tokenización cifrado SBS N°504 CYTE autenticación

Descubre cómo cumplir con la Resolución SBS N°504 – Requisitos de autenticación con Cyte.

Romina Paola Acro
Romina Paola Acro

La pandemia, la creciente interconectividad y el incremento del uso de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos del sistema financiero, de seguros y privado de pensiones, hace necesario que las empresas de dichos sistemas supervisados fortalezcan su sistema de gestión de ciberseguridad.

Publicada en febrero de 2021 la Resolución SBS N°504-2021, mediante la cual se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, actualizó la normativa sobre gestión de seguridad de la información, tomando en cuenta los estándares y buenas prácticas internacionales sobre seguridad de la información, entre los que se encuentran los publicados por el NIST y la familia de Normas ISO/IEC.

El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.

El reglamento aplica a:

  • Empresas bancarias
  • Empresas financieras
  • Caja Municipal de Ahorro y Crédito  – CMAC
  • Caja Municipal de Crédito Popular – CMCP
  • Caja Rural de Ahorro y Crédito – CRAC
  • Empresa de Seguros y / o Reaseguros ( Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el Régimen General del presente Reglamento)
  • Empresa de transporte, custodio y administración de numerario
  • Administradora Privada de Fondos de Pensiones
  • Empresa emisora de tarjetas de crédito y / o débito
  • Empresa emisora de Dinero Electrónico
  • Banco de la Nación

Hay otras empresas que están obligadas a cumplir las disposiciones descritas en el Capítulo II, Subcapítulo V del Reglamento Nº 504-2021 , las cuales son:

  • Banco de Inversión
  • Empresas de seguros y / o reaseguros , no contempladas dentro de la anterior clasificación descrita. 
  • Entidad de Desarrollo a la Pequeña y Micro Empresa  – EDPYME
  • Empresa de Transferencia de Fondos
  • Derrama y Caja de Beneficios bajo control de la superintendencia
  • La Corporación Financiera de Desarrollo – COFIDE
  • El Fondo MIVIVIENDA
  • El Fondo de Garantía para Préstamos a la pequeña industria – FOGAPI
  • El Banco Agropecuario
  • Almacenes Generales

Autenticación

En ese sentido, la Resolución dispone principalmente lo siguiente:

  • La Empresa debe implementar procesos de autenticación para controlar el acceso a los servicios que provea a sus usuarios por canales digitales.
  • La Empresa deberá contar con herramientas y procedimientos para implementar el monitoreo de transacciones a fin de evitar operaciones fraudulentas
  • El enrolamiento de un usuario a un canal digital requiere por lo menos que (i) se verifique la identidad del usuario así como tomar las medidas necesarias para reducir la suplantación de identidad, y (ii) generar credenciales con el propósito de asignarlas al usuario.
  • En caso la Empresa utiliza APIs para la provisión de servicios en línea, se deberá implementar medidas sobre ciberseguridad, tales como el  cifrado de datos y los mecanismos de tolerancia de fallos.

 El año pasado se les exigió a las empresas presentar a la Superintendencia, en un plazo que no mayor de sesenta (60) días calendario a partir del día siguiente de la publicación de la resolución, un plan de adecuación al Reglamento de la SBS, que estuviera aprobado por el directorio.

En el 2022, la normativa dispone que las empresas deban implementar procesos de autenticación, conforme a la definición establecida en el Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales.  

¿Qué se debe de tener en cuenta para la implementación?

  1. a) El o los factores de autenticación que serán requeridos.
  2. b)Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.
  3. c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.
  4. d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.
  5. e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

Dichos requisitos de autenticación entran en vigor el 1 de julio de 2022. 

Avalora junto con Cyte con amplia experiencia en aplicación y apoyo de la ciberseguridad, pueden ayudarte a cumplir los requerimientos de cifrado y tokenización de información. 

Descubre más de cómo Cyte puede ayudar en tu Organización:

Agenda una DEMO sin costo