¿Está la Regulación Bancaria Basilea III en capacidad de ...
Regulación Bancaria en México - Capitulo X CNBV
-
Upload
juan-carlos-carrillo -
Category
Economy & Finance
-
view
1.357 -
download
0
description
Transcript of Regulación Bancaria en México - Capitulo X CNBV
Regulaciones y cumplimiento en MéxicoApr 9, 2023
2
EL MAYOR RIESGO DE FRAUDE ESTA EN LA
BANCA
FUGAS DE INFORMACION EN EL SECTOR
FINANCIERO
FUGAS PO R INTERNOS
FRAUDE Y CUMPLIMIENTOINTERNOS, HACKERS Y NUEVAS REGULACIONES
• TARJETAS DE PAGO (CREDITO / DEBITO)
• CREDENCIALES
• CUENTAS BANCARIAS
• FRAUDE EN TRADING
• LAVADO DE DINERO
• PCI-DSS
• BASEL
• CNBV
• SOX
• CNSF
• ISO27001
37%
14%
• FATCA
• LFPDPPP
• LFPIORPI
• …
3
LA CONFIANZA EN LOS BANCOS ESTA DISMINUYENDO
4
Ciertas industrias tienen mayores costos de fugas de Información
5
CAPITULO X CNBV
Estrategia de cumplimiento
6Copyright © 2013, Oracle and/or its affiliates. All right
Circular Única de Bancos (Capítulo X):1) 2º Factor de autenticación
2) Registro de cuentas
3) Notificaciones
4) Limites de operación
5) Prevención de fraudes
6) Registro de bitácoras
7) Seguridad: datos y comunicaciones
8) Contratos
Controles Regulatorios
Clientes
Back Office
Aceptación del Cliente
7Copyright © 2013, Oracle and/or its affiliates. All right
Categoría 1: Se compone de información obtenida mediante la aplicación de cuestionarios al Usuario
Categoría 2: Se compone de información que solo el Usuario conozca, como Contraseñas y Números de Identificación Personal (NIP)
Categoría 3: Se compone de información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de Contraseñas dinámicas de un solo uso
Categoría 4: Se compone de información del Usuario derivada de sus propias características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras
Cuatro categorías de Autenticación
Según el articulo 310
8Copyright © 2013, Oracle and/or its affiliates. All right
Las Instituciones deberán establecer mecanismos y procedimientos para que sus Usuarios del servicio de Banca por Internet, puedan autenticar a las propias Instituciones al inicio de una Sesión, debiendo sujetarse a lo
siguiente:
Proporcionar a sus Usuarios información
personalizada y suficiente para que estos puedan
verificar, antes de ingresar todos los
elementos de Identificación y
Autenticación, que se trata efectivamente de la Institución con la cual se
iniciará la Sesión
Una vez que el Usuario verifique que se trata de la Institución e inicie la Sesión, las Instituciones deberán
proporcionar de forma notoria y visible al Usuario a través del Medio Electrónico de que se trate, al menos la
siguiente información:
Fecha y hora del ingreso a su última
Sesión
Nombre y apellido del Usuario
Autenticación de las Instituciones
Según el articulo 311
9Copyright © 2013, Oracle and/or its affiliates. All right
Las Instituciones deberán proveer lo necesario para que una vez autenticado el
Usuario en el servicio de Banca Electrónica de que se trate:
La Sesión no pueda ser
utilizada por un tercero.
Terminar las sesiones por inactividad
Impedir el acceso en
forma simultánea con
la misma cuenta
Protección de las sesiones
Según el articulo 316 B2
10Copyright © 2013, Oracle and/or its affiliates. All right
Controles en la asignación y reposición a sus Usuarios de dichas Contraseñas y Factores de Autenticación
Prohibir los mecanismos, algoritmos o procedimientos que les permitan conocer, recuperar o descifrar los valores de cualquier información relativa a la Autenticación de sus Usuarios
No solicitar a sus Usuarios, a través de sus funcionarios, empleados, representantes o comisionistas, la información parcial o completa, la información parcial o completa, de los Factores de Autenticación
Manejo de Contraseñas
Según el articulo 316 B4
11Copyright © 2013, Oracle and/or its affiliates. All right
Implementar controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de Medios Electrónicos
Definir las personas que pueden acceder a la información
Dejar constancia de los permisos y señalar los propósitos
Accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado
Procedimientos seguros de destrucción de los medios de almacenamiento
Controles de acceso
Según el articulo 316 B11
12
Access Management 11gR2 Context and Risk Aware
DMZ & Web Tier
WEB SSO
ApplicationTier
Application
Portal
ServiceTier
Web Services
EJBs
Databases
Directories
Identity Federation
SOA
Service Bus
Risk / Adaptive Authentication
2. Publish, Propagate & Evaluate attributes across Oracle’s Fusion Middleware stack
1.
Co
lle
ct
Att
rib
ute
s
Device
TierSmartphone
Tablet
Laptop
Server
Enterprise / WorkSocial / Life
Mobile / PresenceCloud / Services
OES Authorization OES
Authorization
Real-time context collection, propagation for risk analysis, authentication and authorization
API Gateway
OES Authorization
Context
13Copyright © 2013, Oracle and/or its affiliates. All right
• Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario
• Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos• Administración de las llaves criptográficas• Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta,
podrán implementar controles compensatorios al Cifrado• Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las
Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación
• Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado
• La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática
• El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module),
Cifrado
Según el articulo 316 B10
14
• Transparent data encryption
• Prevents access to data at rest
• Requires no application changes
• Built-in two-tier key management
• “Near Zero” overhead with hardware
• Integrations with Oracle technologies• e.g. Exadata, Advanced Compression, ASM,
GoldenGate, DataPump, etc.
Oracle Advanced Security
Encryption is the FoundationPreventive Control for Oracle Databases
Disk
Backups
Exports
Off-Site
FacilitiesApplications
15Copyright © 2013, Oracle and/or its affiliates. All right
Las bitácoras deberán registrar
Los operaciones y servicios bancarios realizados a través de
Medios Electrónicos y, en el caso de Banca Telefónica Voz a
Voz,
Grabaciones de los procesos de contratación, activación,
desactivación, modificación de condiciones y suspensión del
uso del servicio de Banca Electrónica
Generación de Bitacoras
Según el articulo 316 B15
16
Built-in
Reports
Alerts
Custom
Reports
!
Oracle Audit Vault and Database FirewallNew Solution for Oracle and Non-Oracle Databases
Firewall Events
Users
Applications
Database FirewallAllow
Log
Alert
Substitute
Block
Audit Data
Audit VaultOS, Directory, File System &
Custom Audit LogsPolicies
Security
Analyst
Auditor
SOC
17Copyright © 2013, Oracle and/or its affiliates. All right
Deberán realizarse al menos en forma anual y se revisara
Mecanismos de Autenticación
Controles de acceso a la
infraestructura
Actualizaciones de sistemas operativos y
software
Análisis de vulnerabilidade
s
Identificación de posibles
modificaciones no autorizadas
al software original;
Procedimientos que NO
permitan conocer los valores de
Autenticación de los Usuarios
y
El análisis metódico de los
aplicativos críticos
relacionados con los
servicios de Banca
Electrónica
Revisiones de seguridad a la infraestructura de cómputo
Según el articulo 316 B17
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 1618
19
Juan Carlos Carrillo || [email protected] || +52155-9195-5437 || +5255-
3600-4195 || @juan_carrillo ||
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 1620