Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. Evaluaciones de Riesgo y Controles Banco Popular c...
23 downloads 1 Views 66KB Size
Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. Evaluaciones de Riesgo y Controles Banco Popular constantemente realiza evaluaciones internas de sus propios sistemas para reforzar controles para detectar y prevenir intentos de fraude y minimizar riesgo. Además de este esfuerzo, recomendamos a nuestros clientes y les exhortamos a que periódicamente realicen evaluaciones de riesgos de sus sistemas de información y procesos internos para que puedan identificar si es necesario establecer controles adicionales o reforzar controles existentes. Las reglas de ACH nos aplican a todos los participantes de la Red y por eso compartimos las mismas con ustedes ya que son nuestros originadores. Las Reglas indican lo siguiente: Sección 1.6 Requisitos de Seguridad, Suplemento #2,2012 Establecer, implementar y actualizar, según sea apropiado, las políticas, procedimientos y sistemas respecto a la originación, procesamiento y almacenaje de entradas o transacciones, diseñadas para: a) Proteger la confidencialidad e integridad de datos de la Información Privilegiada hasta su destrucción; b) Proteger contra amenazas o peligros anticipados a la seguridad o integridad de datos de la Información Privilegiada hasta su destrucción, y c) Proteger contra el uso no autorizado de los datos de Información Privilegiada que pudiera resultar en daño sustancial a una persona física. Las políticas, procedimientos y sistemas tienen que incluir controles que cumplan con las guías regulatorias aplicables respecto al acceso a todos los sistemas usados por no consumidores, como lo son los Originadores, las Instituciones Financieras Participantes y los Proveedores de Servicio de Terceros[y Remitentes de Terceras Partes] para originar, procesar y archivar entradas. Sección 8.67 “Información Privilegiada” Información personal no pública, incluyendo información financiera, de una persona física usada como parte de una transacción o de una adenda relacionada.

Lista de Cotejo de Seguridad para nuestros clientes comerciales: Originadores y Terceros 1. ¿Ha establecido su negocio una política de privacidad o procedimientos de seguridad de información? o ¿La misma incluye las actividades de ACH que se listan a continuación?

1

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. 2. ¿Qué tipos de datos de ACH se transmite y se destruye? o Ejemplos: 

Archivos de crédito – nómina, pensiones, pagos de corporación a corporación, pagos de impuestos, pagos a comerciantes



Archivos de débitos – pagos, concentración de dinero en efectivo, compras, donaciones

o Plan de acción: Haga un inventario de los tipos de ACH que forman parte de su negocio. ¿Cómo se recopilan, archivan, transmiten y destruyen esos datos de ACH?

Como manejar la Información ACH de una Forma Segura? Documentos en papel

¿Cómo recopilas tus datos de • una forma segura? • • • • ¿Dónde archivas tus datos • de una forma segura?

Formatos electrónicos – protegidos por contraseña, cifrados o con mascarillas Formularios de autorización • Autorizaciones iniciadas por internet Acuerdos comerciales corporativos • Autorizaciones por teléfono / IVR /VRU Solicitudes Unidad de respuesta de Acuerdos de originación voz interactiva. Documentos de configuración / documentos • Autorizaciones por aparatos móviles de integración técnica Gabinetes o gavetas con • Servidores, desktops y llave laptops con dispositivos de seguridad • Dispositivos USB, CDs • Sitios de internet seguros en la nube.

2

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. Moviendo la Información de Forma Segura ¿Cómo podemos mover Al Banco Originador (Popular): nuestros datos de una forma • Vía Banca por Internet - Web Cash Manager segura en la red ACH? • Vía Transmisión directa de archivos – FTPS A Terceros para procesamiento • Sitios de internet • Vía email seguro

¿Qué equipos utilizas para acceder los datos de una forma segura?

¿Son seguros los equipos?

¿Quién tiene privilegios de accesos a los datos/ Información privilegiada?

¿Se incorpora el cliente corporativo a los procedimientos de seguridad para transmisiones según establecidos por el Banco originador. (Popular) • Desktop • Laptop • Acceso Remoto • Dispositivos móviles • CD o dispositivos USB • Antivirus actualizados • Anti-malware/spyware • Software para cifrar • Empleados • Popular • Terceras Partes

Destruyendo la Información ACH de una Forma Segura Documentos en papel

¿Cómo destruyes de forma • segura tus datos protegidos?

Triturados

Electrónicos – protegidos por contraseña, cifrados o con mascarillas en los números de cuenta. • Datos borrados • Borrados por completo

3

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. Otras consideraciones  Minimice o destruya la información que no necesite.  Use contraseñas efectivas

• •



• • •  Como bloquear el acceso a terceros? (intrusos)

• • •







• • •

Nunca use una contraseña predeterminada Use una contraseña fuerte o frase de contraseña que sea única para cada usuario o Extensión y tipos de símbolos específicos o Especifique cómo se puede mantener secreta la contraseña No comparta la contraseña con sus compañeros de trabajo, es solo de usted Proteja su “Token” de acceso. Cambie la contraseña con frecuencia Use protector de pantalla activado por contraseña Proteja las contraseñas Restrinja el uso de computadoras para solo propósitos del negocio Proteja su red con programas de anti-virus/spyware software y firewalls Limite o desactive de las estaciones de trabajo los puertos /servicios / dispositivos innecesarios Cierre automático de sesión luego de cierto tiempo de inactividad Cambie todas las contraseñas obtenidas por sus suplidores (en particular a la cuenta del administrador) Cifre todos los datos cuando sean movidos o se archiven Instale actualizaciones tan pronto estén disponibles Cierre la sesión en el computador o del dispositivo cuando no esté en uso 4

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA.  Restrinja el acceso



• •









•  Eduque al personal

• •









Limite el número de lugares donde se archiva los datos de la Información Segura Mantenga los récords en papel en un gabinete con llave Limite el acceso de empleados a los datos de la Información Privilegiada, incluyendo los cuartos de los servidores Tome precaución cuando envíe por correo datos de la Información Privilegiada Cifre o ponga mascarilla a los datos como por ejemplo: # de cuenta. No archive los datos de la Información Privilegiada en equipos portátiles Transmita los datos de la Información por internet en una sesión segura Establezca una Política Aceptable de Uso de Internet Mantenga los datos de una forma segura todo momento No provea información confidencial, como números de cuentas a través de emails, llamadas telefónicas, correo regular. Asegure que el personal esté consciente de la política de seguridad Haga que el personal esté consciente de los fraudes de phishing por emails o llamadas telefónicas Notifique al personal inmediatamente sobre fallas potenciales de seguridad No deje documentos con información confidencial o sensitiva encima de los escritorios.

5

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA.

Recursos adicionales: Corporativos – Originadores y Terceras Partes • Better Business Bureau – – Data Security – Made Simple • http://www.bbb.org/data-security/ – Lista de recursos adicionales para asegurar datos sensibles • http://www.bbb.org/data-security/securing-sensitive-data/resources/ • NACHA – NACHA se une al Better Business Bureau (BBB) en “Data Security- Made Simple” como educación a nivel nacional • https://www.nacha.org/node/891 – Consejos generales de seguridad para computadoras y para emails • https://www.nacha.org/c/newresources.cfm/AID/1052 – Entendiendo y reportando fraudes de phishing / email • https://www.nacha.org/c/newresources.cfm/AID/1047 • Federal Trade Commission – Consejos prácticos para negocios respecto a crear e implantar un plan para salvaguardar información personal • http://business.ftc.gov/documents/art01-protecting-personal-informationfive-steps-business

Lista de cotejos para Instituciones Financieras Evaluación de riesgos y de los procedimientos en niveles de seguridad para todos los datos de ACH Métodos de autenticación • Llamadas devueltas comercialmente razonables • Tokens de Seguridad • La autenticación de la confirmación a través de texto o correo electrónico Políticas y Procedimientos • Política de Seguridad Internos • Política de Privacidad • Política de Escritorio Limpio • Política de la Banca en Línea • Política de Gestión de proveedores DFI al día en tecnología, regla y • BSA/AML los cambios regulatorios • Ley Gramm-Leach-Bliley • Política de conozca a su cliente • Complementar la autenticación en un ambiente de banca por Internet • Procesos y reglas de operación NACHA • Leyes del Estado

6

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA. Recursos adicionales para las Instituciones Financieras: FFIEC Programa de Información de Seguridad – http://ithandbook.ffiec.gov/it-booklets/e-banking/risk-management-of-e-bankingactivities/information-security-program.aspx • FFIEC Aplicación de práctica – http://ithandbook.ffiec.gov/it-booklets/information-security/security-controlsimplementation/data-security/practical-application.aspx • Asuntos sobre Ley de Privacidad bajo Gramm-Leach-Bliley para Consumidores – http://www.fdic.gov/consumers/consumer/alerts/glba.html • Política de privacidad – http://www.fdic.gov/regulations/examinations/financialprivacy/handbook/ • Better Business Bureau – – Data Security – Made Simple • http://www.bbb.org/data-security/ – Lista de recursos adicionales para asegurar datos sensibles • http://www.bbb.org/data-security/securing-sensitive-data/resources/ • NACHA – NACHA se une al Better Business Bureau (BBB) en “Data Security- Made Simple” como educación a nivel nacional • https://www.nacha.org/node/891 – Consejos generales de seguridad para computadoras y para emails • https://www.nacha.org/c/newresources.cfm/AID/1052 – Entendiendo y reportando fraudes de phishing / email • https://www.nacha.org/c/newresources.cfm/AID/1047 • Federal Trade Commission – Consejos prácticos para negocios respecto a crear e implantar un plan para salvaguardar información personal http://business.ftc.gov/documents/art01-protecting-personal-information-five-steps-business •

*Las condiciones de uso son totalmente dentro del control del usuario, no se brindan garantías. En caso de discrepancia entre éste documento y las reglas de operación NACHA, prevalecerán las reglas de operación NACHA. La información provista en este documento es solamente con propósito educativo y no es una advertencia legal.

7