COMUNICACIÓN “A” 7370 - Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnolo-gía informática, sistemas de información y recur-sos asociados para las entidades financieras. Adecuaciones.

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolución:
“- Sustituir el requisito técnico-operativo RMC012 –del proceso de monitoreo y control–, establecido en el punto 6.7.4. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recur-sos asociados para las entidades financieras”, por lo siguiente:
“Para la autorización de un crédito preaprobado la entidad debe verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada. Esta verificación debe ha-cerse mediante técnicas de identificación positiva, de acuerdo con la definición prevista en el glosario y en el requisito técnico operativo específico (RCA040) de estas normas.

Asimismo, se deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contacto indicados por el usuario de servicios financieros no hayan sido modificados recientemente. Una vez verificada la identidad de la persona usuaria, la enti-dad deberá comunicarle –a través de algunos de los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de los 2 (dos) días hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.

La entidad financiera quedará exceptuada de implementar lo previsto precedentemente, en la medida de que dé cumplimiento a alguna de las siguientes condiciones:
a. Que para la autorización de un crédito preaprobado la entidad financiera verifique feha-cientemente la identidad de la persona usuaria de servicios financieros involucrada, me-diante soluciones biométricas con prueba de vida.
b. Que la entidad financiera cancele el crédito preaprobado, asuma la devolución de las su-mas involucradas y anule los posibles efectos sobre la situación crediticia de la persona usuaria de servicios financieros afectada, ante la denuncia policial presentada por esta persona usuaria de acuerdo con el modelo de acción “asumido” definido en el requisito RMC004, siempre que la denuncia se presente en un plazo máximo de 90 (noventa) días corridos desde el vencimiento de la primera cuota del crédito.

En ambos casos, el crédito solicitado podrá acreditarse de manera inmediata en la cuenta del usuario.
La actividad que se realice para el cumplimiento de este requisito debe ser trazable y audita-ble.”
Por último, les hacemos llegar las hojas que, en reemplazo de las oportunamente pro-vistas, corresponde incorporar en las normas de la referencia. En tal sentido, se recuerda que en la página de esta Institución www.bcra.gob.ar, accediendo a “Sistema Financiero - MARCO LEGAL Y NORMATIVO - Ordenamientos y resúmenes - Textos ordenados de normativa general”, se encon-trarán las modificaciones realizadas con textos resaltados en caracteres especiales (tachado y ne-grita).
Saludamos a Uds. atentamente.
BANCO CENTRAL DE LA REPUBLICA ARGENTINA
Mara I. Misto Macias
María D. Bossio
Gerenta Principal de Normas de Seguridad de la
Subgerenta General de
Información en Entidades Regulación Financiera

ANEXO

B.C.R.A.
REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN Y CONTROL
DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,
SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS
Sección 6. Canales Electrónicos

Tabla de requisitos de Monitoreo y Control (continuación)

Código de requisito Descripción de requisito Alcance
RMC009
Los sistemas de monitoreo transaccional de las entidades/operadores de TD/TC, deben asegurar la detección, registro y control de situaciones que establezcan un compromiso de datos sensibles que incluya pero no se limite a las siguientes:
a. Punto común de compromiso. punto de venta, adquirente, proveedor, entre otros que comprometan transacciones de TD/TC cursadas por el mismo.
b. Fuga de información. Pérdida ocurrida en la infraestructura técnica y/o orga-nizacional de la entidad financiera, operador, adquirente, distribuidor y/o proveedores que comprometa información sensible de las TD/TC (números de tarjeta, códigos de seguridad, datos confidenciales del cliente, entre otros)
c. Códigos de Seguridad. Compromiso demostrado de los algoritmos de cálcu-lo de los códigos de seguridad de las TD/TC.
RMC010
Los dispositivos/aplicaciones provistos por la entidad/operador, deben detectar la apertura simultánea de más de una sesión, para un mismo usuario, canal y entidad financiera, ejecutando una de las siguientes acciones:
a. Impedir la apertura simultánea de más de una sesión
b. Bloquear la operatoria inmediatamente después de la detección, informando al cliente de la irregularidad.
El CE ATM podrá exceptuarse de las acciones indicadas en los puntos a y b siempre que se incluyan en los sistemas de monitoreo y control las configuraciones necesarias para detectar y registrar los eventos indicados en el requisito.
RMC011
El monitoreo transaccional en los CE debe basarse, pero no limitarse a lo siguiente:
a. La clasificación de ordenantes y receptores en base a características de su cuenta y transacciones habituales, incluyendo pero no limitándose a fre-cuencia de transacciones por tipo, monto de transacciones y saldos habitua-les de cuentas.
b. Determinación de umbrales, patrones y alertas dinámicas en base al com-portamiento transaccional de ordenantes y receptores según su clasifica-ción.
RMC012
Para la autorización de un crédito preaprobado la entidad debe verificar fehaciente-mente la identidad de la persona usuaria de servicios financieros involucrada. Esta verificación debe hacerse mediante técnicas de identificación positiva, de acuerdo con la definición prevista en el glosario y en el requisito técnico operativo específico (RCA040) de estas normas. Asimismo, se deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contac-to indicados por el usuario de servicios financieros no hayan sido modificados recien-temente. Una vez verificada la identidad de la persona usuaria, la entidad deberá comunicarle –a través de algunos de los puntos de contacto disponibles– que el crédi-to se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de los 2 (dos) días hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.
La entidad financiera quedará exceptuada de implementar lo previsto precedentemen-te, en la medida de que dé cumplimiento a alguna de las siguientes condiciones:
a. Que para la autorización de un crédito preaprobado la entidad financie-ra verifique fehacientemente la identidad de la persona usuaria de ser-vicios financieros involucrada, mediante soluciones biométricas con prueba de vida.
b. Que la entidad financiera cancele el crédito preaprobado, asuma la de-volución de las sumas involucradas y anule los posibles efectos sobre la situación crediticia de la persona usuaria de servicios financieros afectada, ante la denuncia policial presentada por esta persona usuaria de acuerdo con el modelo de acción “asumido” definido en el requisito RMC004, siempre que la denuncia se presente en un plazo máximo de 90 (noventa) días corridos desde el vencimiento de la primera cuota del crédito.
En ambos casos, el crédito solicitado podrá acreditarse de manera inmediata en la cuenta del usuario.
La actividad que se realice para el cumplimiento de este requisito debe ser trazable y auditable.

Código de requisito Descripción de requisito Alcance
RMC013
Durante los procesos de mantenimiento, configuración, apertura, carga y balanceo de los dispositivos contemplados en el escenario, con excepción del canal POS, se deben satisfacer las siguientes consignas:
a. Debe asegurarse una segregación física y lógica de las siguientes funcio-nes: Administración (instalación, configuración y ajuste de parámetros en el sistema operativo y aplicativo). Debe encontrarse limitada a personal del operador/entidad responsable del servicio.
Operación (ejecución de tareas operativas de consulta, balanceo y re-porte). Debe limitarse a responsables de la entidad o tercero contratado por la entidad para los procesos indicados.
Apertura y cierre de dispositivo y tesoro. Debe aplicarse un control dual para el uso y posesión temporal de las llaves físicas y/o lógicas.
b. Debe asegurarse la puesta en práctica de procedimientos internos de la en-tidad para el control de la documentación de respaldo de las tareas operati-vas relacionadas.
6.7.5. Tabla de requisitos de Gestión de Incidentes.
Tabla de requisitos de Gestión de Incidentes Código de requisito Descripción de requisito Alcance
RGI001
Debe realizar con una periodicidad mínima anual y con base en el análisis de riesgo de los activos informáticos asociados al escenario, un análisis de los incidentes ocurri-dos y un reporte que sirva para establecer medidas de protección, contenidos del programa de capacitación y concientización, modificaciones a la registración y control de eventos, y una redefinición de las alertas, límites y umbrales.
RGI002
La identificación de incidentes debe estar basada al menos en alertas tempranas, estadísticas de tipo/frecuencia/patrón de incidentes y recomendaciones de seguridad informática.
RGI003
La gestión de incidentes de seguridad puede ejecutarse en forma descentralizada pero debe ser coordinada con personal de la entidad financiera.
RGI004
No definido.
RGI005
Los incidentes detectados deben recibir un tratamiento regular con un escalamiento definido formalmente.

BCRA: 24/09/2021