Circular Única de Seguros y Fianzas. (Continúa en la Cuarta Sección)
| Emisor | Secretaría de Hacienda y Crédito Publico |
CIRCULAR Única de Seguros y Fianzas. (Continúa en la Cuarta Sección) (Viene de la Segunda Sección)
4.10.13. Para el manejo de Contraseñas y otros Factores de Autenticación, las Instituciones y Sociedades Mutualistas se sujetarán a lo siguiente:
-
Deberán mantener procedimientos que proporcionen seguridad en la información contenida en los dispositivos de Autenticación en su custodia, la distribución, así como en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación;
-
Tendrán prohibido contar con mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios, y
-
Tendrán prohibido solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes, Agentes o apoderados, la información parcial o completa, de los Factores de Autenticación de la Categoría 2 o de la Categoría 3 a que se refiere la Disposición 4.10.5.
Se exceptúa de lo previsto en esta fracción, a las Operaciones Telefónicas Voz a Voz, siempre y cuando el Usuario haya iniciado la llamada, se requiera información parcial del Factor de Autenticación de la Categoría 2 o de la Categoría 3 a que se refiere la Disposición 4.10.5, y éste sea utilizado exclusivamente para la realización de Operaciones Electrónicas.
4.10.14. Las Instituciones y Sociedades Mutualistas que pongan al alcance de sus Usuarios equipos electrónicos o de telecomunicaciones, en sus instalaciones o en áreas de acceso al público, para la realización de Operaciones Electrónicas, deberán:
-
Adoptar medidas que procuren detectar e impedir la instalación en tales equipos, de dispositivos o programas que puedan interferir con el manejo de la información de los Usuarios, o que puedan permitir que dicha información sea leída, copiada, modificada o extraída por terceros. Adicionalmente, deberán informar a sus Usuarios, mediante campañas de difusión, sobre la apariencia y el funcionamiento de los equipos electrónicos o de telecomunicaciones que pongan al alcance de estos, a fin de prevenir actos que deriven o pudieran derivar en operaciones irregulares o ilegales que afecten a los Usuarios o a las propias Instituciones y Sociedades Mutualistas, y
-
Contar con procedimientos tanto preventivos como correctivos, que permitan correlacionar la información proveniente de las reclamaciones de los clientes con lo siguiente:
-
El modo de operación del personal interno o externo de la Institución o Sociedad Mutualista, que opera o administra los equipos electrónicos o de telecomunicaciones;
-
Si los equipos han sido sujetos a alteraciones para robo de información de tarjetas, Números de Identificación Personal (NIP) o Contraseñas, y
-
El resultado de las labores de identificación, seguimiento y análisis de comportamientos fuera de los parámetros establecidos por la Institución o Sociedad Mutualista.
Para tal fin, la Institución o Sociedad Mutualista deberá presentar al comité de auditoría, cada vez que sesione, así como al Área de Administración de Riesgos, un informe de los resultados de la ejecución de dichos procedimientos.
4.10.15. Las Instituciones y Sociedades Mutualistas que ofrezcan al público operaciones y servicios a través de centros de atención telefónica, deberán:
-
-
Mantener controles de seguridad física y lógica en la infraestructura tecnológica de los centros de atención telefónica, incluyendo los dispositivos de grabación de llamadas y los medios de almacenamiento y respaldo de éstas, que protejan en todo momento la confidencialidad e integridad de la información proporcionada por sus Usuarios;
-
Delimitar las funciones de los operadores telefónicos a fin de que sean independientes respecto de otras funciones operativas, y
-
Impedir que los operadores telefónicos cuenten con mecanismos que les permitan registrar la información proporcionada por los Usuarios en medios diferentes a los dispuestos por la propia Institución o Sociedad Mutualista para efectos de Autenticación. Para ello, las Instituciones y Sociedades Mutualistas deberán cerciorarse que las personas que tengan acceso a los centros de atención telefónica, no utilicen equipos electrónicos u otros dispositivos, servicios de correo electrónico externo, programas de mensajería instantánea, programas de cómputo, o que a través de estos tengan acceso a páginas de Internet no autorizadas, o cualquier otro mecanismo que les permita copiar, enviar o extraer por cualquier medio o tecnología información relacionada con los Usuarios, o con las operaciones y servicios que se realicen a través de los centros de atención telefónica.
4.10.16. Las Instituciones y Sociedades Mutualistas que utilicen Medios Electrónicos para la celebración de operaciones y prestación de servicios, deberán implementar medidas o mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información a través de dichos Medios Electrónicos, a fin de evitar que sea conocida por terceros. Para tales efectos, las Instituciones y Sociedades Mutualistas deberán cumplir con lo siguiente:
-
Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario procesada a través de Medios Electrónicos, desde el Dispositivo de Acceso hasta la recepción para su ejecución por parte de las Instituciones y Sociedades Mutualistas, a fin de proteger la información relativa a la identificación y Autenticación de Usuarios tales como Contraseñas, Números de Identificación Personal (NIP), cualquier otro Factor de Autenticación, así como la información de las respuestas a las preguntas secretas a que se refiere el penúltimo párrafo de la Disposición 4.10.12.
Para efectos de lo anterior, las Instituciones y Sociedades Mutualistas deberán utilizar tecnologías que manejen Cifrado y que requieran el uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos.
Las Instituciones y Sociedades Mutualistas serán responsables de la administración de las llaves criptográficas, así como de cualquier otro componente utilizado para el Cifrado, considerando procedimientos que aseguren su integridad y confidencialidad, protegiendo la información de Autenticación de sus Usuarios.
Tratándose de Operaciones Telefónicas Voz a Voz y Operaciones...
Para continuar leyendo
Solicita tu prueba