REGLAMENTO PARA DEPOSITOS

Y RETIROS DE MATERIAL
MONETARIO EN Y DEL BANCO
CENTRAL DE BOLIVIA
LIBRO 3°
TITULO VII
CAPITULO II
CAPITULO I.
SECCIÓN 1.- ASPECTOS GENERALES
1. OBJETO

2. ÁMBITO DE APLICACIÓN

SECCIÓN 2.- MEDIDAS DE SEGURIDAD

1. POLITICAS Y PROCEDIMIENTOS.- deben ser revisadas al menos una vez al
año, deben como mínimo cumplir:
2. PREPARACION Y TRANSPORTE.- deben ser aprobados por niveles de
autorización correspondientes, material monetario debidamente identificado,
programación y logística de conocimiento restringido y coordinado con el BCB
mediante ETM autorizado por la ASFI(responsable)
3. REGISTRO DE OPERACIONES.- Personal autorizado debe revisar los
comprobantes de transacciones emitidos por el BCB. Conciliación diaria.
4. CONTROL DE DEPOSITOS EN EL BCB.- El BCB puede hacer recuento y
reportar a la ASFI las anormalidades.
SECCIÓN 3.- OTRAS DISPOSICIONES
1. RESPONSABILIDAD.- El GG es responsable de difusión y cumplimiento
2. REGIMEN DE SANCIONES
CAPITULO II. REGLAMENTO PARA LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

SECCIÓN 1.- ASPECTOS ESPECÍFICOS

Establece las directrices y requisitos mínimos que las EIF, ESFC y SCGF
deben cumplir para la gestión de la seguridad de la información.
1. CRITERIOS DE LA SEGURIDAD DE LA INFORMACION.- La
información generada y administrada por la entidad supervisada debe
cumplir mínimamente:
 Autenticación
 Confiabilidad
 Confidencialidad
 Cumplimiento
 Disponibilidad
 Integridad
 No repudio
SECCIÓN 2.- PLANIFICACION ESTRATEGICA, ESTRUCTURA Y ORGANIZACIÓN DE
LOS RECURSOS DE TECNOLOGÍAS DE LA INFORMACIÓN

1. Planificación estratégica (alineado a la estrategia institucional

aprobado por el Directorio o equivalente considerando regulaciones de
la ASFI)
2. Estrategia de seguridad de la información (realizar
administración/control)
3. Infraestructura del área tecnológica de la información consistente
4. Estructura organizativa (tamaño/volumen/complejidad)
5. Comité de tecnologías de la información.- Responsable de
establecer políticas, procedimientos y prioridades para la administración
y gestión de recursos TI
6. Comité operativo de tecnologías de la información Coordinación
de trabajos internos del área
7. Responsable de la seguridad de la información.- instancia
responsable de mecanismos de administración y control de la seguridad
de los recursos de TI. Independencia funcional y operativa. PSI
SECCIÓN 3.- ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

1. Implementación del análisis y evaluación de riesgos en SI.-

Encargada de Procedimientos específicos
(naturaleza/tamaño/complejidad), informe
2. Política seguridad de la información escrito, actualización e
implementación de PSI
3. Licencia de software.- Procedimientos: instalación, mantenimiento
administración(custodia)
4. Acuerdo de confidencialidad.- términos y condiciones en el
contrato
5. Inventarios de activos de la información
6. Clasificación de la información Criticidad/sensibilidad –
Documentación de derechos de acceso.
7. Propietarios de la información.- asignación de propiedad de
acuerdo al tipo y operaciones en coordinación con el encargado de
seguridad de la información.
SECCIÓN 3.- ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

8. Análisis de vulnerabilidades lógicas.- exposición y adopción de

acciones preventivas y correctivas
 evaluación interna/externa una vez al año o ante el cambio en
infraestructura
 Revisión de políticas y procedimientos una vez al año
 Empresas/personas certificadas deben hacer el análisis bajo un
acuerdo de confidencialidad
9. Clasificación de áreas de exclusión.- identificación/clasificación
de áreas de TI
10.Características de CPD
 Ubicación interna en ES
 Espacio acorde y suficiente
 Energía regulada
 Cableado normalizado
 No almacenar papel o inflamables en el CPD
 Instalación de equipos independiente
11.Manuales de procedimiento CPD.-
SECCIÓN 3.- ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

12.Protección de equipos.- ventilación, extintores, T°,

energía regulada
13.Suministro eléctrico.- acometida eléctrica
independiente/autonomía consistente con le plan de
contingencia y plan de continuidad
14.Seguridad del cableado de red.- normalizado
15.Pruebas a dispositivos de seguridad.- mínimo 2
veces/año
16.Responsabilidad en seguridad de la información.-
difusión/proceso disciplinario
17.Custodia y conservación de datos. Operaciones
10años/castigadas 20 años
18.Destrucción controlada
 SECCIÓN 4.- ADMINISTRACIÓN DEL CONTROL DE ACCESOS

1. Administración cuentas de usuario.- procedimientos

formalizados acorde al PSI
2. Administración de privilegios.- restricción y control de
asignación
3. Administración de contraseñas.- políticas de asignación
4. Monitoreo de actividad de usuario
5. Registros de seguridad y pista de auditoria.-
minimizar riesgos internos/externos
SECCIÓN 5.- DESARROLLO, MANTENIMIENTO E IMPLEMENTACIÓN DE SISTEMAS
DE INFORMACIÓN

• La ES estable P&P garantizando que su diseño se enmarque en la

legislación y normativa vigente además de incluir controles de
seguridad
• Metodología estándar para adquisición, desarrollo y
mantenimiento de software: diccionario de
datos/diagramas/manual técnico y de usuario/flujo de información
entre módulos
• Controles automatizados para minimizar errores/verificar
integridad de datos/control de cambios/cifrado/restricción a
código fuente/Ambientes de desarrollo, prueba y producción
• Migración de datos que garanticen integridad, confidencialidad y
disponibilidad. Designado por el GG con informe a la ASFI
• La aplicación autorizada y controlada de parches y actualizaciones
SECCIÓN 6.- GESTIÓN DE OPERACIONES DE TECNOLOGÍA DE INFORMACIÓN.

• Documentación de procesos y actividades en el CPD

• Instalación, administración, migración, mantenimiento y
control de acceso a DB
• Respaldo lógico, físico y ambiental según criticidad en
medios confiables. Sitios externos mantienen al menos 10
años y el traslado debe tener medidas de seguridad además
de la correcta identificación e inventario.
• Mantenimiento preventivo de recursos tecnológicos
 SECCIÓN 7. GESTIÓN DE SEGURIDAD EN REDES Y COMUNICACIONES.

• Políticas y procedimientos que garanticen la correcta

administración de redes y telecomunicaciones, planes de
adquisición que reflejen necesidades del plan estratégico
• Protección y encriptación de datos transmitidos
• Cableado normalizado de voz y datos/estructuras dedicadas
• Niveles de acceso al sistema y puertos de diagnostico
• Estudio de capacidad&desempeño/necesidad de expansión
• Documentar y revisar estado de elementos configurados
 Características, topología, diagrama
 Elementos de cableado
 Plano de trayectoria/puntos de salida
 Interconexión, regletas
 Certificación de cableado
 SECCIÓN 8. GESTIÓN DE SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES
ELECTRÓNICAS.

• La adquisición de hardware y software se enmarca en el

ámbito de sistema de pagos de disposiciones del BCB:
 Seguridad del sistema
 Canal de comunicación
 Difusión de políticas de seguridad
 Certificación digital
 Continuidad operativa
 Disponibilidad de la información
 Registro de pistas de auditoria
 Verificación y control de transacciones y transparencias
electrónicas
 Acuerdos privados

Derechos y responsabilidades se suscriben por contrato de

ambas partes
SECCIÓN 9. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.

• Debe estar acorde al plan de contingencias. Rápida, efectiva

y ordenada respuesta. Cuantificación y registro de medidas
asumidas.
 Perdida de servicio
 Perdida de equipo o instalaciones
 Sobrecarga o mal funcionamiento del sistema
 Errores humanos
 Incumplimiento de P&P
 Deficiencias de control
 Mal funcionamiento hardware/software
 Código malicioso/denegación de servicio

Registro de Incidentes
 SECCIÓN 10. CONTINUIDAD DEL NEGOCIO.
• Plan de continuidad tecnológica.- Metodología,
Procedimiento de recuperación, Descripción de
responsabilidades y funciones, Medidas de prevención,
Análisis y evaluación de riesgos
• Plan de continuidad de negocio
• La ES debe capacitar sobre planes de contingencia
tecnológicas y de negocios.
• Realizar pruebas documentadas hasta el 20 de diciembre
del año anterior a su ejecución y ponerlas a disposición de la
ASFI
• En caso de ocurrir una contingencia que interrumpa la
operación de CPD principal, el CPD alterno debe funcionar
hasta que se resuelva la contingencia.
 SECCIÓN 11. ADMINISTRACIÓN DE SERVICIOS Y CONTRATOS CON TERCEROS
RELACIONADOS CON TECNOLOGÍA DE LA INFORMACIÓN

• Para la contratación de empresas encargadas del

procesamiento de datos se debe garantizar la seguridad
para resguardar la continuidad, confidencialidad, integridad
de los datos.
• El GG hasta el 31 de Marzo de cada año presenta un informe
(DJ) detallando servicios de procesamiento de datos por
terceros indicando nombres de proveedores.
• La infraestructura, sistemas operativos y herramientas de
desarrollo deben estar licenciados. En caso de desarrollo se
debe aclarar a quien pertenece la propiedad intelectual,
cronograma de desarrollo
• Los servicios de computación en la nube debe garantizar la
reserva confidencialidad, la ES debe realizar un diagnostico
del nivel de riesgo y sensibilidad de información expuesta.