REPBLICA DE HONDURAS -r~~IQAt~A,

M. D. C., 10 DE DICI~iBREDE-L200S

N. 30,872

n
~~;~:2~~'tat~~f; L9raaOn al de
Financiero; en sesindel 22 de noviembre de 2005, resuelve.: Aprobar lassigviente~ NORlWAS PARA REGULAR LA ADMINISTRACIN DE LAS TECNOLOGAS DE INFORlVIACIN y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA

L:7d~zna~6 'JI ~ ~
"RESOLUCIN No.1301/22-11-2005.La

Comisin Nacional de Bancosy Seguros, CONSIDERANDO: Que de conformdad con las facultades legales concedidas a la Comisin Nacional de Bancos y Seguros, respecto a las instituciones del sistema financiero y dems instituciones supervisadas,sta emitir las normas prudenciales que debern cumplir las mismas., basndose enla legislacinvigentey enlos acuerdos y prcticasinternacionales.
CONSIDERANDO: Que conforme a 10

FINANCIERO
CAPTULO 1

DISPOSICIONES GENERALES
ARTCULO 1.- Objeto Laspresentes normas,tienenpor objetoregular la administracinde las tecnologasde informacin y ~omunicaciones utilizadas por las instituciones del sistemafinanciero; asimismo,!egular los servicios tinancieros y operacionesrealizadaspor medio de Itedes electrnicasde uso externoe interno.
La Junta Directiva o Consejo de Administracin Gie las instituciones del sistemafinanciero, en adelante ~unta o Consejo, debern prestar la debida ~mportancia a la administracin del riesgo derivado ~e los sistemas de informacin, tomando en cuenta $ue su continuidad, desarrollo y funcionamiento 40nstituyen el elemento central para su operatividad y su manejoadministtatiyo y financiero.
;

establecido en el Articulo 50 de la Ley del Sistema Financiero, las instituciones del sistema financiero podrn ofrecer y prestar todos los productos y servicios los mencionados en el Artculo 46 de dicha Ley por medios electrnicos; as como que la Comisin emitir normas de carcter general.para regular las operaciones que efecten y servicios que presten las instituciones por medios electrnicos. CONSIDERANDO: Que conforme lo

establecido en la Ley de la Comisin Nacional de Bancos y Seguros, sta se encuentra sujeta a ciertos criterios, entre los cuales se seala el de promover la adopcin de buenas prcticas en la administracin de los riesgos inherentes a las actividades que realizan las instituciones supervisadas. ARTCULO 2.- Alcance Las presentes normas estn en concordancia con Tosprincipios del Comit de Basilea y el estndar internacional ISO/lEC 17799:2000, emitidos en materia de banca electrnica y administracin de la $egurdad Informtica y consrituyenuna gua general parala documentacin formal e mplementacin de ~a seguridad en las tecnologas de informacin y ~omunicacionesde las instituciones del sistema
i

POR TANTO: Con fundamentoenlos artculos 1,6, 13 Y .14de la Ley de la Comisin Nacional de Bancos y Seguros; y, 50 de la Ley del Sistema

fInanciero. B.

HONDUR~~TEGLC~~LPA. M. j.t,)Q 'Estas disposiciones son d~ obligatorio cumplimiento para las dems instituciones supervisadas por la Comisin, en lo que les sea aplicable, en funcin de su tamao y comple.iidad. ARTCUI.lO 3.- Definiciones Para los efectos de aplicacin de la presente normativa y bajo la perspectiva de la tecnologa de iriforn1acin, deberan considerarse las siguientes

DE QJ.CIE~l3RE DELlQQ5

N". 3O;!}J2

ontrasea Segura o Fuerte: Contraseas

e uso informtico que deben cumplir con las specificacionesde la poJtica de contraseas e la institucin y que sean dificiles o casi mposiblesde adivinar o hurtar

8) Discontinuidad de Servicio Significativo:

Incapacidad
erencla,

de continuar
como

p"estando los
por. la Alta senan1ente

~er;ViCi~S def~nidos

c!tic~s se vena

definiciones:
). Ataques de Denegacin de Servicio: Envo de solicitudes a servidores o equipos de

y SIn l,os cuales

fectada t la continuidad en el mercado"

9) l-Iash: Cadena de caracteres generada por un ;jlgoritmode encriptacin, el cual proporciona n valor estadsticamente nico para un o1)juntode datos de entrada. Bajo esta tcnica e domprobar la validez de1os datos recibidos , como en el caso de1as contraseas, cifrar nainforrnacin en un solo sentido.

comumcaClon que provoquen saturaclon en

sus memorias para que de esta forma dejen de funcionar temporalmente y no presten 1.os servicios que tengan configurados.

."

.,.

2) Ataques de Diccionario: Prueba de combinaciones de todos los usuarios y contraseas posiblesbasados enun diccionario enespaol, ingls o cualquierotro idioma,para ingresar de manera ilegal a un sistema informtico.
3) Ataques de Fuerza Bruta: Prueba de combinaciones de todos los usuarios y contraseas posibles basados en todos los caracteres posibles, para ingresar ilegalmente a un sistema informtico.

10) tocalizador Uniforme de Recursos(URL): Cadenade caracterescon la cual se asigna direccinnica a cadauno de los recursosde
~ '1fqnnaCin ~ nico disponibles para cada en Internet. pgina de cada Existe uno un de

1 s documentosen Internet.
11) Memoria Cach: Memoria a la qu~ una confputadora puede acceder ms rpidamente que! a la memoria normal de la computadora (M4moria RAM), la computadora primero bustainformacin en la memoria cachy luego el1l~ RAl\1. 12) No Repudio: Cualidad o caracterstica de una detem1inadacomunicacin, a travs de la cual s~protege a]as partes de la comunicacin frente a !lanegacin de que dicha comunicacin haya of ~rido.. Existe no ~ep~dio cu~do se p:oduce e efecto lega] o practlco de dlCho atnbuto o caracterstica.

4) Banca Electrnica: Servicios y operaciones proporcionados a clientes PO! medios electrnicos conectados al sistema de produccin, utilizando tecnologas, como: telefona, Internet, celulares, o una combinacinentre redesde comunicaciones..
5) Canal de Comunicacin: Mtodos

tecnolgicospara la comunicacinentre los usuarios debancaelectrnicay lasinstituciones del sistema financiero entre otros Internet, telefonfa,etc. 6) La Comisin o CNBS: Comisin Nacional de Bancos y Seguros.

3) Pared de Fuego (Firewall): Dispositivos de Seguridad (hardware o software) utilizados pal-arestringir el accesoen un ambiente de r~des informtica's interconectadas, que p~rmiten el acceso a ciertos servicios previamente definidos.
R.

RJ;f~B)~ICADE

REPUBL.lCA DEH6N~~s~~~
4) Penetracin Significativa: Ataques a una red informtica que alteren la disponibilidad, integridad yconfidencialidad de la informacin sensitivadela institucin.

-~

D. C., 10 DE DICIEMBRE DEL 2005

N". 30,ffi

21) Tercerizacin (Outsourcing): Contrato ..-, meaIante el cual una compafiia provee servIcIos a otra. Estos servicios podran ser provistos dentro de la misma institucin.

15) Procedimientos Almacenados (Stored Procedure): Conjunto de instrucciones u rdenes precompiladas, escritasenunlenguaje propietario como PL/SQL para Oracle databas e o PL/PgSQLpara PostgreSQL,que puedenserllamadosusandoelnombre que se les haya asignado. Son esencialmente cajas negras. 16) Red de Produccin: Redque estcompuesta por computadoras, servidores, archivos,bases de datos, equipos de c)municacin, dispositivos de seguridad,etc., que contienen y transmiten datos reales y oficiales de una institucin.

12) TercerizacinSignificativa: Tercerizacinde servicios que son de carcter vital para una coppaa, ya que si estos servicios fallan provocarian un impacto en la continuidad del negocIo. 23) Valor SALT: Valor generadoal azar, que es usado paramodificarelhashde unacontrasea, el cual previenelas colisionesde contraseas, es decir si ms de un usuario selecciona la misma contrasea,la cadena de caracteres generada utilizando un valor SALT ser diferente.

CAPITULO II
SUPERVISIN Y ADMINISTRt:\CIN

7) Servidor: Computadoraque prestaservicios SECCIN 1 de red a los usuarios de la misma. Estos DE LA ADMINISTRACIN serviciospuedenserbases dedatos,impresin, antivirus,correo electrnico,aplicaciones, etc. 1.1 ARTCULO 4.- Polticas de Administracin
18) Sesin: Es e1.periodo de tiempo transcuITido desde que un usuario o un equipo informtico inicia conexin, con otro equipo previa presentacin de credenciales,hasta el momento que la conexin finaliza. 19) Sistema de Deteccin de Intrusos (IDS): Dispositivo o programa de cmputo que de acuerdo a una base de datos, detecta patrones que son conocidos mundialmente como ataques o intentos de intrusin a redes y computadoras,enviando alertas y presentando reportes. 20) Tecnologas de Informacin y Comunicaciones (TIC): Recursos tecnolgicos usados para crear, almacenar, intercambiar y usar informacin ensus diferentes formatos (datos, voz, imgenes, videos, presentaciones, etc.). 11 La Junta o Consejo deber tener como mnimo I ~nareun~~anual para establec~r.orev~~ar las pol~ti~as y,proCedlInlentossobre laadInlllistraclon tecnologlca y seguridad de la informacin, que conlleven a la cbrrecta toma de decisiones. Asimismo, deber cbnocer y discutir, por lo menos cuatro (4) veces al afto,los informes que sobre esteparticular.Ie presente l'ilGerenc:cia General. Lo tratado en dichas reuniones, deber quedar registrado en el libro de actas cpaespondiente. ARTCULO 5.- Polticas de las Tecnologas de Informacin y Comunicaciones Las polticas mencionadas en el Artculo anterior d~bern incluir al menos temas como: a) S~guridad de la informacin incluyendo: .Uso de Internet; .Uso del Cor:reo Electrnico; .Uso de las estaciones de Trabajo;

B.

~R.~,~I.

ItEI}{]:!lLICADEHQNDUR:.S
.Proceso Antivirus' ,

.T~~UClGAL~'!",M.

D. (

-_10 DE DICIE~DEL

2005

-N. 30,872

.Adquisicin de Hardwarey Software; .Seguridad de Contraseas; .Seguridad dela InformacinSensitiva; .Seguridad de Servidores; .Seguridad de equiposde comunicacin; . .Seguridad enredesinalmbricas (si existen); .Seguridad en Redes con Terceros; .Acceso y Configuracin. remotos; .Administracin de respaldos; y, .P.dministracin de dispositivos mviles de almacenamiento magI1tico. b) Procesosde respaldo y recuperacinen caso de un desastre y situaciones de mal funcionamientode uno o varios componentes del sistemade informacin; c) Tercerizacin (outsourcing);
a Mantenimiento y desarrollo de sistemas; y

~_slmismo, la unidad responsable deber estrhctur~r ~n programa de capacita~~nde acuer~o con ~as pnorl.dadesde la administrac1.on, que peffil1.ta
1 n1 del in~izar 1as col1tribucione.s Esta ..., q~: brinde debera ~] ?ers~l1al IncluIrse e;l de TIC, .., capacltaC1.0n

en

presupuesto anual y ser consistente con los

req , nmlentos mmlmos de la organlzaClon.

~"..' .!UJd la cunseCUCIon ae OSObjetIvoS planLeaUU~j

la i~stitucin sup~rvisada deber procurar funcional que la unid~d antes mencionada se encuentre en un nivel dentro de la

razo~able de independencia estrlif;tura organizacional.

ARTCULO

8,- Establecimiento

de Polticas

y Estrategias L~ Gerencia General deber definir y proponer a la lupta o Consejo., los procesos crticos para los cuale~esne~esarioestablecerlas politicasy estrategias de talIforn1a que se asegurela integridad y continuidad de l~s operaciones. Asimismo, las medidas y mec~ismos para la difusin ptima de dichas
;

Documentacinde todos los procesosque se desarrollanen el reade TIC. ARTCULO 6.- Nombramiento de Ejecutivo Especializado La GerenciaGeneraldebernombrarunejecutivo especializado, responsable de todos los asuntos relacionadoscon las tecnologasde la informacin. Este ejecutivo deber tener al menos formacin pro~esional s~~rela adminis~racin delast~cno!ogas de lnformaclon en mater.a de comurncaclones, sistemas operativos, desarrollo de software,basede datos, entre otros y deber tener experiencia comprobada1en el campo de la informtica. ARTCUIJO 7.- Unidad Responsable
Dentro de la estructura organizacional, la unidad responsableqe administrar los aspectostecnolgicos y de seguridad de la informacin deber contar con el manual de puestos para el personal de TIC, que deber incluir los perfiles de puestos y la segregacin de funciones y de autoridad.

polti~as. El iAdminjstrador de Segurjdad Informtica deber propqner a la Gerencia General las polticas y estrat~gias conespondientes.

Lo~eventos calificadosdebernsercomunicados a la G~rencia General,al Administradorde Seguridad InfrrVticay las dependencias involucradas, para su respe4ti.vo anlisis y tomar las medidascoITectivas neces~rlas.

SECCIN II PROCEDIMIENTOS
ARTCULO 9.- Procedimientos Formales

Lajinstitucin deber desar:o~lar, implementar, actual1zar y documentar prOCedImIentosformales en relaci~ ala planeacin, organizacin, adquisicin, implementacin, entrega de servicios por medios tecnol~gicos, soporte y monitoreo; y deber ser diligen~e en su ejecucin y divulgacin.

10 DE DICIEl\'IBRE ---

DEL 2005

N, 30,872

SECCIN III HISTORIAL Y MONITOREO ARTCULO 10.- Mantenimiento de Registros La institucin deber mantenerregistros de las auditorasa los sistemasautomatizados, basadosen un anlisis de riesgos, en bitcoras ~utomatizadas registrando los accesos, transacciones y consultas realizadastanto a los sistemas de informacincomo a los dispositivos de comunicacionesy seguridad. EStosregistros deberncomo mnimo identificar la persona, lugar, tiempo y las accionesrelacionadas con el apli~ativoutilizado. . ARTCULO 11.- Perodo de Resguardo La institucin deber resguardarlos registros previstos en e Artculo anterior. El periodo de resguardoser de 5 aospara las transacciones y6 meses para la consulta. ARTCULO 12.- Mantenimiento de Bitcoras
La institucin, si as lo determina, podr mantener informados a sus clientes y empleadosde la existencia del mantenimiento de bitcoras que registrarn todas las actividades con los sistemas de informacin de la institucin. Con respecto a las disposiciones del Artculo 8, el sistema de administracin de registros deber crear las alertas correspondientes para las autoridades internas y externas, especialmente en los casos ~e actividades externasno autorizadas y tambin aquellas actividades excepcionalesrealizadas por los diferentes tipos de usuarios.

La institucin deber proveerle a la Auditora lnternalasherramientasnecesarias parala realizacin y control del ambientede la TIC.
ARTCULO 14.- Responsabilidad del Auditor Interno El Auditor Interno ser responsable de que, aun en el caso de que la Auditora de Sistemas seallevada l: cabo por medio de la Tercerizacin (outsourcing) se cumplan las disposiciones contenidas en las Normas Mnimas para el Funcionamiento de las Unidades de Auditora Interna de las Instituciones del Sistema Rinanciero y en las presentes normas.

SECCIN V ADMINISTRACIN DE RIESGOS AR'fCULO 15.- Factores de Riesgo La institucin deberrealizar sus auditoras de sistemas basadas en un anlisis de riesgos y cumpliendolasnormativasexistentes. Estaauditoria deber incluir todos los riesgos potenciales en la administracinde las Tecnologasde Informacin y Comunicaciones, incluyendo al menos los factores

siguientes:
Los usuariosexternose internos del sistema de informacin; E] ambiente de] sistema,la operatividad del sistemay susimplicacionessobre el negocio; Los niveles de accesoy la sensibilidad de la informacin; La calidaddela informacir La Tercerizacin (outsourcing);y Planes de contingencia desastres. 'ecuperaciJ

SECCIN IV AUDITORA INTERNA

ARTCULO 13.- Auditora de Sistemas La Auditoria Interna de la institucin deberaudtar la Tecnologa de Informacin y Comunicacin (TIC) a fin de verificar la integridad, disponibilidad y confidencialidad de la informacin. La persona(s) encargada(s) de auditar las TIC deber contar con experiencia y entrenamiento calificado para llevar a cabo este tipo de auditorias basadas en las mejores prcticas existentes en el mercado tales como COBIT e 180-17799.

ARTCULO 16.- Proceso de Auditora Basada en Riesgos El procesode auditoria basadaen riesgos deber $erpennanente y serevisardeacuerdoa los cambios ~n los factoresde riesgos. B.

IZEPLBfE.~ DE HONDI.;I~~T~GUClli~"f,~. .La institucin deber,conforme ala administracin y anlisis de riesgos, tomar las medidas necesarias para minimizar los impactos negativos en toda su infraestructura de Tecnologas de Infonnacn y Comunicaciones SECCIN VJ

1\1. D~,

lO~E DICrE~IBRE DEL 2~

N. 30.872

Identificar e implementar herramientas de seguridad informtica que asegurenque la informacin y el equipamiento, no sean utilizados en perjuicio de la institucin y los usuanos;
~ Controlar el uso IndebIdo le programas (utilitarios) o herraInientas ( le penni ten la manipulacin de los datos el los diferentes

SEGURJDAD DE LA INFORI\1ACIN
ARTCULO 1.7.-Administrador de Seguridad Informtica La Junta o Consejo deber nombrar a un Administrador de Segurdad Informtca, el cual deber estar subordnado a ia Gerenca General de la nstitucin. Las.funciones de este Administrador de Seguridad Informtica ser11definidas evitando conflictos de inters, por tanto deber ser independiente del ejecutivo espec"ializado responsable de la administracin de las Tecnologas de Informacin y Comunicaciones.

sisten1as; y, Desarrollar por lo menos una vez al ao, evaluacionesde seguridad a las tecnologas de informacin y comunicaciones de la ...,. mstltuclon.
L~ institucin deber proveer al Administrador de Seg~ridad Informtica los recursos necesarios y capa~itacincontinua para que cumpla sus funciones.

ARTCULO 19.- Separacin de Ambientes

L~ institucin deber procurar separar fisicarnente

y l$icamente los ambientes de produccin

desartollo y pruebas.

ARTCUl~O 18.- Perfil de Responsabilidades

La Gerencia General de 1ainstitucin deber definir las funciones y 1as responsabilidades de1 Administrador de Seguridad Informtica. Dichas funciones y responsabi1idades comprendern como mnimo las siguientes: Proponer a la institucin .laspolticas, normas y procedimientos de seguridad infonntica;

CAPTULO III INVESTIGACIN DE SEGURIDAD SECCIN NICA

ARTCUI-,O 20.- Evaluaciones de Seguridad Lasevaluaciones de seguridad debern medir la eficiehcia de los medios de proteccin e incluir propu~stas para corregir las vulnerabilidades. Sus result~dosdebern presentarse a la Gerencia General ~n un Ireporte de~llad? co~ recomendaci~ne~, que mclu~a ~n sumaria ejecutIvo con los pnncIpales

Documentar e implementar las polticas, normas y procedimientos de seguridad informtica aprobadas por la Juntao Consejo;
Verificar que los usuarios de los distintos sistemas y recursos tecnolgicos cumplan con las polticas, normas y procedimientos

ha1laztos.
Al~TCUIJO 21.- Implementacin de Cambios Pre{Vioa la imp1aI1tacin de cambios en: el an1biente de protluccin; los sistemas de alto riesgo definidos por la ~dmnistracin; y los servicios fmancieros por medios electrnicos, deber realizarse una evaluacin de seguridad. Asimismo, cuando ocurran cambios signifik:ativos en el ambiente tecnolgico en que operan1los sistemas de informacin, nuevo$ sistemas. o se imp1ementen

aprobados;
Tomar las acciones correctivas que garantjcen la seguridad informtica requerida, una vez que se hayan identificado violaciones;

~~LlC.~

DEH()NDUI{AS -TEGUCIGALp,,\. VI.~-"

10 DE DIC~Vl~I{E

DEL 2005

N. 30,812

ARTCULO 22.-0tras Pruebas de Seguridad Para evitar conflictos de inters y poder tomar las medidas cautelarescorrespondientes, las instituciones

usuarios internos y externos atendiendo su relacin

con las unidadesinternas,procesosy servicios. ARTCULO 27.- Control de Acceso Las polticas de control de accesoa los sistemas de informacindebern establecerse cumpliendocon las disposiciones vigentes y las mejores prcticas internacionales. Las institucioryes deberI1 utilizar tecnologas que combinen la identificacin y la autenticacin del usuario,conel objetode garantizar la confidencialidad e integridad de la informacin, el no repudio del usuario, controlar los accesosde alto riesgo a los sistemasde informacin, y en todos los casos de acceso remoto a los equipost~cnolgicosrealizados por los empleadosy terceros.
ARfcULO 28.- Tiempo de Expiracin La institucin deber fijar el tiempo de expiracin de una sesin, cuando iniciada la misma no se hayan ej~cutado actividades despus de cierto perodo de tiempo, determinado mediante un anlisis de riesgos o de acuerdo a las mejores prcticas internacionales.

podrn realizar otras pruebas por entes o protesionale ARTCULO 23.- Informe de Seguridad La GerenciaGeneral,paraminimizar los riesgos, deberimplementarlasrecomendacion~s contenidas en el in forme de seguri dad, y establ ecer un cronogramadeactividadesa realizar. CAPTULO IV CONTROL DE ACCESO, ENCRIPTACIN y SEGURIDAD EN LA RED
SECCIN 1

CONTROL DE ACCESO ARTCULO 24.- Identificacin de Acceso La institucin deber asignaruna identificacin nica y pe!sonal de cualquier usuario con accesoal sistemade inforrnacin,como una condicin previa a. la autorizacinde acceso.

ARTCULO 25.- Reglas y Procedimientos I SECCIN 11 para Acceso ENCRIPTACIN y SEGURIDAD EN A La institucin deber determinar las reglas y el RED procedimiento para dicha identificacin, as como para el otorgamiento de autorizaciones a terceros que ARTCULO 29.- Encriptacin de Informacin La institucindeberdeterminar,de acuerdoa un accedan a los componentes de la tecnologa de anlisis de riesgos, la necesidad de encriptar la infoffi1acin. Estas reglas debern tomar en cuenta informacina sertransmitiday almacenada. los riesgos derivados de las responsabilidades y autorizaciones dadas a los u~uarios de acuerdo a su ARTCULO 30.- Certificacin de la Identidad agrupacin, ascomo la sensibilidad de la infornlacin del Sitio de Internet y los derecho~ a las aplicaciones y a cualquier otro La institucin deber tornar las medidasnecesarias componente de la tecnologa. jparacertificar la identidad del sitio de Internet y evitar posibles imitaciones. Asimismo, deber proveer y L aL 1.11;) 1.1 I.Ul.;l UJ I deber 1.I1.I}!11; ntar mecanIsmos Fapacitar a sus clientes con las metodol.ogas y monitoreo de las para la administracin, control r:e~~ismos apropiados de identificacin en el acceso autorizaciones del sistema. al SItIO de Internet.

ARTCULO 26.- Clasificacin de Grupos y Asignacin de Perfiles de Usuarios Las instituciones debern adoptar una clasificacin de grupos y asignacinde perfiles de

ARTCULO 31.- Conexin de Internet La conexin de Internet de la insti tucin serealizar bn 10ssiguientes casos:

--o

--

I~EfJ;l.ICA DE HOND~S

-TE(;LC.I(;AL~~.

$. C., 10 DE !?l<:;;JEMBRE DEj~

N"o3~S72

ARTICULO 35.- Contraseas de Acceso La instituciones del sistemafinanciero debern 32 y 33 de estasno-mas; otorg aJosauditoresde sistemas de estaComisin, tcontr seas de acceso. irrestricto a todas as ) Serviciosti nancierospor medioselectrnicos, aplica ionesy objetosde sus$ist~mascon del-echos de s l~ctura, en los serVidoresde produccin y conforme lo dispuesto en los artculos 40 al desar 000; as como a todos los maestros, 67 de aspresentes normas; y, trans cionales e histricosqu~los auditores
3)

l'onexlnallnternet. por parte de empleados, con sujecin a lo establecido en los artculos

=ua]quier

otro

caso

aprobad!

cor

regule! n.

mticipacin, porlaComisin.

ARTCULO 32.- Operaciones Autorizadas

La Gerencia General de la institucin deber detenrunar las operaciones que sus empleados podrn realizar para la utilizacin del Internet, as[como cumplir con los requerimientos del siguiente Artculo.

La l canu-aseas otorgadas no debern tener fecha d~ c~d cidad,sin embargo,las instituciones. podrn el1mm rlas una vez que )os audItores de sIstemas inalic n la auditora. .
AdO ..iqnalmente las instituciones debern activabitco s deauditora en las reasde comunicaciones, sistem operativo y de base de datos para supervisar las acti idades que realiza el personal de la Comisin. Dichas bitcoras debern detallar las direcciones IP asigna 'as a cada computadora y el nombre de usuari ; ascomo, remitidas en archivo,selectrnicos a la Ge*encia de Informtica de la Comig,in, cuando sea requerido por la sta.
CAPJTUJ-,O V

ARTCULO 33.- Requisitos de Conexin de Internet Para que las estaciones de trabajo de los empleados tengan accesoal Internet debernestar conectadas l1icamenteal Internet, o a una red que estconectada exclusivamenteal Interneta travsde
servidores separados de la red de produccin.

Tampocodebe existir conectiyidadsimultneaentre la estacinde trabajo y los sistemasde produccin de la institucin, ni accesoa informacinsensitiva. La conexin a Internet deber estar controlada por los medios indicados en el Artculo 34 y con propsitos exclusivos de navegacin y de correo eiectrnico, sin poder descargararchivos.
j No obstante lo dispuesto en eJ. prrafo anterior, la institucin que mantenga una completa segregacin de su red interna, produccin e lnternet, podr descargar archivos de Internet, con los controles

PLAN DE (~ONTINUIDAD DEL NEGOCIO , , SECCJON UNICA

AR!CUI--,O 36.- Plan de Contingencias La Institucin deber mantener un plan de contin ncias detaflado para recuperar y operar su tecno.I ga de informacin en los casos de mal funcio amiento y desastres, Dicho plan deber enmar arse en ]os principios de respaldo y recupe- ci;n descritos en e] Artculo 37. La i stitucin deber examinar y revisar su plan de con ngencias atendiendo los cambios que han OCUlTid desde la revisin anterior. Dicha revisin deber ea)izarse como mnimo cada dos (2) aos, as co <1> cada vez que ocurran cambios Signific tivios. Asii~Sl:nO, al menos anualmente y cuando ocurran cambio~ significativos, la institucin deber realizar y documentar pruebas de sus procesos de respaldo y recup~racin.

aaecuados. ARTCULO 34.- Resguardo de la Conexin de Intern~t

La conexin de la red de la institucin hacia Internet deber encontrarse asegurada por lo menos con: unantivirus, un filtro de contenido, un Sistema de Deteccin de Intrusos (IDS) a nivel de red y un firewall.

B.

~~_I,,-ICr\

DE HONDUI{:S" TEC;UCIgl~A,

:\I,p.C.,

10 DEDIC.IE:Y1BI{E ~L2005

30,872-

Los equipos de almacenamiento de 10sTespaldos de informacin 010s respaldos en s debern estar localiz:ados en un lugar distante y djstnto en donde se gener la copadeJa nformacn orignal.

La insti1ucin deber tomar las medidas que aseguren la posibilidad dereconstruirla informacin, tanto de las copias de respaldo, como de la informacin retenida en medios que ya no son utilizadbs. ARTCULO 37.- Principios de Respaldo y

Dentro de} contexto de }a discusin, deber tomarse una.decisin sobre los procedimientos de respaldo (incluyendo quien .lo hace y ~u ,documentacin}, as como .las inversiones en las facilidades derespaldo.,para los sistemas importantes quefueron definidos en las disposiciones del numeral 2}anteriordel presente Artculo.

CAPTULO VI A TERCERIZACIN SECCIN NICA ARTCULO 38.- Tercerizac.in La institucin podr contratar con una entidad extema,larealizacin de las siguientesactividades:'la ;dmjnistracin, procesamIentoy resguardo de las pperaci9nes de informacin, as como el desarrollo pe sus sistemas, servicios de consultora,patentesy ptros serviciosrelacionadoscon-lasTIC. Cuandosetratede la realizacinde las actividades siguientes,la contratacin con terceros deber ser hechade) conocimiento de la Comisin previo ala suscripcindel.contratorespectivo: (l)La Tercerizacin de sistemascentrales;y,
(2) El almacenanientode informacin de cualquier tipo, con respecto a los clientes de la institucin, en sistemas que no se encuentran ~entro de su control exclusivo. La contratacinde las actividades antesenunciadas se considerar como una forn1a de Tercerizacin Significativa. En tal caso, la Conllsin podr formular observaciones relacionadas con la seguridad, donfiabilidad y eficiencia en la prestacin del servicio ~l pblico. En este y en todos los dems casos de Tercerizacin Significativa, la institucin deber gerciorarsede la experiencia, capacidad yla viabilidad ~conmicadelproveedor de los servicios. Asimismo, qeber examinar, con antelacin, la idoneidad de sus ~ualidades y calificaciones para desempear los ~ervicios requeridos.
,

Recuperacin
La adrriiniso-acin de la institucin deberrelmirse

anualmente para discutirlos principios derespaldoy recuperacin, as como tomar decisiones y documentardetalladamente, conbase en un anlisis de riesgqs,los siguientestemas:
Definicin de las situaciones de mal funcionamiento y de desastre para todas las unidadesorgaI1izacionales y las implicaciones en las operacionessubsistentesde lamstitticin.

2) Definicin de los procesos vitales delnegocio, los sistemas de infonnacin relevantes parala operacincontinua, la manera en que podra garantizar la continuidaddel negocioenelcaso de unmal funcionamientoy desastre, y definir todo el software,hardwarey componentes de comunicaciones relacionados. 3) Aspectos de recuperacin y respaldo, que
incluyan las rutinas de respaldo, su duracin, r frecuencia, medio, tiempo mximo de estar fuera de servcio y el. proceso para volver a prestar los servicios que la Gerencia General haya definidocomocriticospara la continuidad

de! negocio.
4). Relacin de dependenciaen entidadesexternas, para yolyera prestar el servicio de sus sistemas de informacin en el caso de una interrupcin, as como el tiempo de recuperacin requerido por la institucin para retomar ala operatividad normal en sus sistemas de informacin.

ARTIC VLO Tercerzacin

~n contrato escrIto.
La Tercerizacin .

39.- Contrato
deber realizarse

Escrito
por medio

de
de

N".

~PBLICA

D~_HONDlJRAS -TEGUQALPA,

!VI.D. ~,---tO DE D[CIE~RE

DEL 2005

N. 30,872

Con respectoa la TercerizacinSignificativa, el c.on~rato deber contener,como mnimo, los temas sIguIentes: Las responsabilidades de todas las partes, incluyendo las dejos sub-contratistas.
2) Una introduccin, alcance del trabajo, formas de comunicacin, pistas y funcionamiento, administracin de los problemas, compensacin, obligaciones y responsabilidadesde los clientes, garantas y arreglos,fianzas, derechos sobre la propiedad intelectual y de informacin confidencial, cumplimiento y jurisdiccin legal sobre el contrato, causas de terminacin, generalidades, firmas y, por ltimo, cronogramas.

~ Lo dispuestoen el presenteArtculo no exime, a a ~n~tituc.in., de .responsabilidad por cualquier ctIvl.dad !legal efectuada por el proveedor con es,pecto de los servicios contratados. CAPITULO VII SERVICIOS FINANCIEROS POR MEDIOS
,

ELECTRNICOS
SECCIN 1 SERVICIOS y OPERACIONES DE BANCA

ELECTRNICA
ARTCULO 40.- Servicios y Operaciones de Banca Electrnica Los servicios y operaciones de bancaelectrnica, permitirna los clientes obtenerinformacin de sus quentas, realizaroperaciones o dar instrucciones para r~alizartransacciones en su nombre, a travsde los siistemaselectrnicos conectados af sistema de Rroduccin de la institucin.
ARTCULO 41.- Niveles de Servicios Los servicios de bancaelectrnica se categorizarn eln distintos niveles, e incluirn los servicios de los diveles que les preceden.
I

3) Las obligaciones de confidencialidad y seguridad de la informacin, asr como las situacionesde emergencia. 4) Arreglos para la terminacin del contrato y corno resolver disputas. Dentro de este contrato deber mencionarlos acuerdosque habilitena la institucinparaoperar y mantener la actividad de la Tercerizacin, .en situaciones en que la entidad externaquiera cesarcon el servicIO. 5) Las facultades suficientes para que la actividad
del proveedor de servicios para la institucin pueda ser auditada por la institucin contratante y por la CNBS respecto de lo~ servicios contratados.

.Nivel de Servicio 1: Transferir informacin desde la institucin hacia el cliente (estados de cuentas). .Nivel de Servicio 2: Transacciones y actividades en las cuentas del cliente de la institucin, como son:. transferencia hacia depsitos, adquisicin de fianzas, transferencia de cuenta a cuenta, solicitud de chequeras y cualquier otra transaccin similar. .Nivei de Servicio 3: Transacciones definidas, por adelantado, por el cliente, en beneficio de una lista de beneficiarios.

6) El procedirrlientopor el cualla institucin pueda obtener los datos, los programas fuentes, los manuales, y1a documentacin tcnica de los sistemas, ante cualquier ~itucinque pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el. mercado, a fin de poder asegurarla continuidad del.procesamiento.

7) Exigir una completa separacin de datos del cliente respecto de los del proveedor o de cualquierotra institucin.

Nivel de Servicio 4: Transacciones en beneficio de cuentas,que no estn incluidas

en uno de los niveles de servicios antes

mencionados.

B.

La ~on~ase~~mciaI deber ser.otorgada al cliente I en la mstItucIon o por cualquIer otro canal de comunIcacin seguro que la institucin estutilizando.

SECCIN VI MEDIDAS DE CONTROL ARTICULO 49.- Aplicacin de Medidas de Control de Banca Electrnica Las disposiciones de esta seccin aplican al software de banca electrnica desarrollado por terceros (outsourcing) o internamente por la " .., m$tItuclon.
ARTCULO 50.- Validaciones Las aplicaciones deben efectuar validaciones en odos los campqs de entrada ubicados en las formas e las mismas, las validaciones deben incluir como rumo controles de longitud mxima y mnima ermitida, as como caracteres permitidos en los ampos. La aplicacin no debe ejecutar instrucciones irectamente a la base de datos,. enJugar de esto se ebern utilizar mecanismos alternos, como procedimientos almacenados.

Para activar una cuentade usuario la institucin deberimplantar los mecanismos que garanticenel no repudio por parte del cliente.
ARTICULO 47..- Cambios de Contraseas La institucin deber realizar los cambios de las contraseas de los usuarios en los casos siguientes: (l)lnmediatamente despus de la primera conexin. El programa deberpedirle arcliente cambiar su contrasea inicial. (2) Peridicarnente,de acuerdo al tiempo definido en la poltica de seguridad definida por la institucin. ARTCULO 48.- Cancelacin de Contraseas de Acceso La institucin deber cancelar las contraseas de sus usuarios cuando ocurra alguno de los siguientes casos: (1) Si pasa un perodo de tiempo, el cual no debe ser superior a treinta (30) das y la contrasea inicial no ha sido utilizada;

Todas las transaccionesde los usuarios deben ser almacenadas en una bitcora que permita Iievisiones.
ARTCULO 51.- Proceso de Encriptacin El proceso de encriptacin deJascontraseasdebe realizarse a travs de algoritmos de encriptacin mundialmente aceptados' y que no se hayan 4es~ifrado; tambin debe incluir un Valor SALT para ~roteger la contrasea contra ataques de diccionario d fuerza bruta. En el cdigo de la aplicacin no debe e5tarescritaninguna contraseao llave para encriptar cpntraseas. ARTCULO 52.Implementacin de

(2}Cuando el usuario 10 requiera o cuando la institucin sospecheque la contraseafue utilizada sin la respectivaautorizacin;
(3) Despus de un nmero de intentos fallidos para entrar al sistema. ste nmero deber ser determinado por lainstirucin, el cual no deber exceder ms de cinco (5} intentos fallidos; y,

Controles
l. ~a .aplicq~in debe im~~antar contro!es que mInImICenel nesga que la seSl0nde unusuanopueda s(j:r obtenida o interceptada por un tercero para obtener at;ceso al sistema con credenciales previamente i~~esadas.

(4) Despusde seis (6) mesesde no utilizar1as contraseas enlos sistemas paralos que fueron creados.
Una institucin podr desbloquear contraseas inhabilitadas debiendo identificar plenamente al usuario que lo solicite. En todo caso, debercumplirse con lo dispuesto en el Artculo 46.

La identificacin o administracinde la sesin debeserllevada a cabopor la aplicacin ynopor el Servidorde Internet de la institucin, la aplicacin

B.

debe generar un nmero nico y aleatorio desesi!l para cada nueva sesin. La aplicacin debe ellmmar .lassesionesinactivas despus de determinado perodo de tiempo.

AI~TICUI-,O 53.- S~paracin de Servidores

La base de datos de.!a institucin debe estar en un servidor separado de.! servidrdeJnternet o , servidor de aplicaciones. ART C U 1--,054.- Proceso de Autenticacin de Usuario Para autenticar a un usuario la aplicacin deber en fa medida de 10posible solicitar ademsdel usuario y la contrasea, un campo de cohtrol con letras y nmeros aleatorios que el usuario debe ihgresarafin de evitar ataques de denegacin de servicio

AI"{TCUI~O 55.- Medidas de Resguardo paj-a Informacin til Las aplicaciones deben asegurar que ningn parmetro con int~rmacin iti1 para un posible atacante viaje a travsde.l navegador de! cliente y~ fvitar que e~tosparmetros ~uedan ser manipuladQ,jincluyen mveJ de URL.

ARTICULO 56.- Acceso Restringido

La aplicacin debe asegurar que 10susuarios de la misma tengan acceso s01amentealas funciones,

recursos y datos que estn especificamente

autorizados a acceder.

~1~T.CULO 57.- Acceso al Sistema de Banca Electrnica En cada accesoal sistemade banc~electrnica,
la pantalla debermostrar al cliente, detalles del tiempo

automatizado.
En caso deno cumplir con el prrafo anterior, el nombre de usuario no debe ser una direccin de correo electrnica o algn valor que pueda ser adivinado y utilizado para efectuar ataques de diccionario o fuerza bruta. Esta pgina de ingreso y en general todas las pgiJ1as delaplicativo deben transmitir la informacin a travs de un canal seguro, que garantice que la informacin no se enve en claro y que el usuario tenga certeza de quien le solicita sus credenciales. ~i el usualio ingres sus credenciales en forma equi'yocada,la aplicacin deberpresentar un mensaje de error genrico., por ejemplo "Acceso no Autorizado" y no presentar mensajes descriptivos coro "Usuario no Existe" o "Contrasea Incorrecta".

de su ltima conexin y la direccin IP de dondese conect.

ARTCULO 58.- Impresin y/o Resguardo de Instrucciones El usuario podr, hasta donde seaposible, guardar, y/o imprimir en tiempo real., todos los por menores cie la instruccin que fue dada,

ARTCULO 59.- iVledidas para Evitar Accesosno Autorizados La institucindebertomarlas medidasque estn ~entro de su control para evitar el acceso no :l.utorizado.. Tambindeber proteger la exposicin <!le informacin, tal como la relativa a la cuentade1 ~liente,prev~nirque sepueda guardarla contrasea en el exploradorde rnternet, prevenir que sepuedan almacenar laspginas de Internetenla memoriacach y otros datos y mecanismos que exponganlos datos sensibles delcliente. SECCIN VII OPERACIONES DE BANCA ELECTRNICA A FAVOR DE TERCEROS, POR MEDIO DE UNA LISTA DE

Para evitar que un atacante obtengainformacin que le ayude a conocer detalles particulares de la tecnologa utiizada y as enfocar sus acciones,la aplicacindebecapturary manejar todoslos mensajes y condiciones de error qu~ puedan presentarse duranteunasesin,incluyendo mensajesdeJ sistema operativo o de la basede datos.

BENEFICIARIOS
ARTCULO 60.- Transacciones de Banca Electrnica a Favor de Terceros Las fi-ansacciones a favor de terceros,querealice un cliente por medioselectrnicosdebernsujetarse B.

I:!QNDURAs:-:: ~CIGALrA,M,-Q.

C., 10DE DI~tBRE

D.EL~05

N. 30,~2

a techoso topesque debern serdefinidosenla fonna siguiente: Los topeso techosserndeterminados por la institucin ';Ira cliente para aplicar a las transacciones que acreditenlas cuentas delos beneficiariosa que se refiereef Artcuf06l. Los techoso topespara las transacciones que acrediten a otras cuentas se sujetarn al procedimientodescrito en el Artculo 62. ARTCULO 61.- Transmisin de Datos Cuando el cliente imparta una instruccin para efectuarun pago a un terceroa travsdel servicio de bancaelectrnica, la institucindeber requerirle que especifiquelas particularidadesdel beneficiario y la naturalezay frecuenciadepago.
La institucin deber transmitir los datos del

ARTCULO 64.- Actualizacin de Lista de Beneficiarios El cliente debermanteneractualizadasulista de beneficiarios y todassusparticularidades, incluyendo lo~ techos o topes de Jospagos a favor de cada beneficiario.Cada institucin deberinformara sus clientes )as implicacionesencasodequeel.clienteno m~tengaactualizada la lista. SECCIN VIII

CORREO ELECTRNICO
ARTCULO 65.- Correo Electrnico La institucin deber determinar los tipos de operacionesque sus clientes podrn realizar por 6edio de correoe.lectrnico.
La institucin deber tomar en cuenta el grado de necesidad de inequvoca identificacin de un cliente ~nviando correo electrnico, de autenticacin y de ftseguramiento de los contenidos del mensaje, preservando la confidencialidad en la infonnacin y tI no repudio, conforme a los tipos de operaciones $ealadasen el prrafo anterior. ARTCULO 66.~ Procedimiento Formalizado La institucin debercontar con un procedimiento formalizado para mantener ~lectrnicas con1osclientes.
,

pagador y cuando fuese posible, la naturaleza y frecuencia de pago, as como presentarlos claramente en el resumen de la cuenta del beneficiario. ARTCULO 62.- Establecimiento de Techos para las Operaciones Autorizadas Los montos mximos de las transacciones para acreditar a otras cuentas, sern detenninados para cada cliente parla institucin, y debern serrespetados tanto por el cliente como por la institucin. ARTicULO 63.- Lista de Beneficiarios La institucin deber mantener almacenada en medios electrnicos, una lista de beneficiarios por cada cliente que use el servicio de banca electrnica, la cual deberseaprobada y actualizada por el cliente. Al cliente se le deber permitir enviar las modificaciones de la lista de beneficiarios directamente a la institucin o en forma electrnica, segunlo considere ms conveniente la institucin. El envo electrnico estar condicionado a la utilizacin de tecnologa provista en el segundo prrafo del Artculo 27.

comunicaciones

ARTCULO 67.- Envo de Normas de Revelacin de Informacin La institucin podr hacer llegar a sus clientes, )por medio de correo electrnico o por su sitio de ]ntemet, las notificaciones que suspolticas o normas ~e revelacin de informacin le pernritan, as como qualquier otra informacin relacionada a las ~bligaciones deconfidencialidady estas notificaciones <febern estarestipuladas en el contrato que el usuario firma segn lo establecido en los Artculos 42 y 43. ~dicionalmente, debern cumpiirsea cabalidad los diguientes trminos y condiciones: (1) La terminacin de los requerimientos del cliente.
serV1C1OS a

~EPBLICA-DE B.

!{EPUBLICA O_E HONPURAS -TEG{;C.l(;~LPA:M._D,

C., 10 DE DTO1;!-vLBRF: DEL 20~

N. 30,872

(2)La existencia de mecanismosoO1edios que permitall a .la institucin dete!mipar inequvocamente si el cliente recibi el correo..

(3 La transn1Jsindecorreo de la institucionhacia
el cliente deberhacersea travs de un ambiente seguro)IOmaIldolas medidas apropiadas que protejan la confidencialidad deJa infom1acin.

ARTCUI~O 69.- Programa de lleporte de Eventos Los reportes sealados en los numerales l)y .2) del Artculo anterior, debernserregistrados utilizando ~1 Programa de Reporte de Eventos que est a ~isposicin de las instituciones supervisadas en1a . red de interconexin financiera de la CNBS. Los reportes mencionados en el Artculo 68 numerales 3).a15) y la comunicacin a que serefiere el Artculo 70, debern ser enviadas a 1aComisin con la documentacin que soporta tal evento; l"os reportes establecidos en los numerales 1} y 2) del Artculo anterior, debern enviarse dentro de lbs siguientestres das hbiles a la fecha en que hubiere ocurrido el evento. Los reportes establecidosen}os numerales 3) al 5fde.Jrnsmo, debern ser enviados Contreinta (3Q) das de anticipacin a su entrada en funcionamiento.

CAPTUI..O VIll OPERACIONES ESPECI1-\!"ES SECCIN NICA

ARTCUI-,O 68.- Remisin de Informacin La institucin deber llevar .J"egistros, estadsticas y a la vez comunicar a la Comisin, los siguientes

temasy eventos: ) Eventosexcepcionales talescomo: intentosde ataques y penetraciones significativas, as como todos los incidentes de penetracina los sistemas; inoperati\ridad delsistemacentral o de produccin, operacin del plan de emergencia o cualquierotro similar;
2D

CAPTULO IX BANCA DEL EXTERIOR Y lVIEDIDAS DE SEGURIDAD SECCIN 1 BANCA DEL EXTERlOR
ARTicULO La aplieacin 70.de Aplicacin las presentes Especial normas a las

La discontinuidad de servicios significativos para sus clientes, como consecuencia de un cierre no pJanificadode los sistemas computarizados que dure ms de un da de I I t trabajo;
Eresta,blecimiento o auxllar que de se de una sociedad ocupe del relacionada de las

3}

insti,tuciones o Inlembros operan i

subsidiarias de Grupos

?eins~ituciones FmanCle!OS na~ional, preyia

e~tranjeras extranjeros que a a o

campo

tecnologas para 10 cual

iriforn1acin

de la institucin; previa norma de la sobre esenciales financiera;

en el territorio

podr

adaptarse

requerir conforme auxiliares

autorizacin a la

sus necesidades la Comisin, procedimientos matrices.

particulares cuando utilicen

comunicacin medios, sus casas

Comisin sociedades

sistemas, en o por

o de servicios

establecidos

a las actvidades

de ntermedacn

4) L4 decisin <:te aJ1ticiparcambiossignificativos sobre las poJ.ticas de administracin de las tecnologas de inforn1acin, la migracin y

ARTCULO 71.- Banca del Exterior

Cuando las presentes no"mas se apliquen a las iqstitucionessubsidiariasde instituciones extranjeras o miembros de Grupos Financieros extranjeros que operan en el territorionaciona1, se incorporarn 1as siguientes modificaciones a1 texto: a) La expresin "tecnologas de infol111acin y

conversin

computanzados; y, 5) La decisin de expandir los niveles de.servicio o una nueva iniciativa de proporcionar servicios

de sus sistemas centrales

tinancierospor Medios Electrnicos.

comunicaciones",debercompletarseconla B.