NRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES gah EL COMITE DE NORMAS DEL BANCO CENTRAL DE RESERVA DE ELSALVADOR, Vigencia: 8 022 CONSIDERANDO: |. Que el articulo 2, inciso segundo de la Ley de Supervision y Regulacién del Sistema Financiero, establece que para el buen funcionamiento del Sistema de Supervision y Regulacién Financiera se requiere que los integrantes del sistema financiero y demas supervisados cumplan con las regulaciones vigentes y la adopcién de los més altos estandares de conducta en el desarrollo de sus negocios, actos y operaciones, de conformidad a lo establecido en la referida Ley, en las demas leyes aplicables, en los reglamentos y en las normas técnicas que se dicten para tal efecto | Que el articulo 7 de la Ley de Supervision y Regulacién del Sistema Financiero, establece las entidades que estan sujetas a la supervision de la Superintendencia del Sistema Financiero Ill, Que el articulo 35, literales d) y g) de la Ley de Supervision y Regulacién del Sistema Financiero, establece que los directores, gerentes y demas funcionarios que ostenten cargos de direccién 0 administracién en los integrantes del sistema financiero, estan obligados a cumplir y velar porque las entidades adopten y actualicen politicas y mecanismos para la gestidn de riesgos, debiendo entre otras acciones, identificarlos, evaluarlos, mitigarlos y revelarlos acordes a las mejores practicas internacionales. En dichas politicas se deberén incluir las medidas que se adoptaran para prevenir posibles incumplimientos a requerimientos regulatorios y las que adoptaran en el evento de que haya incurrido en ellos, debiendo definir en ambas situaciones los pardmetros que orientarén la actuacién y los responsables de implementatlas. Asimismo, deben velar porque las entidades cumplan con un eficiente funcionamiento de los sistemas de registro, tratamiento, almacenamiento, transmisién, produccién, seguridad y control de los fiujos de informacién, IV. Que el articulo 56, literal ) de la Ley de Bancos, establece que los bancos podran celebrar operaciones y prestar servicios con el pblico mediante el uso de equipos y sisternas automatizados, estableciendo en los contratos respectivos las bases para determinar las operaciones y servicios cuya prestacién se pacte; los medios de identificacién del usuario y las responsabilidades correspondientes a su uso; y los medios por los que se hagan constar la creacién, transmisién, modificacién 0 extincidn de derechos y obligaciones inherentes a las operaciones y servicios de que se trate. Cuando estas operaciones se realicen mediante contratos de adhesion, los modelos de dichos contratos debern ser previamente depositados en la Superintendencia, quien podra, mediante decision fundamentada, en un plazo no mayor a treinta dias a partir de la fecha del depésito del modelo, requerir los cambios jador, El Salvador. [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES eae necesarios, cuando contengan clausulas que se opongan a la legislacién 0 cuando se consideren violatorios a los derechos del cliente. En todo caso el Banco estara ‘obligado a explicar al cliente las implicaciones del contrato, previo a su suscripcion. V. Que el articulo 63 de la Ley de Bancos y el articulo 41 de la Ley de Bancos Cooperatives y Sociedades de Ahorro y Crédito establecen que los bancos y los bancos cooperativos, respectivamente, deberén elaborar e implantar politicas y sistemas de control que les permitan manejar adecuadamente sus riesgos financieros y operacionales. VI. Que el articulo 155 de la Ley de Bancos Cooperatives y Sociedades de Ahorro y Crédito establece que las Sociedades de Ahorro y Crédito se sujetardn a las disposiciones de la Ley de Bancos, en los términos ahi sefialados, siendo aplicable lo establecido en el articulo 63 de la Ley de Bancos, Vil. Que el articulo 99 de la Ley de Supervision y Regulacién del Sistema Financiero establece que, el Banco Central de Reserva en virtud de dicha Ley, es la institucién responsable de la aprobacién del marco normativo técnico que debe dictarse de conformidad a esta Ley y demas leyes que regulan a los supervisados. En el cumplimiento de esta responsabilidad, el Banco Central de Reserva debera velar por que el marco normativo aplicable al sistema financiero se revise periédicamente procurando su actualizacién oportuna. Vill. Que para acercar los servicios financieros a las personas, se vuelve necesario la penetracién de la banca por medio de los canales digitales, lo que permite una sostenida adopcién de nuevos esquemas de pago, los cuales constituyen un medio dindmico y novedoso para las personas que realizan operaciones en el sistema financiero, volviéndose un complemento de los canales que utilizan instrumentos tradicionales, IX. Que es necesario contar con normas técnicas que establezcan las condiciones y requisitos que las instituciones financieras deberén observar para realizar ‘operaciones y prestar sus servicios por medio de canales digitales, en concordancia con las mejores practicas internacionales y las caracteristicas especificas del mercado salvadorefio, POR TANTO, en virtud de las facultades normativas que le confiere el articulo 99 de la Ley de Supervision y Regulacién del Sistema Financiero, Alameda Juan P. 7 Av, Norte, San Salvador, El Salvador (503) 2281-8000 Pagina? d [Link] gob svNORMAS TE som © canals eabas Vigencia: 8/03/2022 ACUERDA, emitir las siguientes NORMAS TECNICAS SOBRE MEDIDAS DE CIBERSEGURIDAD EN CANALES. DIGITALES CAPITULO | OBJETO, SUJETOS Y TERMINOS Objeto Art. 1 El objeto de las presentes Normas es regular las medidas de ciberseguridad de las entidades financieras, por medio delos cuales se recopila, procesa, transmite y se almacena la informacién de los productos y servicios financieros que las referidas entidades ofrecen asus clientes en canales digitales. Asimismo, los términos utilizados en las presentes Normas tendran el mismo significado establecido en las “Normas Técnicas para la Gestion de la Seguridad de la Informacion” (NRP-23), Sujetos Art. 2.- Los sujetos obligados al cumplimiento de las disposiciones establecidas en las presentes Normas son: a) Los bancos constituidos en El Salvador, b) Las sucursales de bancos extranjeros establecidas en El Salvador; ©) Las sociedades de ahorro y crédito: d) Los bancos cooperativos, y e) Las federaciones conformadas por bancos cooperativos y también por sociedades de ahoro y crédito regulados por la Ley de Bancos Cooperatives y Sociedades de Ahorro y Crédito. Términos Art. 3.- Para efectos de las presentes Normas, los términos que se indican a continuacién, tienen el significado siguiente 2) Afiliacién © suscripcién: incorporacién de productos y servicios financieros, por parte del cliente, para efectos de realizar operaciones o transacciones en canales digitales, b)Autenticacién: conjunto de técnicas y procedimientos tecnolégicos utilizados para verificar la identidad de un usuario de banca electrénica; ©) Autenticacién dinamica: método de autenticacién, que consiste en generar un cédigo para un medio electrénico de pago, diferente en cada transaccién, y firmarlo con su clave privada; d) Autenticacién estatica: método que consiste en generar un cédigo para un medio Alameda Juan Pablo fe, San Salvador, El Salvador. PaginaCo) h) p) a n NRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES gah electrénico de pago, en la fase de personalizacién de este, que se graba en el chip del mismo y no cambia nunca. Puede ser validado por un terminal; Banca Mévil: canal digital que utiliza un dispositivo mévil para tener acceso a servicios y transacciones financieras asociados a cuentas de depésito, ineas de crédito o cuentas de ahorro con requisitos simplificados; Banca por Internet: canal digital asociado a cuentas de depésito, lineas de crédito 0 cuentas de ahorro con requisitos simplificados, que utiliza un portal transaccional para tener acceso a servicios y transacciones financieras; Banca Telefénica: canal digital asociado a cuentas de depésitos, lineas de crédito 0 cuentas de ahorro con requisites simplificados, que utiliza un dispositivo telefénico para tener acceso a servicios y transacciones financieras a través de llamadas a los centros de atencién telefonica; Canalfes) digital(es): medio que permite la realizacién de transacciones, la prestacién de servicios financieros y el intercambio de informacién, tales como cajeros autornaticos, puntos de ventas (POS, por sus siglas en inglég, banca telefénica, Respuesta de Voz Interactiva (IVR, por sus siglas en inglés), banca por Internet, banca movil entre otros; Clave de Acceso (PIN): numero de identificacién personal que se utiliza para acceder a servicios y operaciones financieras por medio de canales digiales; Claves dindmicas: son claves criptograficas de un solo uso, formadas a través de una secuencia aleatoria; Cliente: persona natural o juridica que mantiene una relacién contractual con la Entidad para la prestacién de una o varias operaciones pasivaso activas; Contrasefia o clave: cadena de caracteres protegida que se utiliza para autenticar la identidad de un usuario para autorizar el acceso a la utilizacién de canales digitales; Dato sensible: datos con carécter confidencial del cliente o usuario de la banca electrénica, tales como: numero de cuenta; numero de identificacién personal; claves del cliente; numero de la tarjeta; cédigo de seguridad de la tarjeta; Desafiliacién: proceso mediante el cual los clientes solicitan a las entidades desincorporar los productos y servicios ofrecidos por éstas, a través de los canales digitales; Dispositivos de autoservicio: equipos electrénicos ofrecidos a los clientes para realizar ‘operaciones bancarias que no involucran dinero en efectivo, tales como kioskos, POS, entre otros; Entidad(es): sujetos obligados al cumplimiento de las presentes Normas de acuerdo al articulo 2 de las mismas; Factor adicional: es el segundo factor o grupo de factores de autenticacién que se debe requerir al client Factor de autenticacién: informacién utilizada para verificar la identidad de un servicio ‘© una persona; jador, El Salvador. Pagina 4 de 1 [Link] gob svNRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES eae s) Factor base: es el factor minimo requerido para realizar la autenticacién inicial del cliente; 1) Identificacién: validacién de la identidad del cliente para el uso de canales digitales, mediante la utilizacién de datos e informacién que conozca tanto la entidad como el cliente: u) IVR: (Respuesta de voz interactiva, por sus siglas en inglés) es unsistema telefénico que es capaz de recibir una llamada e interactuar con el humano a través de grabaciones de voz y el reconocimiento de respuestas simples; v)_ Mantenimiento de contrasefias: son todos los cambios que realizan los clientes a sus claves de acceso; Ww) Medio de comunicacién electrénica: medio electrénico utiizado para la transmisién de mensajes desde la entidad hacia el cliente, 0 viceversa; ») No repudio: método de seguridad que permite probar la participacién de las partes en una comunicacién, contempléndose estos 2 aspectos siguientes: i. No repudio en origen: el emisor no puede negar que lo envié porque el destinatario tiene pruebas del envio: y ii, No repudio en destino: el receptor no puede negar que recibié el mensaje porque el emisor tiene pruebas de larecepcién El origen o recepcién de un mensaje especifico debe ser verificable por parte de un tercero de confianza; y) Perfil transaccional: conjunto de caracteristicas asociadas al comportamiento transaccional de un cliente, de acuerdo a los andlisis sistematizados realizados por la entidad, para proteger a sus clientes; 2) Programaciones de pago: es la autorizacién por parte del cliente para el débito automatico en sus cuentas bancarias o autorizacién de cargos en sus tarjetas de crédito; aa) Superintendencia: Superintendencia del Sistema Financiero; bb) Token: dispositive electrénico utilizado para facilitar el proceso de autenticacién Puede ser utilizado para la generacién de contrasefias de un solo uso; asi como, para almacenar contrasefias, firmas electrOnicas 0 datos biométricos de la persona; y cc) Transacciones: servicios y operaciones financieras realizadas por medio de canales digitales CAPITULO II SOBRE LA CIBERSEGURIDAD EN LOS SISTEMAS INFORMATICOS Medidas de ciberseguridad Art. 4.- Las entidades deberan implementar o actualizar las herramientas y mecanismos para monitorear redes y dems infraestructura tecnolégica que permita detectar ‘oportunamente eventos de seguridad o ciberseguridad, actividad o comportamientos inusuales, 0 movimientos laterales. Estas ademas debern incluir, la inteligencia de jador, El Salvador. [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES eae amenazas para procurar mantenerse informado sobre amenazas e indicadores de compromiso de otras fuentes confiables. Vigencia: 8 022 Gestion de vulnerabilidades Art. 5.- Las entidades deberan contar con procesos para la gestion de vulnerabilidades que consideren la identificacion, evaluacién, tratamiento y comunicacién de las medidas de seguridad en la infraestructura tecnolégica, mediante la ejecucion de pruebas de penetracién o intrusion y de escaneos de vulnerabilidades. Se deberdn remediaro mitigar todas las brechas de seguridad, no solo las clasificadas como criticas y de alto riesgo. Asimismo, deberén establecer una metodologia para remediar todas las brechas de seguridad y no solo las clasificadas como criticas y de alto riesgo. Estas ultimas deben ser remedidas de forma prioritaria, establecer planes de implementacién, y efectuar el respectivo seguimiento para el resto de las vulnerabilidades, todo lo cual debe quedar debidamente documentado. Gestion de parches Art. 6.- Las entidades deberan contar con procesos giles para adquirir, probar e instalar parches para los componentes de la infraestructura tecnolégica, de tal forma que éstos se mantengan actualizados; y evitar el uso aplicaciones, sistemas operativos y manejadores de bases de datos sin el respaldo del fabricante o proveedor de actualizaciones de seguridad Autenticacién de miltiples factores Art. 7.~ Las entidades deberdn implementar el uso de autenticacién de miltiples factores en cualquier cuenta de usuario que acceda através de Internet, ylas cuentas privilegiadas, incluyendo las que poseen relacién de confianza, de tal forma que se agreguen dos o mas capas adicionales de seguridad a cada plataforma en linea a la que se accede Todo lo relacionado a la autenticacion de multiples factores de los clientes en canales digitales se regula en el Capitulo Ill de las presentes Normas. Herramientas de proteccién ante la suplantacién de identidad Art. 8.- Las entidades deberan contar con herramientas para prevenir la suplantacién de identidad ante amenazas basadas en correos electrénicos de phishing, spam, spear- phishing, entre otros y deben considerar la idoneidad de estas herramientas, de tal manera que sean consistentes con el tamafio de la entidad. Las entidades deberan contar con programas de capacitacién constante sobre este tipo de amenazas para los empleados, haciendo énfasis en aquellos que realizan funciones de atencién al cliente jador, El Salvador. Pagina 6 de 1 [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES eae Art. 9.- Las entidades deberdn realizar campafias de educacién financiera en las que se den a conocer a los clientes las medidas de ciberseguridad que deben aplicar en los distintos canales digitales a los que accedan, Vigencia: 8 022 Art. 10.- Las entidades deberan notificar a sus clientes los medios oficiales través de los cuales comunicarén los productos 0 servicios que ofrecen. Herramientas Antimalware Art. 11.- Las entidades deberdn contar programas antivirus 0 antimalware y revisarlos con regularidad para asegurarse de que sean adecuados para su propésito, y sean capaces de detectar nuevas amenazas, asi como revisar los ajustes de configuracion para garantizar el nivel de proteccién esperado. Gestion de dispositivos méviles Art.12.-Las entidades deberdn implementar soluciones de administracién de dispositivos méviles para garantizar que los datos de la entidad estén protegidos. Herramientas de prevencién de pérdida de datos Art. 13.- Las entidades deberan contar con herramientas de prevencién de pérdida de datos para tener una visibilidad ante dicho evento, de tal forma que se fortalezca la deteccién y prevencién de la exfiltracion de datos. Cifrado Art. 14.- Las entidades deberdn cifrar la informacién critica en reposo 0 en transito, incluso en dispositivos de almacenamiento extraibles y méviles, debiendo asegurarse de que los protocolos utilizados son seguros. Protocolos AAA (Authentication, Authorization and Accounting) Art. 15.- Las entidades deberdn contar en su infraestructura tecnolégica con protocolos que realicen las funciones de autenticaci6n de los usuarios; la autorizacion y uso de los de recursos 0 servicios; y el registro de la actividad de los usuarios para el respectivo seguimiento. Gestion de activos Art. 16.- Las entidades deberan mantener actualizado el inventario de activos de informacién criticos e identificar los datos y la tecnologia asociada para priorizar acciones, en concordancia con |o regulado en las "Normas Técnicas para la Gestién de la Seguridad de la Informacién” (NRP-23). Registro y seguimiento Art. 17.- Las entidades deberan adecuar los sistemas y demas componentes de la jador, El Salvador. [Link] gob svNRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES gah infraestructura tecnolégica, para generar la capacidad de contar con un registro de informacién que permita detectar de forma activa e investigar incidencias, asegurandose de que los registros de actividades estén disponibles para su andlisis cuando sea necesario, en concordancia con lo regulado en las “Normas Técnicas para la Gestion de la Seguridad de la Informacion” (NRP-23). Vigencia: 8 022 Respuesta ante incidentes de ciberseguridad Art. 18.~ Las entidades deberan contar con planes de respuesta para mitigar el impacto ante un incidente de ciberseguridad Estos planes deben ser probados para comprobar la capacidad de respuesta e identificar brechas oportunamente, en concordancia con lo regulado en las “Normas Técnicas para la Gestion de la Seguridad de la Informacion” (NRP-23). CAPITULO III DE LA AFILIACION, IDENTIFICACION Y AUTENTICACION DE LOS CLIENTES POR MEDIO DE CANALES DIGITALES Art. 19.- Las entidades que realicen operaciones y presten servicios financieros por medio de canales digitales, deberan informar a sus clientes de forma escrita 0 a través de medios electronicos, al momento de activar por primera vez el uso del canal digital como minimo, lo siguiente: a) Servicios ofrecidos y las responsabilidades de su uso; b) Procedimientos para la afiliacion, cancelacién, suspensién y reactivacién del servicio; ©) Limites de montos y transacciones a realizar en periodos determinados; 4d) Comisiones y tarifas por el uso, con su respectiva descripcién; e) Riesgos inherentes por su utilizacién; f) Procedimiento para informar cualquier irregularidad o actividad potencialmente no reconocida 0 no autorizada y que ha sido detectada, ya sea por el cliente 0 por la entidad; 9) Procedimiento para la atencién de consultas y reclamos de los clientes; fh) Asuncién de responsabilidades por parte del cliente y la entidad ante situaciones de fraude; e i) Consejos para el adecuado uso por parte del cliente. Art. 20.- En cuanto a la afiliacién a los productos o servicios financieros por medio de canales digitales, tales como banca por internet y/o banca mévil las entidades podrén implementar la aceptacién de contratos electrénicos, utilizando factor de autenticacién categoria 2 a que hace referencia el articulo 21 de las presentes Normas. Lo anterior, se considerara como la confirmacién y autorizacién de uso de los servicios en canales digitales. jador, El Salvador. Pagina 8 d [Link] gob svNRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES gah Art. 21.- Las entidades deberén utilizar multiples factores de autenticacién para verificar la identidad de sus clientes para realizar operaciones por medio de canales digitales Dichos factores de autenticacién seran, como minimo 3, dentro de los siguientes Factor de Autenticacion Categoria 1: Se compone de la informacion obtenida del contrato del cliente y del uso de productos, servicios u operaciones efectuadas por estos mediante los diversos canales. Esta informacion sera utilizada mediante la aplicacién de preguntas al cliente a través del canal de Banca Telefénica u otro medio digital que disponga la entidad Para este tipo de factor las entidades deberén realizar lo siguiente: Vigencia: 8 022 a) Definir previamente los cuestionarios que serdn aplicados para la identificacién de los clientes y modificar las preguntas contenidas en los cuestionarios al menos una vez al afio; b)_ Establecer generadores aleatorios de las preguntas de los cuestionarios y ¢) Cuando intervenga el operador, este no debera conocer anticipadamente las respuestas para la identificacién del cliente, las cuales deben ser validadas con el uso de sistemas informaticos. Autenticacién ria 2: Se compone de contrasefias que sélo el cliente conoce e ingresa mediante un mecanismo o dispositivo de acceso, el cual debe cumplir, al menos, con las caracteristicas siguientes: a) Su longitud minima y conformacién debe ser de acuerdo a lo siguiente i, Cuatro caracteres, para los servicios ofrecidos a través de cajeros automaticos, puntos de ventas, Banca Telefénica y servicio de IVR; ii, Ocho caracteres, para canales digitales y deberd incluir una combinacién de caracteres alfabéticos en mayuisculas, minusculas y numéricos: y ili, Cuando el cliente modifique su contrasefla, la entidad debe validar que esta no se repita, con al menos, doce de las ultimas contrasefias que utiliz6 para aquellas entidades que estén utilizando solo un factor de autenticacién Para el caso de entidades que utilicen dos factores de autenticacién, debera validar que las contrasefias no se repitan, con al menos, cinco de las ultimas contrasefias que utiliz6. b) Su vencimiento no sera superior a sesenta dias para todos los canales digitales; no obstante, las entidades estan en la obligacién de ofrecer a sus clientes sin cargo alguno la posibilidad de realizar el cambio de las contrasefias cuando éstos lo requieran. En cada oportunidad que el cliente modifique su contrasefia debera ser informado a través de su correo electrénico u otros medios, c)_ En el caso de las contrasefias asignadas por la entidad para el acceso a canales digitales, se debe requerir en forma automatica que el cliente la modifique inmediatamente después de iniciar la primera sesién; jador, El Salvador. Pagina de 1 [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES eae 4d) Laentidad debe requerir que la primera sesién se efectue como maximo veinticuatro horas después de haber generado la contrasefia por parte de la entidad; en caso contrario, ésta debe ser inhabilitada automaticamente, y e) En ningun caso se podré utilizar como contrasefia, la informacién siguiente: i, Un documento de identificacién del cliente; ii, El nombre de la entidad; iii, Mas de tres caracteres iguales consecutivos numéricos o alfabéticos; y iv. Fecha de nacimiento, nombres, apellidos y numero telefénico, registrado por el cliente en la entidad. Factor de Autenticacién Categoria 3: Se compone de claves dindmicas de un Unico uso, generadas por dispositivos electronics 0 cualquier otro medio, las cuales deben cumplir como minimo con las caracteristicas siguientes a) Contar con mecanismos que impidan su duplicacién o alteracién; b) Una vez generada la clave dinamica, ésta tendrd la vigencia siguiente i, Hastaun minuto, en el caso de que sean generados por Tokens; ii, Hasta el cierre de sesién, para canales digitales; y il, Hasta dos horas, para todos los servicios de cajeros automaticos. c) No ser conocida antes de su generacién ni durante su uso, por los funcionarios, empleados, representantes 0 por terceros de la entidad: y d) Se podran utilizar tablas aleatorias de contrasefias como factor de autenticacién de esta categoria, siempre y cuando cumplan con las caracteristicas listadas en este factor de autenticacion. Para el caso que las entidades puedan facilitar a sus clientes mecanismos, dispositivos 0 medios generadores de las claves dinamicas, deberén considerar lo siguiente a) Sila autenticacion es estatica, la validacion de los datos deberd realizarse en tiempo real en los computadores centrales de la entidad; y b) Sila autenticacién es dinamica, la validacién de los datos podra realizarse fuera de linea Factor tenticacion Categoria 4: Se compone de informacién del cliente, derivada de sus caracteristicas biométricas. Art, 22.- Los sistemas de canales digitales de las entidades deberdn requerir a sus clientes un factor para inicio de sesin y deberén exigir un segundo factor més para la autenticaci6n de categoria 3a que hace referencia el articulo 21 de las presentes Normas. Estos factores seran aplicados de acuerdo con el esquema siguiente: Alameda Juan jador, El Salvador. 17 [Link], San (503) 2281-8000 [Link] gob svUn ee Re eee lAfiliacion y desafiliacién de productos y servicios, 2 [Utilizacién de productos, servicios y programaciones de pago. 2 | 304 Pagos de servicios, canje de beneficios, retiros © adelantos de efectivo 2 Jdesactivacién de productos, generacién y cambios de contrasefias, o| transferencias electronicas a terceros. [Apertura de segundas cuentas o productos financieros. 2 | 304 [Actualizacion de datos de la ficha del cliente a través de Banca por! 2 | N/A Internet o Banca mévily limites para las transacciones a efectuar [Consultas, 2 _|_NIA [Transacciones ofrecidas a través de dispositivos de autoservicio. 2 _|_NIA Pagos © transferencias electronicas entre él mismo titular y mismo] 2 | N/A banco. Art. 23.- Para las operaciones de pagos de servicios, canje de beneficios, retiros © adelantos de efectivo, desactivacién de productos, generacién y cambios de contrasefias, 0 transferencias electronicas a terceros que no requieran la afiliacién 0 registro de cuentas, se deberd utilizar el factor adicional a que hace referencia el articulo 22 de las presentes Normas. Art. 24.- Para el uso del servicio de Banca Telefonica los clientes deberén autenticarse a través del IVR con un factor de autenticacién como minimo de categoria 2, a que hace referencia el articulo 21 de las presentes Normas. Art. 25.- Para permitir el inicio de sesion a los clientes a través de los servicios ofrecidos por canales digitales, las entidades deberdn solicitar y validar al menos, lo siguiente: a) Un identificador de cliente de por lo menos seiscaracteres; y b) Un factor de autenticacién de las categorias 2 0 3, El identificador del cliente deberd ser Unico y permitird a las entidades determinar todas las operaciones realizadas por el propio cliente mediante estos canales. Art. 26.- Las entidades deberdn inhabilitar inmediatamente el acceso a los servicios ofrecidos por canales digitales cuando el cliente presuma que se puede ver afectada ose ha visto afectada la seguridad de los productos financieros contratados con la entidad,NRP-32 SOBRE MEDIDAS DE CIBERSEGURIDAD EN CANALES DIGITALES gah debiendocontar éstacon diferentes medios, tanto presenciales como digitales para estos efectos. Art. 27.- En los canales digitales, cuando corresponda, las entidades deberan proveer informacién al cliente, de acuerdo con lo siguiente a) Elementos que identifiquen que se encuentra en el sitio web de la entidad, antes de ingresar todos los elementos de autenticacién. Para ello, deberdn usar certificados digitales u otros mecanismos que permitan autenticar el sitio transaccional. Adicionalmente, podran utilizar aquella que informacién que el cliente conozca y haya proporcionado a la entidad, o bien, que haya sefialado para este fin, tales como nombres y apellidos, imagenes, entre otros; y b) Una vez que el cliente verifique que se trata del sitio web, © canal digital oficial dela entidad e inicie una sesién segura, se deberé proporcionar de forma notoria y visible, al menos la informacién siguiente: i. Fecha y hora del ingreso a su ultima sesién: y ii, Nombre y apellido del cliente Art. 28.- Para el uso de los factores de autenticacién, las entidades deberén cumplir, al menos, con lo siguiente: a) Deberan mantener procedimientos que garanticen la seguridad de la informacién de sus clientes durante la generacién, custodia, distribucién, asignacién y reposicién o sustitucién de dichos factores; b) Tendran prohibido divulgar 0 acceder la informacién protegida en relacién a los factores de autenticacién; en el caso de la informacién relacionada al factor de autenticacion de categoria 1, toda consulta debe estar sustentada con la solicitud del cliente; ©) Tendran prohibido solicitar, la informacién parcial o completa, establecida en los factores de autenticacién de las categorias 20 3 a que se refiere el articulo 21 de las presentes Normas: y 4d) Deberan informar a sus clientes que la entidad no le requerira bajo ningun medio y bajo ninguna condicién la informacién sobre sus factores de autenticacién. Art. 29.- Las entidades podran establecer métodos adicionales de autenticacién a los previstos en las presentes Normas para las transacciones realizadas en canales digitales. Art. 30.-Con respecto a la sesion del cliente, las entidades deberan garantizar lo siguiente a) Finalizar la sesién en forma automatica en los casos siguientes Alameda Juan P. jador, El Salvador. 17 [Link], San (503) 2281-8000 [Link] gob svNRP-32 NORMAS TEC OBRE ME SEGURIDAD EN ALES DIGITALES eae i, Cuando la inactividad alcance los ciento ochenta segundos en canales digitales y hasta cinco minutos para banca de empresa; ii, Cuando el periodo de inactividad alcance como maximo, los treinta segundos en las operaciones realizadas mediante cajeros autornaticos, kioskos y puntos de ventas: y iii, Cuando se detecten sesiones simultaneas; b) Para los casos de inicio de sesién por medio de Banca por Internet o Banca Mévil se debera remitir mensaje al cliente, por los medios electrénicos que disponga la entidad, notificando acerca del inicio de sesién: y c) Lasentidades que mediante su sitio web ofrezcan enlaces a paginas web de terceros, deberdn comunicar a sus clientes que, al momento de ingresar a éstos, su seguridad no depende ni es responsabilidad de dicha entidad CAPITULO IV DE LAS TRANSACCIONES, RESPONSABILIDAD Y OBLIGACIONES DE LA ENTIDAD Vigencia: 8 022 Del registro y liquidacién de las transacciones Art. 31.- Las transacciones realizadas por medio de canales digitales deberdn ser tratadas y aplicadas bajo los criterios establecidos en los literales j) y ) del articulo 18 de Ley de Proteccién al Consumidor. Confirmacién de las transacciones Art, 32.- Las entidades deberan generar una confirmacién inmediata al cliente, sobre las, transacciones que se realicen por medio de canales digitales, por medio de mensajes de texto a su dispositive mévil registrado u otro medio electrénico, que le servird para determinar que la misma se ha completado, salvo aquellos casos en que el cliente haya manifestado expresamente no querer recibirlas, lo cual deberd estar debidamente documentado por la entidad Asimismo, tendran que enviar via electronica la notificacién que deberd incluir, como minimo la fecha, hora, tipo de producto, tipo de transaccién, numero de referencia y monto de la operaci6n. En caso de que la transaccién no sea exitosa deberd enviarse un mensaje al cliente notificando que la transaccién solicitada no fue completada. En cada transaccién que realicen, deberan implementar mecanismos de no repudio. Monitoreo de las transacciones Art. 33.-La entidad debera contar con informacién del numero y monto de las transacciones realizadas por cliente y tipo de producto, por medio de canales digitales, monitoreando ademas, el cumplimiento de los limites y otras medidas prudenciales que se hayan establecido, dependiendo del producto © servicio de que se trate, e identificando en tiempo real posibles operaciones, inusuales, irregulares sospechosas jador, El Salvador. [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES gah de acuerdo al perfil del cliente y los habitos de uso de sus productos y servicios financieros, generando las alertas correspondientes sobre tales operaciones. Asimismo, las entidades deben notificar en forma inmediata a los clientes, las alertas asociadas a las operaciones realizadas a través de los canales digitales, que se desvien del perfil transaccional del cliente, determinado de manera oportuna y de forma automatica por la entidad, a través de los medios que esta estime conveniente para el cliente. La notificacién debera realizarse siempre y cuando no exista un aviso por parte del cliente que permita relacionar razonablemente las operaciones que generaron la alerta La notificacién 0 el mensaje enviado debera describir como minimo fecha y hora de la transaccién, monto de la operacién, numero de referencia de la transaccién, nombre y numero de teléfono de la entidad, canal utilizado, tipo de producto y de operacion. El monitoreo de las transacciones al que hace referencia el presente articulo debera ser efectuado por la entidad mediante herramientas informaticas robustas, especializadas en prevencion de fraude, Art. 34.- Las entidades deberan asegurar que los IVR © cualquier otro medio electrénico facilitado por la entidad, permita al cliente acceder a opciones para reportar, de forma expedita, las presuntas transacciones u operaciones fraudulentas 0 no reconocidas y obtener asistencia inmediata a su reclamo, para lo cual deberan establecer procesos especificos con personal debidamente capacitado que brinden atencién oportuna a sus clientes. Art. 35.- Las entidades deberdn establecer procesos y mecanismos automaticos para bloquear preventivamente el acceso a cualquiera de los canales digitales, en los casos siguientes: a) Cuando se detecte ingresar al canal digital, utilizando informacién de autenticacion incorrecta, Asegurarse que los intentos de acceso fallidos no excedan de la cantidad de tres intentos consecutivos para el bloqueo de este; b) Cuando los sistemas de monitoreo detecten comportamiento transaccional inusual © irregular de acuerdo al perfil del cliente; ¢) Cuando los sistemas de seguridad detecten un ataque informatico que comprometa los datos 0 informacién de los clientes; y 4) Cuando existan situaciones que comprometan la seguridad de los sistemas de informacién y del cliente. Art. 36.- Cuando la plataforma tecnolégica que soporta los canales digitales no detecte ‘operaciones fraudulentas, asi como transacciones no solicitadas 0 no realizadas por el cliente, y que de acuerdo al anilisis realizado por la entidad, dichos casos no son jador, El Salvador. [Link] gob svNRP-32 OBRE MEDIDAS DE CIBERSEGURIDAD EN ANALES DIGITALES gah atribuibles al cliente, las entidades seran las responsables de reintegrar, compensar 0 revertir los montos comprometidos, sin que esto incluya el cobro de comisiones 0 recargos adicionales para éste, Adicionalmente, deberén mantener a disposicion de la Superintendencia los reportes o estadisticas que resulten por estos eventos. Art. 37.~ Las entidades deberdn definir mecanismos de monitoreo y control para asegurar el adecuado funcionamiento de los canales digitales Atencién al cliente Art. 38.- Las entidades deberén poner a disposicién del cliente un mecanismo que permita lo siguiente: a) Obtener el historial de transacciones realizadas que como minimo incluird el numero de referencia, monto, fecha, hora, tipo de transaccién, tipo de producto: y b) Un procedimiento para definir una nueva clave o contrasefia Asimismo, las entidades proveeran a sus clientes de un numero telefénico y otros medios alternatives de contacto, tales como correo electrénico, para una comunicacién permanente con la entidad, incluyendo el debido soporte técnico. La entidad establecera mecanismos y procedimientos adecuados que operen las veinticuatro horas del dia, todos los dias del afto, para atender reclamos de los clientes sobre sus transacciones, especificando el medio oficial de recepcién de los mismos, debiendo resolver en un plazo que no podra exceder al establecido para los diferentes productos y servicios en la legislacién vigente. En el caso que no exista un plazo especifico en la legislacién vigente, éstos deberan ser resueltos en un plazo razonable, el cual deberd ser establecido en el procedimiento para atender reclamos. En todo caso, dicho procedimiento debera incorporar controles internos sobre las consultas atendidas y respuestas brindadas. Las entidades deberan informar a sus clientes, mediante campafias educacionales, sobre el funcionamiento de los canales digitales que pongan al alcance de éstos, a fin de prevenir actos que pudieran derivar en operaciones irregulares 0 ilegales que afecten a los clientes 0 a las propias entidades CAPITULO V OTRAS DISPOSICIONES Y VIGENCIA Dela auditoria interna Art. 39.- La Unidad de Auditoria Interna debe considerar en su plan anual de trabajo, la evaluacion del cumplimiento de las disposiciones de las presentes Normas. Alameda Juan P. 7 Av, Norte, San Salvador, El Salvador (503) 2281-8000 [Link] gob sv— CANALES DIGITALES. ganado 022 Vigencia: 8 Detalles técnicos del envio de informacién Art. 40.- La Superintendencia rermitird a las entidades, en un plazo maximo de treinta dias posteriores a la fecha de entrada en vigencia de las presentes Normas, con copia al Banco Central, los detalles técnicos relacionados con el envio de la informacién requerida. Los requerimientos de informacién se circunscribirén a la recopilacién de informacién conforme lo regulado en las presentes Normas. Sanciones Art. 41.- Los incumplimientos a las disposiciones contenidas en las presentes Normas, sern sancionados de conformidad con lo previsto en la Ley de Supervision y Regulacién del Sistema Financiero. Transitorio Art. 42.- Las entidades obligadas al cumplimiento de las presentes Normas, tendrén un plazo maximo de treinta dias habiles posteriores a la entrada en vigencia de las mismas, para dar cumplimiento a lo establecido en los articulos 19 y 38 de las presentes Normas. Aspectos no previstos Art. 43.- Los aspectos no previstos en materia de regulacién en las presentes Normas, seran resueltos por el Banco Central por medio de su Comité de Normas. Vigencia Art, 44.- Las presentes Normas entraran en vigencia a partir del dia 8 de marzo de dos milveintidés. Alameda Juan Pablo Il, entre 15 y 17 Av. Norte, San Salvador, El Salvador. Tel. (503) 2281-8000 Pagina