La Comisión Nacional Bancaria y de
Valores, con fundamento en lo dispuesto por los artículos 52, octavo párrafo y
96 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones XXXVI y
XXXVIII; 16, fracción I y 19 de la Ley de la Comisión Nacional Bancaria y de
Valores, y
CONSIDERANDO
Que en atención al artículo 78 de
la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de
cumplimiento de las presentes disposiciones, la Comisión Nacional Bancaria y de
Valores, mediante resolución publicada en el Diario Oficial de la Federación el
26 de junio de 2017, reformó la “Resolución modificatoria a las Disposiciones
de carácter general aplicables a las instituciones de crédito” publicada en el
mismo medio de difusión el 6 de enero de 2017, con el objetivo de ampliar el
plazo con el que cuentan las instituciones de crédito para que tengan
constituido el 100 % del monto de las estimaciones preventivas para riesgos
crediticios que corresponden a las carteras crediticias de consumo no
revolvente, hipotecaria de vivienda y microcréditos, conforme a la utilización
de la nueva metodología aplicable, al tiempo de precisar cuándo deberán revelar
dicha información en sus estados financieros, así como en cualquier comunicado
público de información financiera, y
Que a fin de estar en condiciones
de hacer frente a riesgos y ataques informáticos que pudieran ocasionar
afectaciones a las instituciones de crédito y a la realización de operaciones
con los clientes, resulta conveniente fortalecer el marco normativo sobre
seguridad de sus sistemas e infraestructuras tecnológicas, así como reforzar
los controles internos con los que deberán contar, estableciendo un régimen que
procure garantizar la seguridad de la infraestructura tecnológica en que se
soportan sus operaciones y la confidencialidad, integridad y disponibilidad de
la información, a fin de que cuenten con medidas específicas, tendientes a
proteger su información, certeza en su operación y continuidad de los
servicios, ha resuelto expedir la siguiente:
RESOLUCIÓN
QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS
INSTITUCIONES DE CRÉDITO
ÚNICO.- Se REFORMAN
los Artículos 1, fracciones XIII, XXXIX y actual fracción LXXXI; 11, primer párrafo;
12, fracción III; 15 Bis, fracción V, primer párrafo; 51 Bis 3, fracción I y
último párrafo; 51 Bis 5, fracción I; 51 Bis 9, fracción I; 86, fracción III,
inciso b), numerales 1 a 3; 141, fracción III; 160, fracción III; 164, fracción
IV, incisos f) y h); 164 Bis, fracción III; 166, fracción III; 169, primer
párrafo, 315 Bis, fracción I y 316 Bis 14, primer párrafo; se ADICIONAN
los Artículos 1, fracciones LXXVI, LXXXIII, CXXXVI, y CXCII, recorriéndose las
demás fracciones en su orden y según corresponda; 160, fracción XIV; el Título
Segundo, Capítulo VI, Sección Octava Bis a denominarse “De la seguridad de la
información” que comprende los artículos 168 Bis 11
a 168 Bis 17; 316 Bis 10, fracción V, así como los Anexos 64 Bis y 72; se DEROGAN
los Artículos 15 Bis, fracción V, incisos a) a e); 71, fracción IX; 86,
fracción III, inciso b), numeral 3, fracciones i. a vi.; 164, fracción V; 166,
fracción V; 316 Bis 12; 316 Bis 17 y 316 Bis 20, y se SUSTITUYEN los
Anexos 64 y 71 de las “Disposiciones de carácter general aplicables a las
instituciones de crédito”, publicadas en el Diario Oficial de la Federación el
2 de diciembre de 2005, y modificadas mediante resoluciones publicadas en el
citado Diario Oficial el 3 y 28 de marzo, 15 de septiembre, 6 y 8 de diciembre
de 2006; 12 de enero, 23 de marzo, 26 de abril y 5 de noviembre de 2007; 10 de
marzo, 22 de agosto, 19 de septiembre, 14 de octubre y 4 de diciembre de 2008;
27 de abril, 28 de mayo, 11 de junio, 12 de agosto, 16 de octubre, 9 de
noviembre, 1 y 24 de diciembre de 2009; 27 de enero, 10 de febrero, 9 y 15 de
abril, 17 de mayo, 28 de junio, 29 de julio, 19 de agosto, 9 y 28 de
septiembre, 25 de octubre, 26 de noviembre y 20 de diciembre de 2010; 24 y 27
de enero, 4 de marzo, 21 de abril, 5 de julio, 3 y 12 de agosto, 30 de
septiembre, 5 y 27 de octubre y 28 de diciembre de 2011; 19 de junio, 5 de
julio, 23 de octubre, 28 de noviembre y 13 de diciembre de 2012; 31 de enero,
16 de abril, 3 de mayo, 3 y 24 de junio, 12 de julio, 2 de octubre y 24 de diciembre
de 2013; 7 y 31 de enero, 26 de marzo, 12 y 19 de mayo, 3 y 31 de julio, 24 de
septiembre, 30 de octubre, 8 y 31 de diciembre de 2014; 9 de enero, 5 de
febrero, 30 de abril, 27 de mayo, 23 de junio, 27 de agosto, 21 de septiembre,
29 de octubre, 9 y 13 de noviembre, 16 y 31 de diciembre de 2015; 7 y 28 de
abril, 22 de junio, 7 y 29 de julio, 1 de agosto, 19 y 28 de septiembre y 27 de
diciembre de 2016; 6 de enero, 4 y 27 de abril, 31 de mayo, 26 de junio, 4 y 24
de julio, 29 de agosto, 6 y 25 de octubre, 18, 26 y 27 de diciembre de 2017; 22
de enero, 14 de marzo, 26 de abril, 11 de mayo, 26 de junio, 23 de julio, 29 de
agosto y 15 de noviembre de 2018, para quedar como sigue:
TÍTULOS PRIMERO y PRIMERO
BIS . . .
TÍTULO SEGUNDO . . .
Capítulos I a V . .
.
Capítulo VI . . .
Secciones Primera a
Octava . . .
Sección Octava Bis
De la seguridad de la información
Sección Novena . . .
Capítulos VII a IX .
. .
TÍTULOS SEGUNDO a QUINTO .
. .
Anexos 1
a 63 . . .
Anexo
64 Incidentes de afectación en materia de seguridad de la
información.
Anexo
64 Bis Informe de Incidentes de seguridad de la información.
Anexos 65
a 70 . . .
Anexo
71 Requerimientos técnicos para la captura de huellas dactilares
e identificación facial como datos biométricos.
Anexo
72 Indicadores de seguridad de la información.
“Artículo 1.- . . .
I.
a XII. . . .
XIII. Autenticación:
al conjunto de técnicas y procedimientos utilizados para verificar la identidad
de:
a) Un
Usuario y su facultad para realizar operaciones a través del servicio de Banca
Electrónica, o un Usuario de la Infraestructura Tecnológica para acceder,
utilizar u operar algún componente de la Infraestructura Tecnológica.
b) Una
Institución y su facultad para recibir instrucciones a través del servicio de
Banca Electrónica.
XIV. a XXXVIII. . .
.
XXXIX. Contingencia
Operativa: a cualquier evento que dificulte, limite o impida a una Institución
a prestar sus servicios o realizar aquellos procesos que pudieran tener una
afectación al Público Usuario.
XL. a LXXV. . . .
LXXVI. Incidente
de Seguridad de la Información: a aquel evento que la Institución evalúe de
acuerdo a sus procesos de gestión, que pueda:
a) Poner
en peligro la confidencialidad, integridad o disponibilidad de un componente o
la totalidad de la Infraestructura Tecnológica utilizada por una Institución o
de la información que dicha infraestructura procesa, almacena o transmite.
b) Representar
una pérdida, extracción, alteración o extravío de información.
c) Constituir
una violación de las políticas y procedimientos de seguridad de la información.
d) Representar
la materialización de una pérdida por daños, interrupción, alteración o fallas
derivadas del uso del hardware, software, sistemas, aplicaciones, redes y
cualquier otro canal de transmisión de información en la prestación de
servicios, en Infraestructuras Tecnológicas interconectadas que permiten
interacciones entre personas, procesos, datos y componentes de tecnologías de
información y telecomunicaciones y que sean causados o deriven, entre otros, en
accesos no autorizados, uso indebido de la información o de los sistemas,
fraude, robo de información o en interrupción de los servicios, que ponga en
riesgo la confidencialidad, integridad y disponibilidad de la información.
e) Vulnerar
los sistemas o componentes de la Infraestructura Tecnológica con un efecto
adverso para la Institución, sus clientes, terceros, proveedores o
contrapartes, comúnmente conocidos como ciber-ataques.
LXXVII.
a LXXXI. . . .
LXXXII. Información
Sensible o Información Sensible del Usuario: a la información del Público
Usuario, que contenga nombres, domicilios, teléfonos o direcciones de correo
electrónico, o cualquier otro dato que identifique a dichas personas en
conjunto con números de tarjetas bancarias, números de cuenta, límites de
crédito, saldos, montos y demás datos de naturaleza financiera, así como
Identificadores de Usuarios o información de Autenticación.
LXXXIII. Infraestructura
Tecnológica: a los equipos de cómputo, instalaciones de procesamiento de datos
y comunicaciones, equipos y redes de comunicaciones, sistemas operativos, bases
de datos, aplicaciones y sistemas que utilizan las Instituciones para soportar
su operación.
LXXXIV. a CXXXV. . . .
CXXXVI. Plan Director de Seguridad: al documento que
establece la estrategia de seguridad de una Institución para procurar una
correcta gestión de la seguridad de la información y evitar la materialización
de Incidentes de Seguridad de la Información que podrían afectar de forma
negativa a la Institución.
CXXXVII a
CLIV. . . .
CLV. a
CXCI. . . .
CXCII. Usuario de la Infraestructura
Tecnológica: a la persona, Usuario o componente físico o lógico que acceda,
utilice u opere la Infraestructura Tecnológica de las Instituciones.
CXCIII. a CXCVII . . .”
“Artículo 11.- Las
Instituciones en el desarrollo de la Actividad Crediticia, deberán contar para
cada una de las etapas, con procesos, personal adecuado e Infraestructura
Tecnológica que permitan el logro de sus objetivos en materia de crédito,
ajustándose a las presentes disposiciones, así como a las metodologías,
modelos, políticas y procedimientos establecidos en su manual de crédito.
. . .
Artículo 12.- . . .
I.
y II. . . .
III. Mantener
controles adecuados que garanticen la confidencialidad, integridad y
disponibilidad de la información que procuren su seguridad tanto física como
lógica, así como medidas para la recuperación de la información en casos de
Contingencia Operativa, en términos de los Artículos 164 Bis y 168 Bis 11 de
estas disposiciones.
IV. .
. .”
“Artículo 15 Bis.- . . .
I.
a IV. . . .
V. Mantener
la confidencialidad, integridad y disponibilidad de la información observando,
en el caso de sistemas administrados por las Instituciones, los controles
señalados en el Artículo 168 Bis 11, así como medidas en casos de Contingencia
Operativa en términos del Artículo 164 Bis de estas disposiciones.
a)
a e) Se derogan.
. . .
. . .”
“Artículo 51 Bis 3.- . . .
I. La
descripción detallada del mecanismo, el cual deberá ser aprobado por su
Consejo, así como de la Infraestructura Tecnológica empleada en cada parte del
proceso.
II. .
. .
En todo caso, en la implementación
del mecanismo aprobado para la conformación de la base de datos de huellas
dactilares, las Instituciones deberán primeramente hacer la captura de las
huellas dactilares de sus empleados, directivos o funcionarios que tendrán a su
cargo recopilar las de los clientes y, posteriormente, recopilarán las de sus
clientes. Asimismo, deberán observar lo señalado en los párrafos segundo y
tercero de la sección I del Anexo 71 de estas disposiciones”.
“Artículo 51 Bis 5.- . . .
. . .
I. La descripción
detallada del proceso, el cual deberá ser aprobado por su Consejo, así como la
Infraestructura Tecnológica empleada en cada parte de este.
II. y III. . . .
. . .”
“Artículo 51 Bis 9.- . . .
I. La descripción
detallada del proceso, el cual deberá ser aprobado por el Consejo, así como la
Infraestructura Tecnológica empleada en cada parte de este.
II. a VII. . . .
. . .”
“Artículo 71.- . . .
I. a VIII. . . .
IX. Aprobar la
metodología para clasificar las vulnerabilidades en materia de seguridad de la
información de acuerdo a su criticidad, probabilidad de ocurrencia e impacto.
. . .”
“Artículo 86.-. .
.
I. y II. . . .
III. . . .
a) . . .
b) . . .
1. Dar cumplimiento a lo que se
establece en la Sección Octava Bis del Capítulo VI del Título Segundo de estas
disposiciones.
2. Establecer controles para la
identificación y resolución de aquellos actos o eventos que puedan generarle a
la Institución riesgos derivados de:
i. La comisión de hechos, actos u
operaciones fraudulentas a través de medios tecnológicos.
ii. El uso inadecuado por parte de
los Usuarios de la Infraestructura Tecnológica.
3. Establecer e implementar
políticas y procedimientos de clasificación de la información y su tratamiento,
de acuerdo con el riesgo que implique que la seguridad de la información sea
vulnerada determinado por cada una de las Unidades de Negocio y demás áreas
operativas de la Institución. Esta clasificación deberá incluirse en los
manuales para la Administración Integral de Riesgos a que se refiere el último
párrafo del Artículo 78 de estas disposiciones y utilizarse para evaluar e
implementar los controles necesarios en la Infraestructura Tecnológica y en los
procesos operativos, con el fin de preservar la confidencialidad, integridad y
disponibilidad de la información de la Institución y de sus clientes.
i. a vi. Se derogan.
La Institución deberá evaluar las
situaciones que en materia de riesgo tecnológico pudieran afectar su operación
ordinaria, las cuales deberán ser vigiladas de manera permanente a fin de
verificar el desempeño del proceso de Administración Integral de Riesgos.
c) . . .
. . .”
“Artículo 141.- . . .
I. y II. . . .
III. Los que regulen y controlen
lo relativo a la Infraestructura Tecnológica, incluidos los sistemas
automatizados de procesamiento de datos y redes de telecomunicaciones a que se
refiere el Artículo 52 de la Ley.
IV. .
. .”
“Artículo 160.- . . .
. . .
I.
y II. . . .
III. Verificar
que la Infraestructura Tecnológica que soporta la operación y procesos internos
de la Institución, incluyendo los sistemas contables, operacionales de cartera
crediticia, con valores o de cualquier otro tipo, cuenten con mecanismos para
preservar la integridad, confidencialidad y disponibilidad de la información,
que eviten su alteración y cumplan con los objetivos para los cuales fueron
implementados o diseñados, en términos del Artículo 168 Bis 11 de estas
disposiciones. Asimismo, vigilar periódicamente la Infraestructura Tecnológica
a fin de identificar fallas potenciales y verificar que esta genere información
suficiente, consistente y que fluya adecuadamente.
.
. .
IV. a XIII. . . .
XIV. Evaluar
con base en el programa anual de trabajo a que se refiere la fracción XI del
presente artículo, el proceso de gestión de Incidentes de Seguridad de la
Información al que alude el Artículo 168 Bis 14 de estas disposiciones.
Penúltimo párrafo. - Derogado.
. . .”
“Artículo 164.- . . .
. . .
. . .
I.
a III. . . .
IV. .
. .
a)
a e) . . .
f) Proteger la integridad y adecuado mantenimiento de la
Infraestructura Tecnológica, incluidos los sistemas automatizados de
procesamiento de datos y redes de telecomunicaciones a que se refiere el
Artículo 52 de la Ley, así como la integridad, confidencialidad y
disponibilidad de la información recibida, generada, procesada, almacenada y
transmitida por estos, en términos del Artículo 168 Bis 11 de las presentes
disposiciones. Adicionalmente, se deberán establecer procedimientos para que
los clientes puedan reportar el robo o extravío de cualquiera de sus Factores
de Autenticación, incluso cuando las Instituciones operen a través de sus
comisionistas.
g) .
. .
h) Asegurar que se observen procedimientos, estructuras
organizacionales y políticas de seguridad de la información acordes con la
Institución.
i) .
. .
V.
Se deroga.
VI. a IX. . . .
. . .
. . .
Artículo 164 Bis.- . . .
. . .
I.
y II. . . .
III. Hacer
del conocimiento de la Comisión las Contingencias Operativas, mediante correo
electrónico remitido a la cuenta contingencias@cnbv.gob.mx, o a través de otros
medios que la propia Comisión disponga, debiéndose generar un acuse de recibo
electrónico, siempre que estas interrupciones presenten una duración de al
menos sesenta minutos y actualicen cualquiera de los siguientes supuestos:
a) Cuando
se presenten fallas en la Infraestructura Tecnológica que soporta los servicios
de las Sucursales y Banca Electrónica.
b) Cuando
generen una afectación en los componentes críticos de la Infraestructura
Tecnológica que haya tenido como consecuencia la activación total o parcial del
Plan de Continuidad de Negocio.
c) Cuando
generen una afectación del 30 % en sus Sucursales; Cajeros Automáticos;
Terminales Punto de Venta o puntos de atención de sus comisionistas por
escenarios diferentes a afectaciones en la Infraestructura Tecnológica, a los
que se refiere el Anexo 67 de estas disposiciones.
La
notificación señalada deberá efectuarse dentro de los sesenta minutos
siguientes a la actualización de cualquiera de los criterios antes mencionados,
debiéndose incluir la fecha y hora de inicio de la Contingencia Operativa; la
indicación de si continúa o, en su caso, si ha concluido y su duración; los
procesos, sistemas y canales afectados; una descripción del evento que se haya
registrado, y una evaluación inicial del impacto o gravedad. La Institución
deberá comunicar diariamente a la Comisión, a través de los medios señalados en
el primer párrafo de esta fracción, el estado de la Contingencia Operativa
hasta en tanto esta no se concluya y, tratándose de la última comunicación,
deberá incluir la fecha y hora en que se determine que ha concluido y su
duración total.
Asimismo,
el director general deberá enviar a la Comisión, en un plazo no mayor a 15 días
hábiles posteriores a la conclusión de la Contingencia Operativa, un análisis
de las causas que la motivaron, la afectación causada en términos cualitativos
y cuantitativos que comprenda, cuando menos, la temporalidad, el impacto
monetario desglosando el detalle de los costos, y la indicación de las acciones
que se implementarán para minimizar el daño en situaciones similares
subsecuentes, incluyendo el plan de trabajo que al efecto se elabore el cual
deberá contener al menos el personal responsable de su diseño, implementación,
ejecución y seguimiento, plazos para su ejecución, detalle de las actividades
realizadas y por realizar, así como los recursos técnicos, materiales y humanos
empleados.
. . .”
“Artículo 166.- . . .
I.
y II. . . .
III. Propicien
el correcto funcionamiento de la Infraestructura Tecnológica conforme a las
medidas de seguridad a que se refiere el Artículo 168 Bis 11 de las presentes
disposiciones, auxiliándose para tal efecto del oficial en jefe de seguridad de
la información a que se refiere el Artículo 168 Bis 14 de estas disposiciones,
así como la elaboración de información completa, correcta, precisa, íntegra,
confiable y oportuna, incluyendo aquella que deba proporcionarse a las
autoridades competentes, y que coadyuve a la adecuada toma de decisiones.
IV. . . .
V. Se deroga.
Último párrafo.- Derogado.
“Sección Octava Bis
De la seguridad de la información
Artículo 168 Bis 11.- El
director general de la Institución será responsable de la implementación del
Sistema de Control Interno en materia de seguridad de la información que
procure su confidencialidad, integridad y disponibilidad. El marco de gestión a
que se refiere este párrafo, deberá asegurar que la Infraestructura
Tecnológica, propia o provista por terceros, se apegue a los requerimientos
siguientes:
I. Que
cada uno de sus componentes realice las funciones para las que fue diseñado,
desarrollado o adquirido.
II. Que
sus procesos, funcionalidades y configuraciones, incluyendo su metodología de
desarrollo o adquisición, así como el registro de sus cambios, actualizaciones
y el inventario detallado de cada componente de la Infraestructura Tecnológica,
estén documentados.
III. Que
se hayan considerado aspectos de seguridad de la información en la definición
de proyectos para adquirir o desarrollar cada uno de sus componentes, debiendo
incluirlos durante las diversas etapas del ciclo de vida. Este comprenderá la
elaboración de requerimientos, diseño, desarrollo o adquisición, pruebas de
implementación, pruebas de aceptación por parte de los Usuarios de la
Infraestructura Tecnológica, procesos de liberación incluyendo pruebas de
vulnerabilidades y análisis de código previos a su puesta en producción,
pruebas periódicas, gestión de cambios, reemplazo y destrucción de información.
Tratándose
de componentes de comunicaciones y de cómputo, los aspectos de seguridad
deberán incluir, al menos, lo siguiente:
a) Segregación
lógica, o lógica y física de las diferentes redes en distintos dominios y sub
redes, dependiendo de la función que desarrollen o el tipo de datos que se
transmitan, incluyendo segregación de los ambientes productivos de los de
desarrollo y pruebas, así como componentes de seguridad perimetral y de redes
que aseguren que solamente el tráfico autorizado es permitido. En particular,
en aquellos segmentos con enlaces al exterior, tales como Internet,
proveedores, autoridades, otras redes de la Institución o matriz y otros
terceros, todo ello referido a servicios críticos, ya sean sistemas de pagos,
equipos de cifrado, autorizadores de operaciones, entre otros, considerar zonas
seguras, incluyendo las denominadas zonas desmilitarizadas (DMZ por sus siglas
en inglés).
b) Configuración
segura de acuerdo con el tipo de componente, considerando al menos, puertos y
servicios, permisos otorgados bajo el principio de mínimo privilegio, uso de
medios extraíbles de almacenamiento, listas de acceso, actualizaciones del
fabricante y reconfiguración de parámetros de fábrica. Se entenderá como
principio de mínimo privilegio a la habilitación del acceso únicamente a la
información y recursos necesarios para el desarrollo de las funciones propias
de cada Usuario de la Infraestructura Tecnológica.
IV. Que
cada uno de sus componentes sea probado antes de ser implementado o modificado,
utilizando mecanismos de control de calidad que eviten que en dichas pruebas se
utilicen datos reales del ambiente de producción, se revele información
confidencial o de seguridad, o se introduzca cualquier funcionalidad no
reconocida para dicho componente.
V. Que
cuente con las licencias o autorizaciones de uso, en su caso.
VI. Que
cuente con medidas de seguridad para su protección, así como para el acceso y
uso de la información que sea recibida, generada, transmitida, almacenada y
procesada en la propia Infraestructura Tecnológica, contando al menos con lo
siguiente:
a) Mecanismos
de identificación y Autenticación de todos y cada uno de los Usuarios de la
Infraestructura Tecnológica, que permitan reconocerlos de forma inequívoca y
aseguren el acceso únicamente a las personas autorizadas expresamente para
ello, bajo el principio de mínimo privilegio.
Para
lo anterior, se deberán incluir controles pertinentes para aquellos Usuarios de
la Infraestructura Tecnológica con mayores privilegios, derivados de sus
funciones, tales como, la de administración de bases de datos y de sistemas operativos.
Asimismo,
se deberán prever políticas y procedimientos para las autorizaciones de accesos
por excepción, tales como usuarios de ambientes de desarrollo con acceso a
ambientes de producción y con acceso por eventos de contingencia, entre otros.
Dichas políticas y procedimientos deberán ser aprobados por el oficial en jefe
de seguridad de la información.
b) Cifrado
de la información conforme al grado de sensibilidad o clasificación que la
Institución determine y establezca en sus políticas, cuando dicha información
sea transmitida, intercambiada y comunicada entre componentes, o almacenada en
la Infraestructura Tecnológica o se acceda de forma remota.
c) Claves
de acceso con características de composición que eviten accesos no autorizados,
considerando procesos que aseguren que solo el Usuario de la Infraestructura
Tecnológica sea quien las conozca, así como medidas de seguridad, cifrado en su
almacenamiento y mecanismos para cambiar las claves de acceso cada 90 días o
menos. En el caso de los Usuarios de la Infraestructura Tecnológica asignados a
aplicativos o componentes para autenticarse entre ellos, el cambio a que alude
este inciso deberá realizarse al menos una vez al año. En el evento de que
algún Usuario de la Infraestructura Tecnológica tenga conocimiento de las
claves de acceso y deje de prestar sus servicios a la Institución, estas
deberán modificarse de manera inmediata.
d) Controles
para terminar automáticamente sesiones no atendidas, así como para evitar
sesiones simultáneas no permitidas con un mismo identificador de Usuario de la
Infraestructura Tecnológica.
e) Mecanismos
de seguridad, tanto de acceso físico, como de controles ambientales y de
energía eléctrica, que protejan la Infraestructura Tecnológica y permitan la
operación conforme a las especificaciones del proveedor, fabricante o
desarrollador.
f) Medidas
de validación para garantizar la autenticidad de las transacciones ejecutadas
por los diferentes componentes de la Infraestructura Tecnológica, considerando,
al menos lo siguiente:
1. La
veracidad e integridad de la información.
2. La
Autenticación entre componentes de la Infraestructura Tecnológica, que aseguren
que se ejecutan solo las solicitudes de servicio legítimas desde su origen y
hasta su ejecución y registro.
3. Los
protocolos de mensajería, comunicaciones y cifrado, los cuales deben procurar
la integridad y confidencialidad de la información.
4. La
identificación de transacciones atípicas, previendo que las aplicaciones
cuenten con medidas de alerta automática para su atención de las áreas
operativas correspondientes.
5.
La actualización y mantenimiento de certificados digitales y componentes
proporcionados por proveedores de servicios que estén integrados al proceso de
ejecución de transacciones.
Las
medidas a que alude este inciso deberán establecerse acorde con el grado de
riesgo que las Instituciones definan para cada tipo de transacción.
VII. Que
cuente con mecanismos de respaldo y procedimientos de recuperación de la
información que mitiguen el riesgo de interrupción de la operación, en
concordancia con lo dispuesto en el Artículo 164 Bis de las presentes
disposiciones.
VIII. Que
mantenga registros de auditoría íntegros, incluyendo la información detallada
de los accesos o intentos de acceso y la operación o actividad efectuada por
los Usuarios de la Infraestructura Tecnológica, lo anterior, con independencia
del nivel de privilegios con el que estos cuenten para el acceso, generación o
modificación de la información que reciban, generen, almacenen o transmitan en
cada componente de la Infraestructura Tecnológica, incluyendo actividad de
procesos automatizados, así como los procedimientos para la revisión periódica
de dichos registros.
Las
Instituciones deberán conservar los registros de auditoría a que se refiere
esta fracción por un periodo de tres años cuando dichos registros se refieran a
actividades realizadas sobre componentes que procesen o almacenen información
considerada como crítica de conformidad con la clasificación señalada en el
Artículo 86, fracción III, inciso b), numeral 3 de las presentes disposiciones.
En caso contrario, el periodo de conservación de los registros será mínimo de
seis meses.
IX. Que
para la atención de los Incidentes de Seguridad de la Información se cuente con
procesos de gestión que aseguren la detección, clasificación, atención y
contención, investigación y, en su caso, análisis forense digital, diagnóstico,
reporte a niveles jerárquicos competentes, solución, seguimiento y comunicación
a autoridades, clientes y contrapartes de dichos incidentes.
Para
la detección y respuesta de Incidentes de Seguridad de la Información a que
hace referencia el párrafo anterior, el director general deberá designar un
equipo que incorpore a personal de las diferentes áreas de la Institución para
participar en cada actividad del proceso de gestión antes señalado del que, en
todo caso, deberá formar parte el oficial en jefe de seguridad de la
información de conformidad con la fracción VII del Artículo 168 Bis 14 de estas
disposiciones.
En
caso de que se detecte la existencia de vulnerabilidades y deficiencias en la
Infraestructura Tecnológica, deberán tomarse las acciones correctivas o
controles compensatorios de acuerdo al nivel de riesgo de que se trate,
previniendo que los Usuarios de la Infraestructura Tecnológica o la Institución
puedan verse afectados.
X. Que
sea sometida a la realización de ejercicios de planeación y revisión anuales
que permitan medir su capacidad para soportar su operación, garantizando que se
atiendan oportunamente las necesidades de incremento de capacidad detectadas
como resultado de dichos ejercicios.
Asimismo,
la Institución deberá evaluar la obsolescencia de los componentes de la
Infraestructura Tecnológica, debiendo contar con un plan para su actualización.
XI. Que
cuente con controles automatizados o, en ausencia de estos, que se realicen
controles compensatorios, tales como doble verificación, que previo o
posteriormente a la realización de la operación de que se trate, minimicen el
riesgo de eliminación, exposición, alteración o modificación de información,
que se deriven de procesos manuales o semi-automatizados realizados por el
personal de la Institución, con el objetivo de prevenir errores, omisiones,
sustracción o manipulación de información.
XII. Que
tenga controles que permitan detectar la alteración o falsificación de libros,
registros y documentos digitales relativos a las operaciones activas, pasivas y
de servicios de la Institución.
XIII. Que
cuente con procesos para medir y asegurar los niveles de disponibilidad y
tiempos de respuesta, que garanticen la ejecución de las operaciones y
servicios realizados; lo anterior incluyendo los supuestos en que las
Instituciones contraten la prestación de servicios por parte de proveedores
externos para el procesamiento y almacenamiento de información.
XIV. Que cuente
con dispositivos o mecanismos automatizados para detectar y prevenir eventos e
Incidentes de Seguridad de la Información, así como para evitar conexiones y
flujos de datos entrantes o salientes no autorizados y fuga de información,
considerando entre otros, medios de almacenamiento removibles.
Las
Instituciones deberán correlacionar los datos obtenidos de los dispositivos o
mecanismos automatizados a que alude el párrafo anterior con los datos de otras
fuentes, tales como registros de actividad o de Incidentes de Seguridad de la
Información.
Adicionalmente,
a lo señalado en el párrafo anterior, las Instituciones deberán mantener
controles que eviten la filtración de la información correspondiente a la
configuración de la Infraestructura Tecnológica, tales como direcciones IP,
reglas de los cortafuegos, así como versiones de hardware y software.
XV. Que para
la prestación de servicios de tecnologías de información a los Usuarios de la
Infraestructura Tecnológica, en sus fases de estrategia, diseño, transición,
operación y mejora continua se proteja la integridad de la Infraestructura
Tecnológica así como la integridad, confidencialidad y disponibilidad de la
información recibida, generada, procesada, almacenada y transmitida por esta.
El
director general será responsable de documentar en políticas y procedimientos
lo previsto en este artículo.
Artículo 168 Bis 12.- El director general de la
Institución será responsable del cumplimiento de las siguientes obligaciones en
relación con la Infraestructura Tecnológica:
I. Aprobar
el Plan Director de Seguridad, el cual debe estar
alineado con la estrategia de negocio de la Institución, así como definir y
priorizar los proyectos en materia de seguridad de la información, con el
objetivo de reducir la exposición a los riesgos tecnológicos y la
materialización de Incidentes de Seguridad de la Información hasta niveles
aceptables en los términos que defina el Consejo, a partir de un análisis de la
situación actual.
Para la aprobación de dicho plan, el director
general deberá verificar que contenga las iniciativas dirigidas a mejorar los
métodos de trabajo existentes y podrá contemplar los controles requeridos
conforme a las disposiciones aplicables.
El
director general deberá informar al Consejo el contenido del Plan Director de
Seguridad, y contar con evidencia de su implementación.
II. Llevar
a cabo revisiones de seguridad, enfocadas a verificar la suficiencia en los
controles aplicables a la Infraestructura Tecnológica. Estas revisiones deberán
comprender al menos lo siguiente:
a) Mecanismos
de Autenticación de los Usuarios de la Infraestructura Tecnológica.
b) Configuración
y controles de acceso a la Infraestructura Tecnológica.
c) Actualizaciones
requeridas para los sistemas operativos y software en general, previo a su
implementación y una vez implementados.
d) Identificación
de posibles modificaciones no autorizadas al software original.
e) Dispositivos,
redes de comunicaciones, sistemas y procesos asociados a los Medios Electrónicos
y canales de atención al público, a fin de verificar que no existan
vulnerabilidades o se cuente con herramientas o procedimientos que permitan
conocer las credenciales de Autenticación de los Usuarios de la Infraestructura
Tecnológica, así como cualquier información que de manera directa o indirecta
pudiera dar acceso a la Infraestructura Tecnológica en nombre del Usuario de la
Infraestructura Tecnológica.
Las
revisiones a que se refiere esta fracción deberán realizarse, por lo menos, una
vez al año o antes si se presentan cambios significativos en la Infraestructura
Tecnológica. Para determinar si se trata de un cambio significativo deberá
obtenerse, al efecto, la opinión del oficial en jefe de seguridad de la
información.
III. Elaborar
un calendario anual para la realización de pruebas de escaneo de
vulnerabilidades de los componentes de la Infraestructura Tecnológica que
almacenen, procesen o transmitan información, priorizándolos de acuerdo al
resultado del ejercicio de clasificación de información a que se refiere el
artículo 86, fracción III, inciso b), numeral 3. El calendario deberá prever la
revisión trimestral de algunos de los componentes de la Infraestructura
Tecnológica de manera que a la conclusión del año se hayan revisado la totalidad
de los componentes que almacenen, procesen o transmitan información catalogada
como crítica, además de los que la Institución considere necesarios. El
director general será responsable de vigilar que dichas pruebas se lleven a
cabo ya sea a través de la propia Institución o de un tercero contratado al
efecto. Adicionalmente, cuando se incorporen nuevos componentes de la
Infraestructura Tecnológica, el director general será responsable de vigilar
que se realice la prueba de escaneo de vulnerabilidades, previo a su puesta en
producción.
IV. Contratar
a un tercero independiente, con personal que cuente con capacidad técnica
comprobable mediante certificaciones especializadas de la industria en la
materia, para la realización de pruebas de penetración en los diferentes
sistemas y aplicativos de la Institución con la finalidad de detectar errores,
vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o
pueda poner en riesgo la información y patrimonio de los clientes y de la
propia Institución. Tal revisión deberá incluir la verificación de la
integridad de los componentes de hardware y software que permitan detectar
alteraciones a estos. Dichas pruebas deberán considerar, al menos lo siguiente:
a) Su alcance y metodología,
debiendo ser validados por el oficial en jefe de seguridad de la información.
b) Ser realizadas al menos dos
al año sobre sistemas y aplicativos distintos, o bien, cuando lo ordene la
Comisión habiendo detectado factores que puedan afectar los sistemas y
aplicativos o la información recibida, generada, procesada, almacenada o
transmitida en estos. En este último caso, la Comisión determinará el alcance
de las pruebas, así como los plazos para realizarlas.
Se
podrán efectuar pruebas adicionales a juicio del director general, con opinión
del oficial en jefe de seguridad de la información, cuando existan cambios
significativos en los sistemas y aplicativos, o realizarlas sobre sistemas y
aplicativos previamente revisados cuando existan vulnerabilidades críticas.
El
director general de la Institución deberá enviar a la Comisión, dentro de los
20 días hábiles de haber sido finalizadas las pruebas, un informe con las
conclusiones de estas. En el envío que se realice, se deberá procurar el uso de
mecanismos que impidan el acceso al contenido de este informe por personal no
autorizado.
V. Clasificar
las vulnerabilidades detectadas de acuerdo con la metodología aprobada por el
comité de riesgos.
VI. Elaborar
planes de remediación respecto de los hallazgos de las revisiones y pruebas a
que se refieren las fracciones II, III y IV anteriores, considerando la
clasificación de la fracción V del presente artículo, así como implementar
mecanismos de defensa que prevengan el acceso y uso no autorizado de la
Infraestructura Tecnológica.
Los
planes de remediación a que se refiere el párrafo anterior deberán ser
validados por el oficial en jefe de seguridad de la información. Asimismo,
dichos planes deberán contener, al menos, la indicación del personal
responsable de su implementación y ejecución, así como los plazos para esta,
detalle de las actividades realizadas y por realizar, al igual que los recursos
técnicos, materiales y humanos empleados. Los referidos planes de remediación
deben ser elaborados una vez que se identifiquen las vulnerabilidades y ser
enviados a la Comisión en un plazo de 10 días hábiles.
En
adición a lo señalado en el párrafo anterior, en caso de tratarse proyectos de
corto, mediano o largo plazo en los planes de remediación, deberán incorporarse
al Plan Director de Seguridad.
VII. Implementar
procesos de seguimiento al cumplimiento de los planes de remediación referidos,
lo que deberá ser verificado por el oficial en jefe de seguridad de la
información.
VIII. Implementar
los programas anuales de capacitación a los que se refiere la fracción V del
Artículo 69 de estas disposiciones, así como los de concientización en materia
de seguridad de la información, dirigidos a todo el personal y a los clientes
incluyendo, en su caso, a terceros que le presten servicios, en los que se
contemplen, entre otros aspectos, los roles y responsabilidades que los
Usuarios de la Infraestructura Tecnológica tengan al respecto.
IX. Realizar,
de manera proactiva e iterativa, la búsqueda de alertas de fraude, así como de
amenazas, tales como campañas de correos fraudulentos, sitios de Internet
falsos, divulgación de bases de datos con información del Público Usuario,
alteración de cajeros automáticos o terminales punto de venta y suplantación de
identidad, entre otros, que pudieran afectar a la seguridad de la información
del Público Usuario, al igual que acciones para su protección considerando, al
menos, lo siguiente:
a) La continua investigación,
recopilación, procesamiento y análisis de información que provenga de cualquier
fuente relacionada con los productos y servicios que ofrezca la Institución,
que pueda constituir indicios o evidencias de que se han evadido los controles
de seguridad, representando una amenaza para la información o recursos del
Público Usuario.
Los
indicios o evidencias a que se refiere el párrafo anterior, se mantendrán en un
registro el cual deberá contenerse en la base de datos a que se refiere el
primer párrafo del Artículo 168 Bis 17 de estas disposiciones.
b) La implementación de procesos
proactivos para proteger la información o recursos de los clientes cuando se
presenten los indicios o evidencias señaladas en el inciso a) anterior, tales
como bloqueo y reposición de medios de disposición, cambio de datos de
autenticación y notificaciones, entre otros.
c) Que cuente con procedimientos
de comunicación y recomendaciones de seguridad con los clientes afectados, para
informarles sobre los procesos de remediación que la Institución llevará a cabo
y, en su caso, las medidas que el propio cliente debe adoptar, tales como cambio
de contraseñas, verificación de saldos y movimientos, instalación de antivirus,
instalación de software de detección de programas maliciosos, revisión de
dispositivos y reinstalación de aplicaciones, entre otros.
Los términos y
condiciones para realizar los procesos mediante los cuales se realicen las
actividades señaladas en la presente fracción, deberán documentarse en los
respectivos manuales de políticas y procedimientos, en los cuales deberá
preverse que la Institución mantendrá evidencia de la realización de dichas
actividades.
X. Implementar controles que
permitan a la Institución asegurar la confidencialidad, integridad y
disponibilidad de la información del Público Usuario y de la propia Institución
o el acceso a la Infraestructura Tecnológica, por parte de sus empleados o
personal que tengan acceso a ella, que garanticen que dicha información e
Infraestructura Tecnológica no sean alterados o causen una afectación a la
Institución o a los recursos de sus clientes. Dichos controles deberán implementarse
desde la contratación respectiva y hasta su terminación.
Artículo 168 Bis 13.- Las
Instituciones deberán contar con una persona que se desempeñe como oficial en
jefe de seguridad de la información, conocido como CISO por sus siglas en
inglés (Chief Information Security Officer).
El oficial en jefe de seguridad de
la información deberá ser designado por el director general y ocupar el nivel
inmediato inferior al de este debiéndole reportar de manera directa. Será el
responsable en materia de seguridad de la información de la Institución y
deberá responder a los requerimientos formulados por las autoridades y al
interior de la Institución en dicha materia.
El oficial en jefe de seguridad de
la información no deberá tener conflictos de interés respecto de áreas de
tecnologías de la información, auditoría y Unidades de Negocio dentro de la
Institución y no podrá realizar las funciones de las personas encargadas de la
implementación y operación de la seguridad de la información de la propia
Institución.
Artículo 168 Bis 14.- El
oficial en jefe de seguridad de la información de las Instituciones deberá:
I. Participar
en la definición y verificar la implementación y continuo cumplimiento de las
políticas y procedimientos de seguridad señalados en el Artículo 168 Bis 11 de
las presentes disposiciones.
II.
Elaborar el Plan Director de Seguridad, el cual deberá contener, por cada proyecto que se defina, nombre del proyecto,
objetivo, alcance, fechas de inicio y fin, áreas involucradas y la inversión
proyectada. El alcance deberá incluir, entre otros, la magnitud de los
trabajos.
III. Verificar
al menos anualmente, la definición de los perfiles de acceso a la
Infraestructura Tecnológica de la Institución, ya sea propia o provista por
terceros, de acuerdo con los perfiles de puestos (segregación funcional),
incluyendo aquellos con altos privilegios tales como administración de sistemas
operativos, de bases de datos y aplicativos.
IV. Asegurarse
al menos anualmente o antes en caso de presentarse un Incidente de Seguridad de
la Información de la correcta asignación de los perfiles de acceso a los
Usuarios de la Infraestructura Tecnológica. La función a que se refiere esta
fracción podrá realizarse mediante muestras representativas y aleatorias.
Asimismo,
será responsable de la autorización temporal de los accesos por excepción,
tales como los de usuarios de ambientes de desarrollo con acceso a ambientes de
producción, accesos por eventos de contingencia o cualquier otro acceso
privilegiado que no corresponda con la política determinada por la Institución.
Igualmente, deberá contar con un registro que contenga el nombre del Usuario de
la Infraestructura Tecnológica, aplicación asociada, ambiente, motivo de la
excepción y fecha de inicio y fin de la asignación.
V. Aprobar
y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar
deficiencias detectadas con motivo de las funciones a que se refieren las
fracciones III y IV de este artículo, así como de los hallazgos tanto de
auditoría interna como externa relacionada con la Infraestructura Tecnológica y
de seguridad de la información.
VI. Gestionar
las alertas de seguridad de la información comunicadas por la Comisión u otros
medios, así como los Incidentes de Seguridad de la Información, considerando las
etapas de identificación, protección, detección, respuesta y recuperación.
VII.
Coordinar y presidir en la Institución el equipo para la detección y
respuesta de Incidentes de Seguridad de la Información.
VIII. Informar
al Comité de Auditoría y al comité de riesgos de la Institución o a los Comités
designados para ello, en la sesión inmediata siguiente a la verificación del
Incidente de Seguridad de la Información que se trate, respecto de las acciones
tomadas y del seguimiento a las medidas para prevenir o evitar que se presenten
nuevamente los mencionados incidentes.
IX. Validar
la definición de los mecanismos de seguridad mencionados en el Anexo 71 de las
presentes disposiciones, así como verificar su cumplimiento.
X. Proponer
y coordinar los programas de capacitación y concientización en materia de
seguridad de la información dentro de la Institución y hacia el Público
Usuario, y verificar su efectividad.
XI. Presentar
mensualmente al director general el informe de gestión en materia de seguridad
de la información. Este reporte deberá efectuarse a los demás comités o
Consejo, según lo determine el director general o a requerimiento de estos.
XII. Tratándose
de los indicadores a que se refiere el numeral 7 del inciso a) de la fracción
III del artículo 86 de estas disposiciones, en materia de seguridad de la
información deberán considerar como indicadores de riesgo al menos los
establecidos en el Anexo 72 de estas disposiciones, e informar del resultado de
la evaluación de dichos indicadores al Consejo, así como al Comité de
Auditoría, comité de riesgos o al comité constituido por la Institución para
tales fines.
XIII.
Ser el responsable de la implementación de la regulación que en materia de
seguridad de la información emitan otras autoridades financieras.
Las Instituciones deberán asegurarse
de que el oficial en jefe de seguridad de la información tenga a su disposición
los registros de las personas que cuenten con acceso a la información
relacionada con las operaciones en las que interviene la propia Institución,
incluyendo aquellas que se encuentren en el extranjero y de los Usuarios de la
Infraestructura Tecnológica que cuenten con altos privilegios, tales como
administración de sistemas operativos y de bases de datos, así como de sus
prestadores de servicios.
Las Instituciones que pertenezcan a
un grupo financiero sujeto a la supervisión de la Comisión o bien, que formen
parte de Consorcios o Grupos Empresariales que cuenten con una entidad
financiera sujeta a la supervisión de la propia Comisión, podrán asignar las
funciones del oficial en jefe de seguridad de la información, a la persona que
desempeñe dichas actividades en la entidad financiera supervisada por la
Comisión, siempre y cuando dicha persona cumpla con el Artículo 168 Bis 13 de
estas disposiciones.
Artículo 168 Bis 15.- El
oficial en jefe de seguridad de la información de las Instituciones podrá
apoyarse para el ejercicio de sus funciones en representantes de seguridad de
la información de las diferentes Unidades de Negocio denominados oficiales
operativos de seguridad de la información, los cuales serán responsables de la
aplicación de las políticas y procesos de seguridad de la información en sus
respectivas Unidades de Negocio, coadyuvando en los procesos de gestión,
reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad.
Dichos oficiales operativos tendrán
las siguientes funciones:
I.
Verificar la aplicación de las políticas y procedimientos de seguridad
de la información en su Unidad de Negocio, debiendo reportar de esta gestión al
oficial en jefe de seguridad de la información al menos mensualmente.
II.
Reportar al oficial en jefe de seguridad de la información cualquier
riesgo o eventualidad que pudiera impactar en la seguridad de la información.
III. Proponer
al oficial en jefe de seguridad de la información la adopción de controles de
seguridad de la información adicionales.
Los oficiales operativos de
seguridad de la información deberán mantenerse actualizados respecto de la
normatividad aplicable en dicha materia y podrán recomendar al personal de las
Unidades de Negocio la adopción de medidas respecto de la seguridad de la
información que previamente hayan sido autorizadas por el oficial en jefe de
seguridad de la información.
Artículo 168 Bis 16.- En caso
de que se presente un Incidente de Seguridad de la Información que reúna
cualquiera de los requisitos a que aluden los incisos a) a d) de la fracción I
de este artículo en: (i) los componentes de la Infraestructura Tecnológica de
la Institución; (ii) los canales de atención al público, tales como Medios
Electrónicos, Oficinas Bancarias o comisionistas de la Institución o, (iii) la
infraestructura tecnológica de cualquier tercero que afecte la operación o la
Infraestructura Tecnológica de la Institución el director general de la
Institución deberá:
I. Prever
lo necesario para hacer del conocimiento de la Comisión de forma inmediata los
Incidentes de Seguridad de la Información, mediante correo electrónico remitido
a la cuenta Ciberseguridad-CNBV@cnbv.gob.mx o a través de otros medios que la
propia Comisión señale, debiéndose generar un acuse de recibo electrónico. En
dicha notificación se deberá indicar, al menos, la fecha y hora de inicio del
Incidente de Seguridad de la Información de que se trate y, en su caso, la
indicación de si continúa o, en su caso, si ha concluido y su duración; una
descripción de dicho incidente, así como una evaluación inicial del impacto o
gravedad.
Los
Incidentes de Seguridad de la Información que deberán reportarse de manera
inmediata, serán aquellos que actualicen al menos uno de los siguientes
supuestos:
a) Genere pérdida económica, de
información o interrupción de los servicios de la Institución.
b) Su modo de operación,
incluyendo las vulnerabilidades explotadas, pueda replicarse en otras
Instituciones.
c) Pueda representar una
afectación a los clientes de las Instituciones, a la estabilidad del sistema
financiero o de pagos, o bien, a los sistemas centrales de pagos, a sus
prestadores de servicios, cámaras de compensación o a las instituciones para el
depósito de valores.
d) Cualquier otro que se
considere grave a juicio de la Institución.
Adicionalmente,
las Instituciones deberán enviar mediante correo electrónico a la Comisión a la
cuenta Ciberseguridad-CNBV@cnbv.gob.mx o a través de otros medios que la propia
Comisión señale, dentro de los 5 días hábiles siguientes a la identificación
del Incidente de Seguridad de la Información de que se trate, la información
que se contiene en los Anexos 64 y 64 Bis de las presentes disposiciones.
Las
Instituciones deberán conservar y mantener a disposición de la Comisión, por el
período señalado en el artículo 168 Bis 17 de estas disposiciones, los
registros de los Incidentes de Seguridad de la Información que no reúnan
ninguna de las características aludidas en los incisos anteriores.
II. Llevar
a cabo una investigación inmediata sobre las causas que generaron el Incidente
de Seguridad de la Información y establecer un plan de trabajo que describa las
acciones a implementar para eliminar o mitigar los riesgos y vulnerabilidades
que propiciaron el mencionado incidente. Dicho plan deberá indicar, al menos,
el personal responsable de su diseño, implementación, ejecución y seguimiento,
plazos para su ejecución, así como los recursos técnicos, materiales y humanos,
y enviarse a la Comisión en un plazo no mayor a 15 días hábiles posteriores a
que concluyó el Incidente de Seguridad de la Información.
Cuando el Incidente de
Seguridad de la Información refiera a que la Información Sensible que se encuentre
en custodia de la Institución o de terceros que le presten servicios, fue
extraída, extraviada, eliminada, alterada o bien, las Instituciones sospechen
de la realización de algún acto que involucre accesos no autorizados a dicha
información, el director general o la persona que este designe, deberán
notificar a los clientes la posible pérdida, extracción, alteración, extravío o
acceso no autorizado a su información, dentro de las siguientes 48 horas a que
ocurrió el Incidente de Seguridad de la Información o a que se tuvo
conocimiento de este, a través de los medios de notificación que el cliente
haya señalado para tal efecto, a fin de prevenirlo de los riesgos derivados del
mal uso de la información que haya sido extraída, extraviada, eliminada, o alterada,
debiendo informarle las medidas que deberá tomar y, en su caso, efectuar la
reposición de los medios de disposición que correspondan o la sustitución de
Factores de Autenticación necesarios. La evidencia de esta notificación deberá
incluirse en el resultado de la investigación señalada en el párrafo anterior.
Artículo 168 Bis 17.- Las
Instituciones deberán llevar un registro en bases de datos, de los incidentes,
fallas o vulnerabilidades detectadas en la Infraestructura Tecnológica, que
incluya al menos la información relacionada con la detección de fallas, errores
operativos, intentos de ataques informáticos y de aquellos efectivamente
llevados a cabo así como de pérdida, extracción, alteración, extravío o uso
indebido de información de los Usuarios de la Infraestructura Tecnológica, en
donde se contemple la fecha del suceso y una breve descripción de este, su
duración, servicio o canal afectado, clientes afectados y montos, así como las
medidas correctivas implementadas.
La información a que se refiere el
presente artículo deberá estar respaldada en los medios que las Instituciones
determinen y conservarse por, al menos, 10 años.”
“Artículo 169.- Las
Instituciones deberán documentar en manuales, las políticas y procedimientos
relativos a las operaciones propias de su objeto, incluyendo los relativos al
funcionamiento de su Infraestructura Tecnológica, los cuales deberán guardar
congruencia con los objetivos y lineamientos del Sistema de Control Interno,
así como describir las funciones de Contraloría Interna de la Institución.
. . .”
“Artículo 315 Bis.- . . .
I. Los clientes ordenantes
deberán registrar las instrucciones para el pago de la orden indicando los
datos de los beneficiarios, incluyendo nombre completo, fecha de nacimiento y
número de línea de Teléfono Móvil. Asimismo, deberá señalarse el monto
individualizado asignado a cada uno de ellos, el cual no podrá exceder del
equivalente en moneda nacional a las Operaciones Monetarias de Mediana Cuantía.
II. a V. . . .
. . .”
“Artículo 316 Bis 10.- . . .
I. a IV. . . .
V. Tratándose del servicio de
Banca Electrónica en el que se utilicen tarjetas de débito y de crédito, con
las certificaciones que se indican a continuación:
a) Certificaciones de normas de
seguridad de la industria de tarjetas, incluyendo entre otras: la norma de
seguridad de datos (PCI-DSS), la norma de seguridad de datos para las
aplicaciones de pago (PA-DSS) y los requisitos de seguridad y transacciones con
NIP (PTS) o sus equivalentes o aquellos que, a criterio de la Comisión, permitan
la debida protección de la información almacenada, transmitida o procesada.
b) Certificación conforme al
estándar de interoperabilidad de tarjetas de débito y de crédito conocido como
EMV, niveles 1 (interfaces, físico, eléctrico y de transporte) y 2 (selección
de aplicaciones de pago y procesamiento de transacciones), en su caso, aquellos
otros estándares que, a criterio de la Comisión, satisfagan este requerimiento
y permitan la adecuada interoperabilidad. Lo anterior solo aplicará en aquellos
Dispositivos de Acceso para operaciones con Tarjeta Bancaria con Circuito
Integrado en que la información para realizar operaciones se toma directamente
del circuito integrado de esta.”
“Artículo 316 Bis 12.- Se deroga.”
“Artículo 316 Bis 14.- Las Instituciones deberán
mantener en bases de datos todas las operaciones efectuadas a través del
servicio de Banca Electrónica que no sean reconocidas por sus Usuarios y que,
al menos, incluya la información relacionada con operaciones no reconocidas por
los Usuarios y el trámite que, en su caso, haya promovido el Usuario, tales
como folio de reclamación, fecha de reclamación, causa o motivo de la
reclamación, fecha de la operación, cuenta origen, tipo de producto, servicio
de Banca Electrónica en el que se realizó la operación, importe, estado de la
reclamación, resolución, fecha de resolución, monto abonado, monto recuperado y
monto quebrantado.
. . .”
“Artículo 316 Bis 17.- Se
deroga.”
“Artículo 316 Bis 20.- Se
deroga.”
TRANSITORIOS
PRIMERO.- La presente
Resolución entrará en vigor el día siguiente al de su publicación en el Diario
Oficial de la Federación, salvo por lo
dispuesto en los artículos transitorios siguientes.
SEGUNDO.- Las normas
contenidas en el artículo 86, fracción III, inciso b), numeral 3, que se
reforma y 168 Bis 11 fracciones II, III inciso b), IV, VI, incisos b) a e), IX,
XIV último párrafo; 168 Bis 12 fracciones II, III, VIII y 168 Bis 14, fracción
VI, que se adicionan con esta Resolución, entrarán en vigor a los seis meses
siguientes al de su publicación en el Diario Oficial de la Federación.
Las obligaciones del artículo 168
Bis 11, en relación con los requerimientos de la infraestructura tecnológica,
según dicho término se define en esta Resolución, que sea provista por terceros
que hayan sido contratados por las instituciones de crédito con anterioridad a
la entrada en vigor de este instrumento, deberán cumplirse en un plazo máximo
de tres años contados a partir de la entrada en vigor de esta Resolución o
bien, al momento de la renovación de la contratación respectiva, lo que ocurra
primero. Las contrataciones con terceros realizadas por las instituciones de
crédito para la provisión de la infraestructura tecnológica, que sean
contratadas a partir del inicio de vigencia de esta Resolución, deberán ajustarse
a los requerimientos del artículo 168 Bis 11,
a los seis meses contados a partir de la entrada en vigor de este instrumento.
TERCERO.- Las obligaciones
contenidas en los artículos 168 Bis 11 fracciones VI, inciso a), X, XIII, XV;
168 Bis 12 fracciones I, V; 168 Bis 13; 168 Bis 14 fracciones I, II, IV segundo
párrafo, VII, VIII, XI, XII, XIII y segundo párrafo de dicho artículo, que se
adicionan con esta Resolución, entrarán en vigor a los nueve meses siguientes
al de su publicación en el Diario Oficial de la Federación.
Las instituciones a que se refiere
el artículo 2, fracción II, de la Ley de Instituciones de Crédito, deberán
hacer la designación a que alude el artículo 168 Bis 13,
a los doce meses siguientes al de su publicación en el Diario Oficial de la
Federación.
Hasta en tanto no se lleve a cabo la
designación de la persona señalada en el artículo 168 Bis 13 de esta
Resolución, las instituciones de crédito estarán obligadas a llevar a cabo las
funciones respectivas, a través de la persona que, a la entrada en vigor de
esta Resolución, se encuentre a cargo de la vigilancia de la seguridad de la
información.
CUARTO.- Las obligaciones
contenidas en los artículos 168 Bis 11 fracciones VI, inciso f), VIII, XI, XII,
XIV primer y segundo párrafos; 168 Bis 12 fracciones IV, VI, VII, IX y X; 168
Bis 14 fracciones III, IV primer párrafo, V, IX, X; así como del 316 Bis 10,
fracción V respecto de los comercios y para las propias instituciones preverse
en el plan director de seguridad, según dicho término se define en esta
Resolución, que se adicionan, entrarán en vigor a los doce meses siguientes al
de su publicación en el Diario Oficial de la Federación.
QUINTO.- La obligación
contenida en el artículo 168 Bis 11, fracción III, inciso a), que se
adiciona con esta Resolución, entrará en vigor a los dieciocho meses siguientes
al de su publicación en el Diario Oficial de la Federación.
SEXTO.- Las normas contenidas
en los artículos 15 Bis, fracción VI, inciso c); 164, fracción VI, incisos b) y
c); y 316 Bis 17, quedarán derogadas a los seis meses siguientes al de la
publicación en el Diario Oficial de la Federación de esta Resolución.
SÉPTIMO.- Las normas
contenidas en los artículos 15 Bis, fracción V, inciso a) y 166, fracción V,
quedarán derogadas a los nueve meses siguientes al de la publicación en el
Diario Oficial de la Federación de la presente Resolución.
OCTAVO.- Las normas
contenidas en los artículos 15 Bis, fracción V, inciso d), 164, fracción V,
incisos g) y h) y 316 Bis 20, quedarán derogadas a los doce meses siguientes al
de la publicación en el Diario Oficial de la Federación de la presente
Resolución.
Atentamente
Ciudad de México, 15 de noviembre de
2018.- El Presidente de la Comisión Nacional Bancaria y de Valores, José
Bernardo González Rosas.- Rúbrica.
ANEXO
64
Incidentes
de afectación en materia de seguridad de la información
I. Información de la Institución
a) Nombre de la Institución.
b) Nombre completo del oficial en jefe de seguridad de la
información, así como su número de teléfono y dirección de correo electrónico.
II. Información detallada del Incidente de Seguridad de
la Información
|
Descripción
del Incidente de Seguridad de la Información
|
|
a)
|
Fecha y hora en que ocurrió
|
|
|
|
b)
|
Fecha y hora en que se detectó
|
|
|
|
c)
|
Duración del incidente
|
|
|
|
d)
|
Ubicación de la instalación afectada (centro de datos,
Oficina Bancaria)
|
|
|
|
e)
|
¿La información involucrada en el incidente es
administrada por terceros?
|
Si ( )
|
No ( )
|
|
f)
|
En caso de ser afirmativo el inciso e), detallar datos
del proveedor (nombre, dirección y datos de contacto, correo electrónico,
teléfono, entre otros)
|
|
|
|
Afectación provocada por el
Incidente de Seguridad
|
|
g)
|
¿El incidente puede ocasionar una pérdida monetaria para
los clientes o para la propia institución?
|
Si ( )
|
No ( )
|
|
h)
|
¿Es viable recuperar de manera directa (gestiones
propias) o indirecta (a través de seguros) la posible pérdida monetaria, a
través de otras instituciones o entidades financieras?
|
Si ( )
|
No ( )
|
|
i)
|
¿Se han identificado otros incidentes relacionados con el
que se reporta, sea por origen, modo de operación o afectación?
|
Si ( )
|
No ( )
|
j) Indicar, en su caso, el tipo de información
comprometida con el Incidente de Seguridad de la Información, conforme a las
tablas siguientes:
|
Información personal del
cliente comprometida
|
|
|
Nombres
|
Si ( )
|
No ( )
|
|
|
Domicilios
|
Si ( )
|
No ( )
|
|
|
Números de teléfono
|
Si ( )
|
No ( )
|
|
|
Direcciones de correo electrónico
|
Si ( )
|
No ( )
|
|
|
Datos biométricos (huellas dactilares, patrones en iris o
retina o reconocimiento facial, entre otros)
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
Información de cuentas o
saldos
|
|
|
Números de tarjetas de débito, crédito u otras
|
Si ( )
|
No ( )
|
|
|
Números de cuenta
|
Si ( )
|
No ( )
|
|
|
Contraseñas o números de identificación personal
|
Si ( )
|
No ( )
|
|
|
Identificadores de usuarios
|
Si ( )
|
No ( )
|
|
|
Límites de crédito
|
Si ( )
|
No ( )
|
|
|
Saldos
|
Si ( )
|
No ( )
|
|
|
Otro(s)
|
|
|
|
Información de la Institución
|
|
|
Claves de
acceso
|
Si ( )
|
No ( )
|
|
|
Configuraciones
de seguridad
|
Si ( )
|
No ( )
|
|
|
Identificación
de puertos o servicios
|
Si ( )
|
No ( )
|
|
|
Direcciones
IP de componentes o servicios
|
Si ( )
|
No ( )
|
|
|
Direcciones
IP de componentes internos
|
Si ( )
|
No ( )
|
|
|
Acceso a
segmentos internos de red
|
Si ( )
|
No ( )
|
|
|
Versiones
de software, sistemas operativos o bases de datos
|
Si ( )
|
No ( )
|
|
|
Identificación
de vulnerabilidades
|
Si ( )
|
No ( )
|
|
|
Otro(s)
|
|
|
III. Clasificar
el Incidente de Seguridad de la Información reportado con base en las
siguientes definiciones:
|
Clase de Incidentes de Seguridad de la Información
|
|
a) Ataques físicos
|
|
|
Sabotaje
|
Si ( )
|
No ( )
|
|
|
Vandalismo
|
Si ( )
|
No ( )
|
|
|
Robo de dispositivos
|
Si ( )
|
No ( )
|
|
|
Fuga de
información en medios físicos
|
Si ( )
|
No ( )
|
|
|
Accesos
físicos no autorizados
|
Si ( )
|
No ( )
|
|
|
Coerción
|
Si ( )
|
No ( )
|
|
|
Extorsión
|
Si ( )
|
No ( )
|
|
|
Ataque
terrorista
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
b) Daño no intencional o accidental, pérdida de
información o pérdida de activos
|
|
|
Información
compartida indebidamente
|
Si ( )
|
No ( )
|
|
|
Errores u
omisiones en sistemas o dispositivos
|
Si ( )
|
No ( )
|
|
|
Errores en
procedimientos o controles
|
Si ( )
|
No ( )
|
|
|
Cambios
indebidos a datos
|
Si ( )
|
No ( )
|
|
|
Extravío de
información o dispositivos
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
c) Incidentes por desastres naturales o ambientales
|
|
|
Terremotos
|
Si ( )
|
No ( )
|
|
|
Inundaciones
|
Si ( )
|
No ( )
|
|
|
Huracanes
|
Si ( )
|
No ( )
|
|
|
Incendios
|
Si ( )
|
No ( )
|
|
|
Radiaciones
|
Si ( )
|
No ( )
|
|
|
Corrosiones
|
Si ( )
|
No ( )
|
|
|
Explosiones
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
d) Incidentes por fallas o mal funcionamiento
|
|
|
Dispositivos
|
Si ( )
|
No ( )
|
|
|
Sistemas
|
Si ( )
|
No ( )
|
|
|
Comunicaciones
|
Si ( )
|
No ( )
|
|
|
Servicios
|
Si ( )
|
No ( )
|
|
|
Equipos de
terceros
|
Si ( )
|
No ( )
|
|
|
Cadena de
suministros
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
e) Incidentes por la interrupción o falta de insumos
|
|
|
Ausencia de
personal
|
Si ( )
|
No ( )
|
|
|
Huelgas
|
Si ( )
|
No ( )
|
|
|
Energía
|
Si ( )
|
No ( )
|
|
|
Agua
|
Si ( )
|
No ( )
|
|
|
Telecomunicaciones
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
f) Incidentes por intercepción de datos
|
|
|
Espionaje
|
Si ( )
|
No ( )
|
|
|
Mensajes
|
Si ( )
|
No ( )
|
|
|
Wardriving
|
Si ( )
|
No ( )
|
|
|
Ataques de
hombre en medio
|
Si ( )
|
No ( )
|
|
|
Secuestro
de sesiones
|
Si ( )
|
No ( )
|
|
|
Sniffers
|
Si ( )
|
No ( )
|
|
|
Robo de
mensajería
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
g) Incidentes por actividad maliciosa con el fin de tomar
el control, desestabilizar o dañar un sistema informático
|
|
|
Robo de
identidad
|
Si ( )
|
No ( )
|
|
|
Phishing
|
Si ( )
|
No ( )
|
|
|
Denegación
de servicios (DOS, DDOS)
|
Si ( )
|
No ( )
|
|
|
Código
malicioso (malware, troyanos, gusanos, inyección de código, virus,
ransomware)
|
Si ( )
|
No ( )
|
|
|
Ingeniería
social
|
Si ( )
|
No ( )
|
|
|
Vulneración
de certificados (suplantación de sitios, certificados falsos)
|
Si ( )
|
No ( )
|
|
|
Manipulación
de hardware (proxies anónimos, skimmers, instalación de sniffers)
|
Si ( )
|
No ( )
|
|
|
Alteración
de información (suplantación de direccionamiento y tablas de ruteo, DNS
poisoning, alteración de configuraciones)
|
Si ( )
|
No ( )
|
|
|
Abuso de
herramientas de revisión de seguridad de la información
|
Si ( )
|
No ( )
|
|
|
Ataques de
fuerza bruta
|
Si ( )
|
No ( )
|
|
|
Abuso de
autorizaciones
|
Si ( )
|
No ( )
|
|
|
Crimen
organizado
|
Si ( )
|
No ( )
|
|
|
Hacktivistas
|
Si ( )
|
No ( )
|
|
|
Gobierno o
grupos afines
|
Si ( )
|
No ( )
|
|
|
Terroristas
|
Si ( )
|
No ( )
|
|
|
Insiders
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
h) Incidentes originados por aspectos legales
|
|
|
Violación
de cláusulas contractuales
|
Si ( )
|
No ( )
|
|
|
Violación
de acuerdos de confidencialidad
|
Si ( )
|
No ( )
|
|
|
Decisiones
adversas (resoluciones judiciales en la misma jurisdicción o en otras)
|
Si ( )
|
No ( )
|
|
|
Otro(s):
|
|
|
|
i)
Otros (especificar)
|
|
|
|
|
IV. Señalar
en las tablas siguientes la clasificación en las que se ubica el incidente
mediante los conceptos del catálogo siguiente:
Especificar en cuál de las siguientes categorías se
ubica el incidente:
|
Catálogo
del tipo de incidente
|
|
Clave
|
Tipo
|
|
|
1
|
Ciberseguridad
|
(
)
|
|
2
|
Suplantación de Identidad
|
(
)
|
|
3
|
Asalto/Robo
|
(
)
|
|
4
|
Intrusión física
|
(
)
|
|
5
|
Pérdida de información
|
(
)
|
|
999
|
Otro
|
(
)
|
Indicar la(s) línea(s) de negocio afectadas por el
incidente:
|
Catálogo
de líneas de negocio
|
|
Clave
|
Producto
|
|
|
101
|
Créditos Comerciales
|
(
)
|
|
102
|
Créditos de Consumo
|
(
)
|
|
103
|
Créditos a la Vivienda
|
(
)
|
|
104
|
Tarjetas de Crédito
|
(
)
|
|
105
|
Divisas
|
(
)
|
|
106
|
Derivados
|
(
)
|
|
107
|
Reportos
|
(
)
|
|
108
|
SPEI/SPID/SWIFT
|
(
)
|
|
109
|
Valores e Instrumentos de Inversión
|
(
)
|
|
110
|
Cuentas de ahorro, vista, etc.
|
(
)
|
|
112
|
Productos no Bancarios
|
(
)
|
|
199
|
Otro
|
(
)
|
Indicar los canales afectados por el
incidente:
|
Catálogo de canal afectado
|
|
|
Clave
|
Canal
|
|
|
201
|
Operaciones por Internet Personas Físicas
|
( )
|
|
202
|
Operaciones por Internet Personas Morales
|
( )
|
|
203
|
Comercio por Internet
|
( )
|
|
204
|
Banca por Teléfono
|
( )
|
|
205
|
Comercio por Teléfono
|
( )
|
|
206
|
Cajeros Automáticos
|
( )
|
|
207
|
Terminal Punto de Venta
|
( )
|
|
208
|
Sucursales
|
( )
|
|
209
|
Corresponsales
|
( )
|
|
210
|
Pago Móvil
|
( )
|
|
211
|
Banca Móvil
|
( )
|
|
212
|
Movimiento generado por el Banco
|
( )
|
|
213
|
Otros Bancos
|
( )
|
|
299
|
Otro
|
( )
|
Indicar el tipo de activo afectado
por el incidente:
|
Catálogo de activo afectado
|
|
|
Clave
|
Activo impactado
|
|
|
301
|
Estados de Cuenta
|
( )
|
|
302
|
Plásticos de tarjetas
|
( )
|
|
303
|
Chequeras
|
( )
|
|
304
|
NIP´s
|
( )
|
|
305
|
Contraseñas
|
( )
|
|
306
|
Bases de Datos
|
( )
|
|
307
|
TOKEN
|
( )
|
|
399
|
Otro
|
( )
|
|
|
|
Nombre y firma del
oficial en jefe de seguridad de la información
|
ANEXO
64 Bis
Informe de Incidentes de Seguridad de la Información
I. Información de la
Institución
a) Nombre de la Institución.
b) Nombre completo del oficial en
jefe de seguridad de la información, así como su número de teléfono y dirección
de correo electrónico.
II. Información detallada
del Incidente de Seguridad de la Información
a) Anexar en medio digital cifrado
la siguiente información:
1. Descripción
del Incidente de Seguridad de la Información.
2. Números
de cuenta afectadas.
3. Estado
de las cuentas afectadas (bloqueada, suspendida, activa).
4. Zona
de red afectada (internet, red interna, red de administración, entre otras).
5. Tipo
de sistema afectado (servidor de archivos, servidor
web, servicio de correo, base de datos, estaciones de trabajo, ya sea de
escritorio o móvil, entre otros).
6. Sistema
operativo (especificar versión).
7. Protocolos
o servicios de los componentes impactados.
8. Número de componentes de los sistemas de la
Institución afectados.
9. Aplicaciones
involucradas (especificar versión).
10. Información del dispositivo comprometido, en su caso
(marca, versión de software, firmware, entre otros).
11. Impacto al servicio (considerando cualquier
disrupción) ocasionado por el Incidente de Seguridad de la Información.
12. Monto de la pérdida en pesos, en su caso.
13. Monto recuperado en pesos, en su caso.
14. Estado
del Incidente de Seguridad de la información (Resuelto o No Resuelto).
15. Señalar si el Incidente de Seguridad de la información
se ha dado a conocer a alguna autoridad. En caso afirmativo, indicar la
autoridad y la fecha.
16. Direcciones IP públicas, direcciones de correo
electrónico o dominios de dónde proviene el ataque.
17. El protocolo de comunicación utilizado, en su caso.
18. La URL en caso de sitios web involucrados.
19. El malware o firma detectada.
20. Detallar las acciones que se realizaron para mitigar
el Incidente de Seguridad de la información, mencionando las personas
responsables de implementar dichas acciones de mitigación.
21. Descripción de los resultados de las acciones de
mitigación.
22. Acciones para minimizar el daño en situaciones
similares subsecuentes.
23. Otra información que considere deba ser de
conocimiento de esta Comisión.
|
Nombre y firma del oficial en jefe de
seguridad de la información
|
ANEXO
71
REQUERIMIENTOS
TÉCNICOS PARA LA CAPTURA DE HUELLAS DACTILARES E IDENTIFICACIÓN FACIAL COMO
DATOS BIOMÉTRICOS
I. Captura de huella dactilar
Los registros de huellas dactilares
que realicen las Instituciones consistirán en una toma de imagen de las crestas
papilares de los dedos sobre una superficie de contraste por presión, a partir
de la cual se obtienen los datos biométricos. Dicha toma deberá considerar
controles que aseguren que se obtienen directamente de la persona, evitando el
registro de huellas provenientes de impresiones en algún material que pretenda
simular la huella de otra persona (prueba de huella viva).
El proceso de primera captura de
huellas dactilares deberá consistir en registrar, en primer lugar, las diez
huellas dactilares de los empleados, directivos y funcionarios de las
Instituciones que estarán a cargo de registrar las huellas de los clientes. En
segundo lugar, los referidos empleados, directivos y funcionarios referidos,
procederán a capturar al menos, seis huellas dactilares de los clientes de la
Institución. Para lo anterior, las Instituciones deberán auxiliarse del o los
responsables de las funciones de Contraloría Interna para que se verifique lo
previsto en este párrafo.
El proceso de captura de huellas
dactilares deberá impedir que un empleado, directivo o funcionario de la
Institución registre sus propias huellas dactilares en sustitución de las del
cliente. Las Instituciones en todo momento deberán garantizar la integridad de
la información biométrica almacenada o trasmitida, así como la conservación,
disponibilidad y la imposibilidad de manipulación de tal información. Para efectos
de lo previsto en este párrafo las Instituciones deberán ajustarse al menos a
lo siguiente:
a) Segregar
lógica y físicamente la Infraestructura Tecnológica en que se mantienen las
bases de datos de información biométrica, incluyendo la segmentación de las
diferentes redes involucradas.
b) Configurar
de manera segura los equipos, de acuerdo al tipo de elemento de Infraestructura
Tecnológica, puertos, servicios, permisos, listas de acceso, actualizaciones
del fabricante y configuración de fábrica.
c) Establecer controles de acceso y mecanismos
de identificación y autenticación de todos y cada uno de los Usuarios de la
Infraestructura Tecnológica, que permitan reconocerlos de forma inequívoca y
aseguren el acceso únicamente a las personas autorizadas expresamente para
ello. Ambos mecanismos deberán incluir controles específicos para aquellos
Usuarios de la Infraestructura Tecnológica con mayores privilegios, derivados
de sus funciones, tales como las de administración de bases de datos y de
sistemas operativos, incluyendo registros de auditoría sobre todos los accesos.
d) Contar con mecanismos de cifrado de la
información cuando sea transmitida o almacenada.
e) Realizar pruebas tendientes a detectar
vulnerabilidades y amenazas, así como de penetración en los diferentes
elementos de la Infraestructura Tecnológica a fin de implementar mecanismos de
defensa que prevengan el acceso y uso no autorizado de la información.
f) Implementar
controles para la conservación de la información, incluyendo aquellos respecto
de la integridad de la información almacenada, que permitan identificar
cualquier cambio a los datos originales, así como de conservación y borrado
seguro que eviten en todo momento que puedan ser conocidos por terceros no
autorizados.
Las Instituciones deberán utilizar
lectores de huellas de al menos dos dedos por lectura (dispositivos duales)
para el procedimiento de primera captura de huellas dactilares para la
integración de sus bases de datos.
Para el proceso de captura de
huellas dactilares, los requerimientos mínimos de la imagen son los siguientes:
|
Resolución
del escáner (puntos por pulgada)
|
Profundidad
(pixeles)
|
Rango
dinámico mínimo (niveles de gris)
|
|
500
|
8 bits
|
200
|
Parámetros de operación de la plataforma (software y
hardware) para la captura de huellas dactilares
Las aplicaciones y dispositivos utilizados en el proceso de
captura de huellas dactilares en una superficie de contraste por presión, con
el fin de integrar una base de datos con tal información, deberán considerar al
menos los siguientes requerimientos:
|
PARÁMETRO
|
DECISIÓN
|
OBSERVACIÓN
|
|
Primera
captura de huellas dactilares
|
|
Imagen capturada
|
|
Tipo
de toma
|
M
|
Plana en vivo.
|
|
Número
de dedos
|
M
|
De 10 para empleados, directivos y
funcionarios.
De 6 para clientes como mínimo.
Lo anterior, salvo la excepción que
se establece en este anexo.
|
|
Posición
de los dedos
|
MP
|
Los dedos deberán ser colocados en el
centro del plato con respecto al horizonte de este y paralelos a la
superficie de captura.
|
|
Ángulo
de captura
|
MP
|
Los dedos deberán ser colocados a 90°
con una rotación de ±10° con respecto al horizonte del plato.
|
|
Movimiento
en la captura
|
MP
|
Evitar el deslizamiento de las
huellas sobre el plato al momento de realizar la captura, para evitar
imágenes manchadas.
|
|
Visualización
|
MP
|
El operador debe observar en tiempo
real información de la captura.
|
|
Segmentación
|
MP
|
Probado por el NIST en la prueba
denominada
“Slap Seg II test”.
|
|
Secuencia
|
M
|
Validar que no se repitan las huellas
de cada dedo durante un mismo proceso de captura.
|
|
Deduplicación
|
M
|
Validar que las huellas de los
clientes o empleados de la Institución no se encuentren previamente
registradas en la base de datos con la información de otro cliente o empleado
de la Institución.
|
|
Dispositivos
|
|
Dual
|
M
|
Certificados EFTS anexo F FAP 45.
|
|
Decadactilares (4-4-2)
|
M
|
Certificados EFTS anexo F FAP 60.
Revisión de secuencia.
|
|
Imagen
|
M
|
Genera RAW.
Vista previa de la toma realizada.
|
|
Información
a obtener del dispositivo
|
M
|
El número de serie es obligatorio.
Opcionalmente el dispositivo debe
tener versión de Firmware, fabricante, y modelo.
|
|
Operación
|
|
Asistido
|
M
|
Sí. Captura de
huellas jerárquica y se debe registrar al menos una huella del operador, el
cual debe estar registrado biométricamente en la Institución.
|
|
Análisis de
parámetros de calidad
|
M
|
Conforme a NFIQ.
|
|
Limpieza
|
MP
|
Limpiar el plato
antes de cada captura de huellas dactilares para lectores ópticos.
|
|
Iluminación
|
|
MP
|
Para dispositivos ópticos evitar
fuentes de luz sobre el dispositivo de captura.
|
|
Recaptura
|
|
M
|
En caso de no obtener los parámetros
de calidad mínimos, al menos 3 intentos por huella.
|
|
Transmisión
|
|
|
Compresión imágenes de 500 puntos por
pulgada (ppi, por su siglas en inglés)
|
M
|
Compresión única a partir de imagen
RAW. WSQ máximo 10:1.
|
Decisión:
M->Mandatorio O->Opcional MP->Mejor práctica
En caso de que las aplicaciones, procesos, parámetros o
dispositivos utilizados en la captura de huellas dactilares, no se apeguen a
los requisitos del presente anexo, las Instituciones deberán someterlos a la
aprobación de la Comisión. No obstante lo anterior, tratándose de la captura de
huellas dactilares de los clientes de las Instituciones, en ningún caso esta
podrá ser menor a seis huellas, salvo por la excepción prevista en este anexo.
Excepción a la captura de huellas dactilares
En caso de que los clientes, empleados, directivos y
funcionarios de las Instituciones estén imposibilitados de manera permanente
para plasmar sus huellas dactilares en los respectivos lectores, se deberá
precisar que no es posible realizar la captura de la imagen de las huellas
dactilares por amputaciones, injertos, malformación, lesión permanente,
prótesis, enfermedad, entre otras.
En todo caso, deberá capturarse el mayor número de huellas
posibles, haciendo las anotaciones correspondientes en el expediente.
Autenticación utilizando la base de datos de huellas
dactilares de las propias Instituciones
Para el proceso mediante el cual se haga la lectura de huellas
dactilares para efectos de autenticación (cotejo 1
a 1) de clientes ya registrados, y su uso como Factor de Autenticación
Categoría 4, en su caso, los requerimientos de captura de imagen son los
siguientes:
|
Resolución
del escáner (puntos por pulgada)
|
Profundidad
(pixeles)
|
Rango
dinámico mínimo (niveles de gris)
|
|
300
|
4 bits
|
12
|
|
500
|
8 bits
|
80
|
|
PARÁMETRO
|
DECISIÓN
|
OBSERVACIÓN
|
|
Autenticación
|
|
Imagen
Capturada
|
|
Número de dedos
|
O
|
1 a 4 dependiendo el tipo de lector.
|
|
Cualquier dedo
|
O
|
Sí. La muestra contra todos los registros del usuario.
|
|
Recaptura
|
O
|
Sí. Se sugiere un mínimo de tres intentos.
|
|
Dispositivos
|
|
|
Móvil
|
M
|
Certificados EFTS
anexo F o PIV FAP 30.
|
|
Dual
|
M
|
Certificados EFTS
anexo F FAP 45.
|
|
Decadactilares
(4-4-2)
|
M
|
Certificados EFTS
anexo F FAP 60.
|
|
Unidactilar
|
O
|
Se recomienda
PIV.
|
|
Transmisión
|
|
|
|
Formato
|
O
|
Alguno de los siguientes:
Formato Propietario, Formato RAW, imagen comprimida con los estándares ANSI
INCITS 378 o ISO/IEC 19794-2.
|
Decisión:
M->Mandatorio O->Opcional MP->Mejor práctica
II. Lineamientos de operación
para reconocimiento facial
En caso de que las Instituciones
determinen obtener de sus clientes algún elemento de reconocimiento facial, las
aplicaciones y dispositivos utilizados en el proceso de captura de elementos
faciales, deberán considerar al menos los siguientes requerimientos:
|
PARÁMETRO
|
DECISIÓN
|
OBSERVACIÓN
|
|
Captura de imagen facial
|
|
Imagen
Capturada
|
M
|
2D Frontal
completa, 24 bits a color distancia entre ojos mínimo 90 pixeles.
|
|
Requerimientos
digitales y fotográficos
|
M
|
Estándar ISO
19794-5 sección 7.3,7.4, 8.3 y 8.4.
|
|
Postura
|
M
|
Debe permitir una
rotación de al menos ±5° frontal en cualquier dirección (arriba, abajo,
izquierda, derecha).
|
|
Expresión
|
M
|
Expresión neutral
del rostro. Se deben evitar sonrisas, guiños, etc.
Mirada al lente
de la cámara (con excepción de impedimentos físicos).
|
|
Iluminación
|
M
|
Equilibrada y
distribuida en cada parte del rostro. Para lograr tonos de piel natural y
evitar ojos rojos.
|
|
Profundidad de
Campo
|
M
|
La pose central
del rostro completa estará en foco desde la coronilla hasta la barbilla y
desde la nariz hasta las orejas.
|
|
Lentes
|
M
|
No se permitirá
el uso de armazón de cualquier tipo.
|
|
Accesorios
|
M
|
Solo se permiten
accesorios médicos (sin sombreros, ni accesorios que cubran el rostro).
|
|
Impedimentos para
la toma
|
M
|
Ojos cerrados.
Cabello cubriendo
los ojos o la frente.
Elementos que
obstruyan la frente.
|
|
Vello Facial
|
M
|
Está permitido.
|
|
PARÁMETRO
|
DECISIÓN
|
OBSERVACIÓN
|
|
Fondo
|
O
|
Se empleará un
fondo uniforme de color claro que contraste con el rostro y el cabello, se
recomienda gris pálido o blanco.
|
|
Operación
|
M
|
Ambiente
controlado de iluminación.
|
|
Asistido
|
M
|
Sí.
|
|
Segmentación y
extracción de características
|
M
|
Recorte de
acuerdo a estándar ICAO. Extracción de características automáticas por
software.
|
|
Revisión de
calidad
|
M
|
Automáticas por
software se debe evaluar el estándar ICAO para la calidad de la imagen.
|
|
Autenticación
|
|
Captura de Imagen
|
O
|
Igual que en
captura de imagen facial.
|
|
Numero de
Imágenes
|
O
|
Una frontal
completa.
|
Decisión: M->Mandatorio O->Opcional MP->Mejor
práctica
El proceso de captura de elementos
para el reconocimiento facial debe impedir que un empleado, directivo o
funcionario de la Institución registre sus propias características en
sustitución de las del cliente. Para efectos de lo anterior, previo a que
inicie la captura de la información de clientes, las Instituciones deberán
asegurarse de que los datos de sus empleados, directivos y funcionarios hayan
sido capturados previamente. Para lo anterior, las Instituciones deberán
auxiliarse del o los responsables de las funciones de Contraloría Interna para
que verifique lo previsto en este párrafo.
III. GLOSARIO
ANSI: American National
Standards Institute, de los Estados Unidos de América.
Autenticación: El Proceso
mediante el cual se verifica la identidad del Usuario con los datos biométricos
de huellas dactilares o del rostro que las Instituciones hayan obtenido
previamente. Este proceso implica búsquedas de patrones almacenados de un solo
individuo (1 a 1).
Deduplicación: La técnica
especializada de compresión de datos utilizada para evitar copias duplicadas de
estos.
EFTS (por sus siglas en
inglés Electronic Fingerprint Transmission Specifications): Las
especificaciones para transmisión de información biométrica de la Oficina
Federal de Investigación de los Estados Unidos de América (FBI).
FAP (por sus siglas en inglés
FingerPrint Acquisition Profile): Es una subdivisión de las categorías
aplicadas a los dispositivos para adquisición de huellas basada en dimensiones,
número de dedos simultáneos a capturar, calidad de la imagen. Cuando se
acompaña de un número (30, 45, 60) este indica el área de captura en pulgadas
(45=1.6 x 1.5; 60=3.2 x 3.0, etc.).
ICAO: El estándar para
fotografías en pasaportes emitido por la International Civil Aviation
Organisation.
INCITS (por sus siglas
en inglés InterNational Committee for Information Technology Standards):
El foro central de los Estados Unidos de América, dedicado a la creación de
estándares para la innovación tecnológica.
ISO/IEC: El estándar para la
seguridad de la información publicado por la Organización Internacional de
Normalización y la Comisión Electrotécnica Internacional.
NFIQ: NIST Fingerprint Image Quality. Los estándares de
calidad de las imágenes de huellas dactilares definido por el NIST.
NIST: National Institute of Standards and Technology.
PIV: El estándar definido por
el NIST para verificación de huellas dactilares 1-a-1 (comparación de una
huella contra un registro).
Plato: La superficie de
captura del dispositivo de captura de huellas dactilares.
RAW: El formato de captura de
la imagen en crudo (sin procesar) de una huella dactilar.
Segmentación: El proceso
mediante el cual se individualiza la imagen de la huella dactilar de cada dedo,
con base en una imagen comprimida con WSQ o bien una sola imagen RAW obtenida
del lector, para conseguir hasta cuatro imágenes independientes, una de cada
dedo.
Slap Seg II Test: La prueba
que evalúa la precisión con que el algoritmo segmenta imágenes en capturas
multi-dedos.
WSQ (por sus siglas en Inglés
Wavelet Scalar Quantization): El estándar creado por el FBI que define
el formato para la compresión de imágenes de huellas dactilares.
ANEXO 72
Indicadores de seguridad de la información
El oficial en jefe de seguridad de
la información de la Institución, en relación con los indicadores de seguridad
de la información a que se refiere la fracción XII del Artículo 168 Bis 14, de
las presentes disposiciones, deberá:
1. Evaluar
dichos indicadores, los cuales deberán ajustarse a los umbrales contenidos en
este anexo para cada indicador. En caso de definir umbrales diferentes, deberá
documentar el motivo, el cual deberá estar alineado al nivel de tolerancia al
riesgo de la Institución.
2. Definir
planes de remediación para aquellos riesgos en los que los resultados de la
evaluación arrojen valores que se encuentren dentro de los umbrales medios y
altos de riesgo establecidos en el presente anexo o, en su caso, aquellos
definidos por la Institución, siempre que estos se encuentren en un umbral alto
por, al menos, dos periodos consecutivos.
3. Dar
mantenimiento continuo, ya sea para agregar, eliminar o actualizar los
indicadores claves de riesgo y de desempeño de seguridad de la información ya
existentes, los cuales siempre deberán estar alineados a la estrategia de la
Institución y al Plan Director de Seguridad de la información de esta.
4. Medir
y evaluar su evolución con la periodicidad indicada en las siguientes tablas, o
antes en caso de eventos inusuales.
5. En
caso de que no apliquen todos los supuestos, indicar que no son aplicables y
explicar el motivo.
El
tipo, subtipo y sub clase de eventos en los que se encuentran clasificados cada
uno de los indicadores que se enuncian a continuación, tienen su fundamento en
la Sección II del Anexo 12-A de las presentes disposiciones:
