ASFI Aworidad de Supervision del JM Sistema Financiero Erp as Paraci de Bi CIRCULAR ASFI 505 (2017 ta Pax ga DIC. 2017 Sefiores Presente REF: MODIFICACIONES AL REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION Sefiores: Para su aplicacién y estricto cumplimiento, se adjunta a la presente fa Resolucién que aprueba y pone en vigencia las modificaciones al reglamento citado en la referencia, las cuales consideran principalmente los siguientes aspectos: |. Seccién 1: Disposiciones Generales a. Se incorpora la definicién de “Procesamiento de datos o ejecucién de sistemas en lugar externo" y se modifica la referencia al ‘Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB)" por "Reglamento de Servicios de Pago, Instrumentos Electrénicos de Pago, ‘Compensacién y Liquidacién emitido por el Banco Central de Bolivia (ce). b. Se modifica la denominacién del Articulo 4° por. *Criterios de la seguridad de la informacién” y se Introducen modificaciones en ‘su redaccién. ll Seccién 3; Administracién de la Seguridad de la Informacién En cuanto al inventario de activos de informacion, se dispone que la entidad debe remitir anualmente 2 ASF, el detalle del software que utiliza Ill. Seccién 4: Administracién del Control de Accesos Se especifica que la entidad supervisada debe definir politicas de & administracion de contrasefias que respondan a los resultados de su andlisis y prorsueg Pag. 1403 (Oficina Conta arr Plaza ate ta Caen N° 2507 Tel. (591 212174444. 261815, F 59-2 240029 Cull N° 447 Calle Balin Claas N 2, ome, te s912 291170 Ce Reyes One Fedsca Sen CL. Gach Tre te Yel 91-2) 291200, Cal 618. 8 Aes dal Kn 7H Bear Tet 7-2) 261488 Pts Hass Asa de aan N* 2, Cale Sl Ps 1 91.2 620056, Oro ae Cesena, Fk Comrade Carat fo (307 ele 59-2) 5117705511248 Smt Cre he N55 of 2D, CaN 1358691 33620, fant] 24D, Ca Cae Tee le N49 fae ‘Dkr Ae. 83 OAD de Cale Le az, oo de Racha? 35 aera 8) 409689 Caghabanbn Samant ey ane EC Bw Ye 814 580s #594506 Fa OT) «54800 Sere Cale Dale 104 ene olor y Nels: O93) Tl GBT) GIP? - 43977 ax BIH STE Ti Clin "451, ne 15 bil Ving La Ta 91-4) 611570, Lina ra 890 103 TOS eww sega» 6G pbASFI 4] IBM) Auoridad de Supervision del Sistema Financiero Bates Boa Pris dean evaluacién de riesgos en seguridad de la informacion, asi como a la clasificacién de la informacion. IV. Seccién 5: Desarrollo, Mantenimiento e Implementacién de Sistemas de Informacién Se especifica que la entidad supervisada debe documentar y resguardar cada version del cédigo fuente de los sistemas de informacion, asi como la estructura de datos anterior. Seccion jestién de Operaciones de Tecnologia de Informacion Se dispone que las pruebas a los medios de respaldo de la informacién, deben ser documentadas y efectuadas en los periodos definidos por la instancia responsable de la seguridad de la informacion, VI. Seccién 14: Administracién de Servicios y Contratos con Terceros Relacionados con Tecnologia de la Informacion Se establece el envio anual de un informe con cardcter de deciaracién jurada refrendado por el Auditor Intemo, en ef cual, se detallen los servicios de procesamiento de datos.o ejecucién de sistemas a cargo de terceros, indicando el nombre de cada uno de sus proveedores y que los servicios prestados por los proveedores que no cuentan con licencia de funcionamiento otorgada por ASFI, cumplen con los criterios de seguridad de la informacion. Vil. Control de Versiones Se incluye el cuadro “Control de Versiones", que detalla las Circulares con las que se puso en conocimiento de las entidades supervisadas las incorporaciones y modificaciones realizadas al Reglarmento. En ese sentido, se sustituyen las referencias insertas actualmente, en los pies de pagina del Reglamento, por la leyenda "Control de Versiones" y el numero y fecha de la Circular Normativa con la que se comunicd la ultima actualizacién de cada seccion. Vill, Anexo 1: Inventario de Software Se incorpora el Anexo, que contiene el formato para el envio del detalle de software que utiliza la‘entidad r{ (fina Cente) ac lca abel a Cin N° 2507, Ts (591-2)217444 269191, Fe K-21 2430125, Casa W447 « Calle Rua Coles NA, El. Hone Tei 3812 291170 cal tees Oty Fede tno, ZL. Gna, oe a, Po 3, e923 186 Cala N61 A fa Hom a Ks? N° 2, Bana el 912 20214 Poe Faes Alon Geez N° 2, Gales Spo, Pao el 5912) 6230858, Ort see Goal, alive de Cone, Po (20 To 91-21 831790« HDA. Sans Carls S950 201, als 1999 (913 29962 fn 9 D396z0H, Cals Cle Toe) N12 fee ‘Tindale os Pc els Rac N35, Pa elo (911 2965, Chana fe Slama et Las E81 Ol Tle ota) a0, 40s Fac Ga) 4keScs Seer Calle Osan N° 18 fo Belay Nene Or) a 9-2 699727 989%, Fe Af 697, Tan Ciena N* 451 ere 5 de abr Vii am Tal (94) 6119700, re tsa: BOD 1} 103 wn gobo = aeons genoASFI AY yore deSpperion del Sistema Financiero te nen el bal Las modificaciones anteriormente descritas, se incorporan en el Reglamento para la Gestion de Seguridad de la Informacién, contenido en el Capitulo 1, Titulo VII, Libro 3° de la Recopllacién de Normas para Servicios Financieros. Atentamente, Lenny Tatiana Valdivia Bautista DIREOTORA GENERAL EJECUTIVAS.. “Autoridad de Supervision ‘dal Bolom Financier “Raj: Lo Clade FOACrSMcOM Peg. 3409 tell te t. 1 0 gaara 69-2 202, Cane Caen Cad en Pacer ce Tos Sst Sth au Pes base eta te ay prec Ns stro sos ees 38 lt age Ma al En eae One Saal oe Cans Core Fes, {torn por sivus sic sna Cc aa oy ade 0 ak syst a oar acon cecal etenaoww ewe Sige lente Wat Cahn eis ada Pec Gat sen dare Suro nn FLEE sean sesso css te itses seat este tc rear tacos she Sk nen cOOTC EN GOST icles ovets lye LGA GHIN. lpr B05 oss “assASFI Autoridad de Supervision del Sistema Financiero Bata Plsiaacional de Bolin ( Desde oa RESOLUCION ASF!) 1405 /2017 La Paz, Q4 DIC. 2017 visTos: La Constitucién Politica del Estado, la Ley N’ 393 de Servicios Financieros, la Resolucién de Directorio N° 134/2015 de 28 de julio de 2015 del Banco Central de Bolivia, la Resolucién SB N° 0686/2003 de 4 de julio de 2003, la Resolucién ASF1/891/2016 de 30 de septiembre de 2016, el Informe ASFI/DNPIR-228577/2017 de 27 de noviembre de 2017, referido a las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en la Recopilacién de Normas para Servicios Financieros y demas documentacién que ver convino y se tuvo presente CONSIDERANDO: Que, el Articulo 331 de la Constitucién Politica del Estado, establece que: “Las actividades de intermediacién financiera, la prestacién de servicios financieros y cualquier otra actividad relacionada con el manejo, aprovechamiento ¢ inversion del ahorro, son de interés publico y sdlo pueden ser ejercidas previa autorizacién del Estado, conforme con la Ley’. Que, el pardgrafo | del Articulo 332 de la Constitucién Politica del Estado, determina que: “Las entidades financieras estaran reguladas y supervisadas por una institucién de regulacién de bancos y entidades financieras. Esta institucién tendré caracter de derecho piiblico y jurisdiceién en todo el territorio boliviano’, reconociendo el caracter constitucional de la Autoridad de Supervision del Sistema Financiero (ASF). Que, el pardgrafo | del Articulo 6 de la Ley N° 393 de Servicios Financieros, dispone que las actividades de intermediacion financiera y la prestacion de servicios financieros, son de interés publico y sélo pueden ser elercidas por entidades financieras autorizadas conforme a Ley. Que, el paragrafo | del Articulo 8 de la Ley N° 393 de Servicios Financieros, determina que: “Es competencia privativa indelegable de la Autoridad de Supervisién de! Sistema Financiero - ASF! ejecutar ‘a regulacion. y supervisién financiera, con la finalidad de velar por el sano funcionamiento y desarrollo de fas entidades financieras y preservar la estabilidad del sistema financiero, bajo los postulados de la politica Tinanciera, establecidos en la Constitucin Politica de! Estado”. Gg ¥ \ pence VIPS Pag. tdeg e aa oir cenint Pat hc 2507-71-29 274-2919 fe 9-2 Som Cae 7h Ace ico Mn 262.91.) Sto ec nes ons ta teers tari Gunde to ts Pou 3 TU. 9123 818s 18 Aes Cente cost Uhre Vi Sat Hurt an hada caea 15 (ace a eT) eS oon Cota Se Con ant bsn sha Pe ale 31-) Ebest nce econ je cua laa de Coe, Oca a 770-468 Sea crae Oin epraera ea 335, anc 359-Tesssn 2 sas ax GM sate co Cts Carats ele NC? ea eee Crna ar Cal ‘ceo ere. Coat de Cort cahoots eee Nel Sey se noe, Cowl Tea 91 3 42505, acaba io copramerta eal Nc ce 5 ook 691 40505, on ODT) 44StSure Cerra coast a 2 ce yo 5a cel Ta Shinn Yet arr [Link] os M- SS076. aCe de ont nn Ox ee 1d by Vora Tele SP TO. Ut rte 09 f0-Sto wacom aigenbo Core caren sb om gehASFI Amioridad de Supervision del Sistema Financiero Estado Plarinaeinal de Boivin Sie as Que, el Articulo 16 de la Ley N° 383 de Servicios Financieros, establece que: “La Autoridad de Supervision de! Sistema’ Financier - ASFI, tiene por objeto regular, controlar y supervisar los servicios financieros en e! marco de la Constitucién Politica del Estado, la presente Ley y los Decretos Supremos reglamentarios, asi como la ‘actividad de! mercado de valores, los intermediarios y entidades auxillares del mismo", Que, mediante Resolucién Suprema N* 20902 de 25 de enero de 2017, el sefior Presidente de! Estado Plurinacional de Bolivia designé a la Dra. Lenny Tatiana Valdivia Bautista como Directora General Ejecutiva ai. de la Autoridad de ‘Supervisién del Sistema Financiero. CONSIDERANDO: Que, el inciso 1), paragrafo | del Articulo 23 de la Ley N° 393 de Servicios Financieros, establece entre las atribuciones de la Autoridad de Supervision del Sistema Financiero, el emitir normativa prudencial de cardcter general, extendiéndose a la regulacién normative contable para aplicacién de las entidades financieras. Que, el paragrafo | del Articulo 29 de Ia Ley N° 393 de Servicios Financieros, dispone que la Autoridad de Supervision del Sistema Financiero requeriré de cada entidad supervisada el o los documentos, reportes u otros necesarios, en el marco de sus atribuciones. Que, el parégrafo | del Articulo 39 de la Ley N° 383 de Servicios Financieros, prevé que la normativa regulatoria emitida por la Autoridad de Supervisién del Sistema Financiero estableceré los requisites y procedimientos para el reporte de informacion relativa a la gestion de riesgos, por parte de las entidades financieras. Que, el pardgrafo | del Articulo 124 de la Ley N° 393 de Servicios Financieros, dispone que: “Las operaciones efectuadas, en el marco de los servicios que prestan las entidades financieras, podrén realizarse a través de medios electrénicos, os que necesariamente deben cumplir las medidas de seguridad que garanticen la integridad, confidencialidad, autentificacién y no repudio’. Que, mediante Resolucién de Directorio N° 134/2015 de 28 de julio de 2015, el Banco Central de Bolivia, aprobé el Reglamento de Servicios de Pago, Instrumentos Electronicos de Pago, Compensacién y Liquidacion. Que, mediante Resolucién SB N° 086/203 de 4 de julio de 2003, Ja entonces Superintendencia de Bancos y Entidades Financieras, actualmente Autoridad de Supervision det Sistema Financiero, aprobé y puso en vigencia los "Requisitos Minimos de Seguridad Informatica para la Administracion de Sistemas de g copiers a 2404 tare cette aca wrath eg Pi Ta 2311750 calle Reyes Otic eng, Fedele Zum, Gundlach Tore fe Ps0 3 Te 591-2) 2511818~ Casa 6118 El Alt Cera de const Urbanacign Vila liar tei Moo." Ar Lado Cabrere N15 ce Wa eel) Tel (813) 28214 Pots Corr Consulta Pana Aso de ater W'20, Gail Sige PD Tel (51-2) 250868, Oras Centr de Consult, ane Guach Ct Cara de Came, Poo 3,0, 307 Tels: (591 2)197706- 112408 Sana Grex: Ofcnadaparamsrts) Asa 585, 2), caea 1259. Te (913) 99608, or (81-3 35626, Cob Certo de Const, calle Ban NPOA sg A. Tint Coronel Eno Feander Wl, aro Cental ‘ae 91- 12401 Tanidad Cento de Cora, cal ono Ves Dit W'26 entre Nels Suen 18 de neem Zana Cental Tei Foe (S913) 4520659 Cochabambat (cin cepeament cle Coloma 364 ax calle 25 de Mayo ek (81-4) 564505, fos (S91~1) 564505. suere: Cane de const, lz 2 Mayo 5 Musto lTesoo, phat « a5) 60777 -6490775 = 439774, Fae (81-3) 6438776 Tala Ceiro de Consus, eal nin N° OSI, 15 de Aly Veo Lama Te (91) 6113709, tia atta: 200 103 103 Sto eb: wwafigonbo Come lactrnioasfieastigabboASFI Autoridad de Supervision del Sistema Financiero Esto Plasiacional de Boliv ( Dente Informacion y Tecnologias Relacionadas en Entidades Financieras’, ahora denominado REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido al presente en el Capitulo Il, Titulo Vil, Libro 3° de la Recopilacion de Normas para Servicios Financieros. Que, mediante Resolucién ASFI/891/2016 de 30 de septiembre de 2016, la Autoridad de Supervision del Sistema Financiero, aprobé y puso en vigencia las tltimas modificaciones al Reglamento citado en el parrafo que antecede. CONSIDERANDO: Que, en el marco de Io dispuesto en los paragrafos | de los articulos 29 y 39, de la Ley N° 393 de Servicios Financieros, referidos a los requerimientos de informacion de la Autoridad de Supervision del Sistema Financiero (ASF), a las entidades supervisadas, que establecen ademas los requisitos y procedimientos para el envio de informacién relativa a la gestién de riesgos y para efectos de que ASF! cuente con herramientas de supervision comunes, asi como con el propésito de uniformar los critetios de la informacion remitida por las entidades supervisadas, es pertinente incorporar en el REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMAGION, la definicién de ‘procesamiento de datos 0 ejecucién de sistemas efectuado en lugar externo", asi como la obligacién de remitir el inventario de software que utiliza la entidad, de acuerdo a un formato determinado, Que, a efectos de compatibilizar los cambios realizados por el Banco Central de Bolivia (BCB), conforme lo establecido en el “Reglamento de Servicios de Pago, Instrumentos Electrénicos de Pago, Compensacién y Liquidacién", aprobado por el BCB madiante Resolucién de Directorio N° 134/2015 de 28 de julio de 2015, es pertinente que en el REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, se reemplace la referencia al "Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB)" por "Reglamento de Servicios de Pago, Instrumentos Electrénicos de Pago, Compensacién y Liquidacién emitido por el Banco Cental de Bolivia (BCBY" Que, con el propésito de una mejor exposicién y aplicacién de! REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, corresponde incluir en la citada normativa, precisiones en cuanto a seguridad’ de la informacion, administracion de contrasefias, procedimientos de control de cambios, asi como respaldo de fa informacién. CONSIDERANDO: Que, mediante Informe ASFI/DNP/R-228577/2017 de 27 de noviembre de 2017, se determiné la pertinencia de aprobar las modificaciones al REGLAMENTO PARA LA & a, GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo Il, Titulo Vil, Libro 3° de Ia Recopilacién de Normas para Servicios Financieros. eons Pag. 3do4 tupac oreo alc on -Taegoa2rn099 ae6P-07caat- ee a HT 2 {211790 ale ayes tz est, Fedrce Zu Eco Gundlach, Tone Ee, so 3» Te: (91-2) 2311818» Colla N 6116. B1 Alta: Cnta de const Urbeizcn vila Bleat Manipal ttn °0"Av-Lacios Cabrera 5 rue Vil Ade) -Tel(9-2) 282146, Petes Garva de Conta, PzaNonso de batea N24, alec Sig Po 1 T(591-2 ‘220858, rare Cert ie Const, ase Guachal EA Ema de Como, Pk 3, 307 Tea (91-2) $117705-51 2468, Sata Cruz-Ofhadepartanenta A. 1a" 585, (0 20, Cala 1359 Tel 51) 353628, Fax (913333220, Cblf Centro de Corsul cae Ber O12 exh. Tenet Coronel Em Femi Mol Baro Cota ‘Tle We1 a asdea nidads Convo de Conca, cal toi Vacs as N25 ne Nels Sst y 8a rover, Zona Cale fx 5913) 468689 Cochabamba ‘hina eputamentl eal Ceara W364 cal coe 25 de Nayar Te (91-4 56455, Fox (914 4504506, Suee: Certo de corsa Plaza 25 de Mayo 59, Museo dl eso planta Tels: 01-4 6439777 683077539774, Fax (59-9) 6499776. Trae Cov Contacte nin OES, ere 1 de bry Vergo Lama Tek (81-)611378, {ins ruta 800 103 105-Sto we yas gobo Coren lecurice:aszusiob boASFI Autoridad de Supervision del Sistema Financiero sla Parinacinal de Bla POR TANTO: La Directora General Ejecutiva. a.i. de la Autoridad de Supervision del Sistema Financiero, en virtud de las facultades que le confiere la Constitucion Politica del Estado y dems normativa conexa y relacionada. RESUELVE: UNICO, - Aprobar y poner en vigencia las modificaciones al REGLAMENTO. PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo I, Titulo Vil, Libro 3* de la Recopilacién de Normas para Servicios Financieros, de acuerdo al texto que en Anexo forma parte de la presente Resolucién Registrese, comuniquese y cimpiase ‘Lenny Tatiana Voldvia Bautista DIREGTORA GENERAL EJECUTIVABS. ‘Autocad do Superson ‘dt Seton Flneclor .*)\Foncsumyvuge Pig aes AS bi ran cea 2507 (91-217498- 200113 ae 8. 20H Ca NO ET. ce Bo Macna NP 2621 ic Te 912) $335). LvReyegbylicee Fer Zone. Elo Gnd 0 Terre ste, Piso 3- Tel (593-2) 21 1818- Coit 610, 1 lo: Centro de const, Unzacn Vila Raat Tishaa 70 adsl Cabrera N15 (ace Mila Adel Tl 912 2421464, Potos Cento de Consulta Ps Noni de Fe N20 Calera lilo Pia Tek 692) 16230858 Drench de Cans, Posse Guach EA, Cmarade Com, P03, 01 307 Tels(81-2)5117705-51 1246, Santa Crus Ofcra dearer 3. Fla N58, (F201, casa 1259 Tal: (913) 383528, Fac (913) 336259, Cobia: Certo de Cost, cle Ber N O42 3a, A Tenet Coan! Emo edn dee Mal, er Cent “Tel (91-3) 862481 ida Cento ce Const, cae Actoni Vaca Des N26 rte Ncals Satz WV, 183 novembre, Zona Cental Tal-(59-3) 4529689 Cochabam fcin departmental cle Coola W364 cal cle 5 de Mayo Tel: 4564505, Fox (9 14 4584505 Suere Certo de canst, ara 25 de Myo 5. uso de Tex, ‘planta baa Teds (91-4) 4307776430775 30774, Fx 549776 Tar Cenro de Const cle nin OSI, ere 1S de Abily Veo Lem Te (31-4) 611370, tina grants: 103 103 Sttowebonmatigo ino Core leno ste geb oo_Auroea4 Soret DE STEN FASO Racov ACWW DE NORMAS PARA SERVICIOS PINANCIEROS CAPITULO I: REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION SECCION 1: DISPOSICIONES GENERALES Articulo 1° = (Objeto) Fl presente Reglamento tiene por objeto establecer las directrices y requisitos minimos que las Entidades de Intermediacién Financiera (EIF), Empresas de Servicios Financieros Complementarios (ESFC) y Sociedades Controladoras de Grupos Financieros (SCGF), deben cumplir para la gestién de seguridad de la informacién, de acuerdo a su naturaleza, tamafio ¥ estruetura, asi como eon la complejidad de los procesos y operaciones que realizan. Articulo 2° - (Ambito de aplicacion) Estén comprendidas en el ambito de aplicacién del presente Reglamento las EIF, ESFC (excepto Casas de Cambio) y SCGF, que cuenten con Licencia de Funcionamiento otorgada por Ia Autoridad de Supervisidn del Sistema Financiero (ASF, Ghreular ASFU395/2016 (altima) bes { Copa n Seccidn 8 Pagina 213e Arot4o 08 Surana Sr Praneiso RVICIOS FINANCIER bloqueada automdticamente después de tres intentos fallidos, asi como el procedimiento para solicitar su desbloqueo; Detalle de las operaciones que puede efectuar el cliente; EI horario de prestacién det servicio, conjuntamente el procedimiento alternativo en caso de que el servicio no esté disponible; Las medidas de seguridad que ha tomado la Entidad Supervisada para la transferencia ‘spiae6r004 | 2910472004 =T* t= i ‘savsa3zz003_| riosmoas |_| + | * |= [+ spiasenoos | owornoas [+ | [*]+ [+ t Libro 3° Titulo VIE Capitulo It Control de versiones Pagina 1/1ator carion ‘ep am de and ae ‘hn bases ha a Poa yn