disposición de los recursos (hasta por 15 días y 10 mas si se ve involucrada la autoridad correspondiente), en caso de que detecte probables hechos ilícitos cometidos en virtud de la operación respectiva. Todo lo anterior deberá ser notificado al cliente respectivo. Reforma: art. 52 LIC (febrero 2008, DOF)

31 Concientización - Riesgos y recomendaciones Confidencialidad - Manejo de información sensible SESIÓN IDENTIFICADOR DE USUARIO 2° FACTOR DE AUTENTICACIÓN CONTRASEÑAOPERACIÓN Longitud Estructura No permitidas Intentos Inactividad Restablecimiento OTP Una a la vez Time out OTP cuentas OTP transacciones Montos por cliente Monitoreo Notificación Alertamiento Continuidad – Áreas de Soporte y Comité de Auditoria ESQUEMA CIRCULAR ÚNICA BANCARIA (anterior a 2010)

32 DOF 27 de enero del 2010

33

34

35

36 Controles de acuerdo al grado de riesgo Tipos de Operaciones Se definen controles de acuerdo al riesgo asociado con cada Medio Electrónico y al tipo de operación. Operaciones Monetarias :Transacción que implique transferencias de recursos dinerarios, las cuales podrán ser : –Micropagos: 70 UDIs (aprox. 25 dlls) –Baja Cuantía: 250 UDIs diarias (aprox. 90 dlls ) –Mediana Cuantía: 1,500 UDIs diarias (aprox. 530 dlls) –Montos superiores a 1,500 UDIs diarias

37 Controles de acuerdo al grado de riesgo

38 Pago Móvil –Servicio cuyo dispositivo de acceso consiste en un Teléfono Móvil del Usuario cuyo número de línea se encuentra asociado al servicio, en el que únicamente se podrán realizar consultas de saldos, pagos o transferencias con cargo a una tarjeta o cuenta bancaria. Se pueden realizar las siguientes operaciones (por no mas de 4,000 udis mensuales): a)Micro Pagos sin registro de cuentas y sin Factor de Autenticación (FA), siempre y cuando el Banco pague las reclamaciones en 24 horas a)Baja Cuantía sin registro de cuentas b)Mediana Cuantía requieren registro de Cuentas Destino Banca Móvil –Servicios y operaciones bancarias a través de un Teléfono Móvil del Usuario cuyo número de línea está asociado al servicio –Los servicios que utilicen navegadores (Java, Brew), y cuyo número de línea del Teléfono Móvil no se encuentre asociado al servicio, son considerados Banca por Internet un solo FA (NIP de 5 dígitos)

39 Banca por Internet –Servicios y operaciones bancarias realizadas a través de Internet, en el sitio que corresponda a uno o más dominios de la Institución, incluyendo el acceso mediante el protocolo WAP o similar –El acceso al servicio puede realizarse mediante cualquier equipo (PC, Teléfono Móvil, PDA) con conexión a Internet Banca telefónica Voz a Voz –Servicio mediante el cual un usuario instruye vía telefónica a un representante de la Institución para realizar operaciones bancarias en nombre del usuario. El servicio no está limitado en monto Terminales Punto de Venta –Dispositivos o medios de acceso, tales como terminales de cómputo especializadas, software y teléfonos móviles, operados por usuarios para la recepción de pagos de bienes o servicios con cargo a tarjetas de crédito, débito u otro tipo de cuentas. El servicio no está limitado en monto Se definen procesos para la contratación de los servicios

40 Los Usuarios podrán, en cualquier momento, desactivar y reactivar el uso de un servicio de Banca Electrónica en forma temporal Factores de Autenticación: Se establecen criterios para verificar la identidad de los clientes a través del uso de Factores de Autenticación: Factor de Autenticación Categoría 1 Factor de Autenticación Categoría 1 Procesos en CAT que utilizan cuestionarios de información que no ha sido impresa o enviada al usuario. Factor de Autenticación Categoría 2 Factor de Autenticación Categoría 2 Información que solo el usuario conoce, tales como contraseñas y NIP. Factor de Autenticación Categoría 3 Factor de Autenticación Categoría 3 Se compone de información contenida o generada por medios o dispositivos proporcionados por las Instituciones a los usuarios, tales como dispositivos generadores de contraseñas dinámicas de un solo uso. Factor de Autenticación Categoría 4 Factor de Autenticación Categoría 4 Se compone de información del usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras.

41 Para la celebración de Operaciones Monetarias los Usuarios deberán registrar las Cuentas Destino previo a su uso Las Instituciones deberán solicitar confirmación del usuario antes de realizar operaciones monetarias con terceros u otros bancos. Las Instituciones deberán generar comprobantes para todas las operaciones realizadas en un servicio de Banca Electrónica Se deberá notificar a los usuarios a través de un medio diferente las siguientes operaciones: –Transferencias a cuentas de terceros u otros bancos –Pagos de créditos, servicios e impuestos –Modificación de límites de montos –Registro de cuentas destino de terceros u otros bancos –Alta y modificación del medio de notificación –Contratación de otros servicios de Banca Electrónica –Desbloqueo del servicio y reactivación –Cambios de contraseñas Se exceptúan de notificación las operaciones de Pago Móvil, así como aquellas realizadas en ATM y TPV cuando sean de Baja Cuantía Las Instituciones no deberán enviar números de cuenta completos ni domicilios del usuario en la notificación

42

43 ¿La legislación orientada a mecanismos o herramientas de seguridad nos da más seguridad o nos la quita?

44 Ladrón invierte en formas de ataque Estandarizar mecanismos de seguridad implica fomentar uniformidad Y por ende mas RIESGO…

45 Ni tanto que queme al santo… ni tan poco que no lo alumbre

46 Estudio Media Contacts Medios Digitales 2007 Muchas Gracias Muchas Gracias Dr. Alfredo A. Reyes Krafft


Descargar ppt "Contratación Electrónica y Seguridad en el medio bancario Alfredo Reyes Krafft Octubre 2010."

Presentaciones similares


Anuncios Google