Resume N Politic As I

Seguridad de Informacin
Poltica General
Revisin Enero/2012
Vigencia Maro/2012

Poltica General de Seguridad de Informacin

Vigencia Marzo/2012 Pgina 1
PGSI
Establecer e implantar Polticas de Seguridad de la Informacin que permita controlar el
entorno lgico y fsico de la informacin estratgica de BANCARD, teniendo en cuenta los
criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad y no repudio
de la informacin.
1. Poltica General
Introduccin
La informacin es un activo importante de nuestra organizacin. Bancard tiene como uno de los objetivos
principales asegurar los recursos informticos incluyendo los sistemas de computacin, las redes de
computadoras, las comunicaciones y sobre todo los datos en cualquier medio en que estn almacenados
ya que son parte integral de los servicios y gestin de la empresa.
Para la adecuada gestin de la seguridad de la informacin, la Direccin de Bancard ha decido implantar
un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos
claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la
organizacin.
El sistema de administracin de la seguridad est basado en los siguientes estndares:
PCI DSS Payment Card Industry Data Security Standard: estndar desarrollado por un
comit conformado por las compaas de tarjetas medios de pago ms importantes, como una
gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de
tarjetahabientes a asegurar dichos datos, con el fin de prevenir los fraudes que involucran
tarjetas de pago.
ISO 27001: estndar para la seguridad de la informacin aprobado y publicado como estndar
internacional en octubre de 2005 por International Organization for Standardization y por la
comisin International Electrotechnical Commission. Especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la
Informacin (SGSI).
MCIIEF: Manual de Control Interno Informtico constituye una norma de cumplimiento
obligatorio, en el cual se indican los requisitos mnimos de Control Interno Informtico a
implementar en las entidades Financieras fiscalizadas por la Superintendencia de Bancos del
Banco Central del Paraguay.
A travs de las medidas de proteccin definidas en el cuerpo normativo de seguridad de informacin, la
compaa pretende garantizar la proteccin de los activos de informacin propios o en su custodia.
Objetivo
Establecer las directivas generales relacionadas con la Seguridad de Informacin que junto con las dems
polticas por asunto, las normas y los procedimientos que sean aprobados como tales, constituyen el
cuerpo normativo para la seguridad de informacin de BANCARD.
Las polticas, normas y procedimientos han sido establecidos con el fin de garantizar:
1. La confidencialidad de la informacin
2. La integridad de la informacin
3. La disponibilidad de la informacin
Alcance
Esta poltica se aplica en todo el mbito de la organizacin, a sus recursos tecnolgicos y humanos, a la
totalidad de los procesos internos o externos, a los proveedores y prestadores de servicios, otros,
terceros, que de alguna forma pudieran tener alguna manera habitual u ocasionalmente interacten
informacin o con los equipos y dispositivos que la almacenen, transmitan y/o procesen.
Administracin
Estas polticas debern ser revisadas para su actualizacin por lo menos una vez al ao o cuando algn


cambio en el entorno funcional lo requiera.
Responsables del Cumplimiento
Todo el personal de Bancard y los terceros, que interactan de manera habitual u ocasional con los
activos de informacin, son responsables de informarse del contenido del cuerpo normativo de seguridad
de informacin, cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales.
La Poltica de Seguridad de la Informacin es aplicable en forma obligatoria para todo el personal de
Bancard, sin interesar su relacin con la empresa, el rea al cual se encuentra afectado o el nivel de
tareas que desempee.
El incumplimiento de la Poltica de Seguridad de la Informacin tendr como resultado la aplicacin de
diversas sanciones, conforme a la magnitud y caracterstica del aspecto no cumplido.
Sanciones Previstas por Incumplimiento
Empleados y Personal Contratado
El empleado o personal contratado que no cumpla con lo expresado en esta Poltica de Seguridad de la
Informacin, ser sancionado conforme a lo dispuesto por el Reglamento Interno Bancard S.A.,
especficamente en los NUMERALES 21 al 25.
Prestadores de Servicios y Proveedores
Se sancionar al prestador de servicio o proveedor que incumpla lo dispuesto en la presente Poltica, con
la cancelacin inmediata del contrato vigente siendo motivo de causa justificada y sin que esto represente
alguna obligacin de indemnizacin por parte de Bancard al prestador o proveedor.
En General
Adems de las sanciones disciplinarias o administrativas el empleado, el proveedor o prestador afectado,
que no da debido cumplimiento a sus obligaciones con respecto a estas polticas podrn incurrir en
responsabilidad civil o patrimonial - cuando ocasione un dao que debe ser indemnizado- y/o en
responsabilidad penal -cuando su conducta constituye un comportamiento considerado delito por el
Cdigo Penal y las leyes vigentes de la Repblica.
2. Seguridad Fsica
El acceso fsico a cualquier activo de informacin tangible tales como Servidores de Datos,
elementos de red, servidores en general, documentos y otros elementos crticos de la
infraestructura como transformadores, antenas, paneles elctricos, debe estar correctamente
restringido.
Esto se aplica sin excepcin a los activos de informacin del segmento de red que alojan,
procesan o transportan datos del tarjetahabiente y/o los datos de autenticacin del
tarjetahabiente.
2.1. Zonas Protegidas
Se define 3 tipos de zonas segn el nivel de proteccin que se le da a la misma:
rea Alta Seguridad: Comprende lugares donde se administra informacin confidencial o
superior (PAN, PIN, Banda Magnetica, llaves de cifrados, etc.). Data Center, Centro de
Embozados, Sala de Monitoreo de Seguridad.
Area Crtica: Donde se administra informacin resultante del proceso de datos, donde estn
instalados o almacenados equipos e insumos crticos.
Area Restringida: Donde se administra informacin de difusin limitada o pblica. Todos los
pisos del edificio Bancard, con excepcin de la Planta Baja, estn en esta categoria, como as
tambin areas administrativas de las sucursales y otros edificios utilizados.
2.2. Control de acceso fsico
El acceso a dependencias que se considere crticas, sern controlado por medio sistemas que controlen


el acceso.
Las zonas de Alta Seguridad y las Zonas Crticas deben contar con sistemas de control de acceso con
tarjetas de proximidad y/o sistemas biomtricos que limite la entrada/salida, adems de cmaras de
CCTV, detectores de intrusin y otros medios de vigilancia que permita alertar intentos de accesos no
autorizados.
Los registros de estos controles deben ser almacenados por lo menos por un ao o en conformidad a lo
estipulado por la ley.
Estos lugares debern contar con carteles externos que indiquen la restriccin aplicada y en su interior
contar con carteles y avisos que enfaticen temas de Seguridad. Las puertas tendrn sistemas de control
de tiempo de apertura con alarmas.
2.3. Personas
Todo visitante ser registrado en los accesos principales del edificio. El Guardia de Seguridad de turno
gestionar la autorizacin de ingreso con la persona visitada. El visitante recibir una tarjeta de visitante
identificada por colores que indica el piso al cual acceder en forma exclusiva.
Los visitantes, funcionarios y proveedores deben portar la tarjeta de identificacin en lugar visible y en
forma permanente dentro de las instalaciones de Bancard.
El ingreso de una persona no autorizada a reas crticas, deber ser solo con el acompaamiento, en
todo momento, de alguna persona responsable del rea.
Los medios utilizados para accesos de empleados y Proveedores, como ejemplo tarjetas, perfiles de
usuarios, etc. sern desactivados o eliminados una vez que terminen vnculos laborales. La tarjeta de
acceso ser recuperada y las cuentas bloqueadas y/o eliminadas.
En caso de prdida de una tarjeta de acceso se comunicar inmediatamente a RR.HH. o Seguridad de la
Informacin para desactivarla. Se debe mantener un registro de movimiento de las tarjetas de accesos
para casos de necesidad de investigacin. Los sistemas de control de acceso sern monitoreados
permanentemente por el rea de Seguridad.
Todos los empleados deben tener especial cuidado de no permitir el paso a personas no autorizadas a
reas restringidas.
Como mecanismo de prevencin se prohbe comer, beber o fumar dentro del centro de cmputo o
instalaciones con equipos tecnolgicos.
Todo maletn, caja o bolso deber ser revisado por personal de seguridad en el ingreso o salida de las
instalaciones.
2.4. Equipos, Puestos de Trabajo y Otros Recursos
Todo equipo informtico, sean propios o de terceros, que procesen informacin o posean alguna
conectividad con los sistemas de Bancard, deben cumplir con normas de seguridad fsica que eviten el
acceso a los mismos de personas no autorizadas.
Los computadores, notebooks, equipos de comunicaciones, telfonos, etc. no deben moverse, reubicarse
o ser sacados de las instalaciones sin autorizacin de la Gerencia de Produccin e Infraestructura.
Los servidores de datos, de aplicaciones y equipos de comunicaciones estarn ubicados en lugares
seguros de acuerdo a lo que definen las mejores prcticas de la industria y las normas en las cuales se
basan nuestras polticas.
Los documentos relacionados a direcciones IPs internas, configuraciones y cualquier otra informacin de
sistemas de comunicacin y cmputo son de carcter
Las salas tcnicas de distribucin de cableados, la sala de resguardo de cintas, discos, documentos
relacionados a redes sern con acceso restringido y controlado.
Ninguna estacin de trabajo o notebook podr ser conectada a la red sin antes ser verificadas y
autorizada por la Gerencia de Produccin e Infraestructura. Las tomas de redes no utilizadas estarn
desactivadas.
No se proveer informacin en carteles o sealeticas sobre ubicacin de Sitios de Alta Seguridad (Data
Center, Embossing, HSR, Salas Tcnicas, etc.)


No se instalarn lneas telefnicas, canales de transmisin de datos, mdems, o cambiar configuracin de
instalados sin autorizacin correspondiente de la Gerencia de Produccin e Infraestructura.
2.5. Proteccin fsica de la informacin (Datos)
Todas las personas que trabajan para BANCARD y/o aquellas designadas para trabajar en actividades
dentro de sus instalaciones (consultores y contratistas) son responsables del adecuado uso de la
informacin suministrada para tal fin por lo cual se debe velar por su integridad, confidencialidad,
disponibilidad y auditabilidad.
Toda informacin crtica secreta, confidencial y privada en cualquiera de sus formas (impresos,
magnticos, electrnicos, etc.) deben estar resguardadas debe estar provista de la seguridad necesaria
por quien la maneja para evitar el uso indebido por parte de personal no autorizado.
Para resguardar la informacin critica de Bancard, no se habilitan dispositivos de grabacin en medios
magnticos como grabadores de CDs, DVDs, tampoco se habilitan los puertos USB para dispositivos de
almacenamiento masivo como Pen Drive, disco externos, cmaras fotogrficas, etc.
3. Permetro (Comunicaciones y acceso a la red interna)
Los sistemas de comunicaciones como la red interna, deben estar adecuadamente limitados y
protegidas por elementos de red tales como firewalls, routers, u otra tecnologa que realice un
control de acceso a las mismas. Toda informacin crtica que trafica por las redes de
comunicacin de BANCARD deber estar cifrada.
3.1. Control del permetro Componentes de Red
Se debe instalar y mantener firewalls o componentes de red con funciones equivalentes para proteger a
los segmentos de red con datos crticos contra accesos no autorizados desde el exterior, desde una zona
desmilitariza (DMZ), o el interior de la red. Estos debern estar configurados conforme a las normas que
rigen estas Polticas (PCI DSS, GVCP, MCIIEF, ISO 27001).
Deben guardarse registros de auditoria de conformidad a los requerimientos de normas vigentes que
rigen estas Polticas.
3.2. Conexiones con redes pblicas e Internet.
Para limitar el acceso a segmentos de datos crticos se establecern zonas desmilitarizadas (DMZ).
Las conexiones a los segmentos de redes de servidores crticos, estar restringido a lo estrictamente
necesario.
Las redes inalmbricas se consideran no confiables por lo tanto no se permite el acceso a la red interna
utilizando conexiones WiFi.
No est permitido conexiones a travs de mdems (dial-up y/o USB u otro dispositivo de conexin)
conectados a estaciones de trabajo y que estn simultneamente conectadas a una red de rea local o a
otra red de comunicacin interna. No est permitido establecer conexiones va mdem u otra va hacia la
red interna o desde ella hacia el exterior.
El acceso a salas de chat y mensajera instantneas solo ser habilitado a funcionario o proveedor de
servicio que justifique plenamente su utilizacin previa autorizacin de la Gerencia General.
No se utilizar computadores y herramientas de comunicacin de Bancard como el correo, los boletines
electrnicos, salas de chat, entre otros, para discutir o comentar temas relacionados al negocio.
Todo funcionario, prestador de servicios o proveedor, deber adecuarse a las normas de seguridad
definidas para compartir sus recursos informticos.

3.3. Conexiones a redes amplias y locales.


Las redes amplias (frame relay, fibra ptica, etc.) debern estar divididas en forma lgica y contar con
mecanismos de control perimetral y de control de acceso. Las redes de comunicacin local sern
segmentadas, siempre que sea posible, de tal forma de mantener independencia entre las mismas.
3.4. Internet
Todos los empleados y prestadores de servicios de Bancard debern adecuarse a las leyes vigentes en
el pas, sobre derechos de reproduccin, patentes, marcas registradas y todo lo relacionado con derechos
de autor que se aplican en Internet.
Los empleados y prestadores de servicios de Bancard no podrn participar o publicar mensajes en grupos
de discusin de Internet, foros, boletines electrnicos, o cualquier otro sistema de informacin pblico,
temas relacionados a la empresa sin expresa autorizacin.
No est permitida la instalacin de software o archivos obtenidos de Internet. Los empleados y
prestadores de Bancard deben conocer las implicancias legales que acarrea la instalacin de software no
autorizado.
No est permitido el uso de los equipos de Bancard para el acceso a Internet con fines personales.
Se cuenta con aplicaciones que monitorean las actividades en internet como accesos a web mail, salas
de chat y mensajera instantnea de los empleados y prestadores. Los empleados son informados de esta
situacin por la misma aplicacin.
Los empleados que accidentalmente se conecten a pginas de Internet que tengan contenidos sexuales,
racistas o cualquier otro tipo de material ofensivo debern desconectarse inmediatamente por el riesgo
que estas representan y debern informar a su superior, para que los sitios sean bloqueados.
3.5. Conexiones con terceros
La conexin entre sistemas internos de BANCARD y otros sistemas (de terceros) debe ser aprobada y
certificada por el rea de seguridad informtica con el fin de no comprometer la seguridad de la
informacin interna.
Se llevarn a cabo inspecciones a los sistemas de comunicacin y de aplicaciones de terceros con el fin
de verificar que informacin se est manejando con las normas de seguridad acordadas.
3.6. Aspectos Generales sobre redes internas
Toda informacin crtica que trafica por las redes de comunicacin deber estar cifrada, para lo cual se
deben utilizar protocolos y criptografa solidas.
Las direcciones internas, configuraciones e informacin relacionada con el diseo de los sistemas de
comunicacin y cmputo de la entidad debern ser tratadas como informacin confidencial.
Se deber propiciar la segmentacin las redes de comunicaciones de tal forma que los usuarios
mantengan una independencia sobre las mismas.
Los componentes de red deben guardar registros de auditoria de conformidad a los requerimientos
indicados en el capitulo "Registro de Auditoria".
3.7. Servicios Internos
Intranet
La informacin que se publique en la Intranet, debe contar con la aprobacin de la Gerencia General y del
propietario de la informacin involucrada.
El material que se publique en la Intranet debe ser revisado previamente para confirmar la actualidad,
oportunidad e importancia de la informacin y evitar que los programas incluyan virus y/o troyanos.
La informacin de Intranet debe ser nicamente utilizada por personal autorizado. Los empleados no
deben redireccionar informacin que aparezca en Intranet a terceros sin autorizacin.


Correo Electrnico
Se establecer normas para proteger la confidencialidad y privacidad de la informacin que circule a
travs de servicios de correo electrnico.
El correo electrnico no debe ser utilizado por terceros (clientes o proveedores) sin previa autorizacin.
Los contratados que no forman parte de la nomina de empleados de Bancard, solo podrn contar con una
direccin de correo del dominio @bancard, previa solicitud y justificacin del Gerente a cargo.
El envo de mensajes masivos a travs del correo electrnico corporativo debe ser realizado solo con
aprobacin de la Gerencia de Administracin y RR.HH.
Informacin confidencial, no debe ser transmitida por correo electrnico a no ser que este en formato
protegido. Se establece como informacin confidencial el PAN o nmero de la tarjeta, los cdigos de
seguridad de las tarjetas, las llaves que cifran datos confidenciales, etc.
Los usuarios del correo corporativo no deben utilizar cuentas de correo electrnico corporativo que
pertenezcan a otros usuarios.
Los usuarios del correo corporativo no deben enviar mensajes de correo electrnico con contendidos
hostiles que molesten a los receptores del mismo, como comentarios sobre sexo, raza, religin o
preferencias sexuales. As mismo, cuando un empleado reciba este tipo de mensajes debe comunicarlo a
su jefe inmediato y al rea de RR.HH.
Ningn empleado esta autorizado a monitorear mensajes de correo electrnico. Seguridad de la
Informacin y/o Auditora Informtica eventualmente podran tener acceso, previa autorizacin de la
Gerencia General. La empresa informar al empleado involucrado, pero no est obligada a obtener su
autorizacin.
El sistema de correo electrnico debe ser usado nicamente para propsitos de trabajo. BANCARD se
reserva el derecho de acceder y revelar los mensajes enviados y/o recibidos en su dominio @Bancard,
bajo las mismas condiciones que el punto anterior.
Se debe establecer procedimientos para el manejo seguro de archivos adjuntos enviados en los mensajes
Se recomienda la utilizacin de firma digital.
4. Hardware (Estaciones de trabajo y Servidores)
Los servidores y las estaciones de trabajo deben estar convenientemente protegidos
considerando la configuracin de los sistemas operativos, el acceso no autorizado a
los mismos, malware (virus, worns, troyanos, etc.) y actualizaciones de seguridad.
4.1. Aspectos Generales de Instalacin
Los servidores implementarn una funcin principal nica.
Todos los servicios y protocolos innecesarios e inseguros de cada servidor deber ser deshabilitad.
Todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones,
subsistemas, sistemas de archivos y servidores web innecesarios sern eliminadas.
Los parmetros de seguridad de cada servidor deben estar configurados adecuadamente de acuerdo a
los manuales de polticas definidas, deben estar activos y actualizados.
Todo acceso administrativo que no sea de consola local, deber estar cifrado. Se debe utilizar tecnologas
como SSH, VPN o SSL/TLS o semejantes en seguridad en los casos que corresponda.
4.2. Herramientas contra Software Malicioso (Antivirus)
Los programas de proteccin contra software malicioso (antivirus) deben estar instalados y actualizados
las estaciones de trabajo y servidores. Estos programas deben estar activos, actualizados y deben
generar registros de auditoria.
Las actualizaciones de los antivirus deben estar al da y deben incluir el software, las definiciones (firmas)
y/o otros elementos necesarios para la correcta proteccin del host.


Los servidores de actualizaciones del antivirus deben tener activados la actualizacin automtica y la
exploracin periodica.
Los componentes del sistema que incluyan sistemas operativos comunmente afectados por software
malicioso (virus) deben tener activados la actualizacin automtica y la exploracin periodica.
El software de firewall local debe estar instalado, activado y actualizado en todas las estaciones de
trabajo, en particular en los dispositivos moviles o de propiedad de los empleados con conectividad
directa a internet mediante las cuales se accede a la red de Bancard.
4.3. Parches de Seguridad
Todos los componentes del sistema y el software deben contar con los ltimos parches de seguridad
proporcionado por los proveedores que sean compatibles para el buen funcionamiento del sistema. Los
parches importantes de seguridad deben instalarse dentro del plazo mximo de 3 (tres) de su
lanzamiento.
Los visitantes, consultores o proveedores que necesiten utilizar servicios de red debern tener los ltimos
parches y actualizaciones de anti virus. Los equipos que no estn adecuados a esta exigencia irn a una
red de cuarentena con servicios restringidos.
4.3.1. Evaluaciones de Seguridad - Deteccin de Vulnerabilidades
Se debe contar con un procedimiento para detectar nuevas vulnerabilidades, principalmente consultando
fuentes externas a la empresa.
Debern ejecutarse trimestralmente evaluaciones internas de vulnerabilidades por medio de herramientas
especializadas para ayuden a mantener un estado saludable de la red, las aplicaciones y los servidores.
Deber realizarse por lo menos una (1) vez al ao la revisin de vulnerabilidades de la red, servidores,
aplicaciones externas y aplicaciones internas. Esta tarea deber ser ejecutada por una empresa
especializada en este tipo de servicio.
4.4. Registro de Eventos - Logs
Los componentes del sistema relacionados con los hosts, guardarn registros de auditora de acuerdo a
los requerimientos indicados en el capitulo "Registro de Auditoria".
4.5. Administracin, mantenimiento y adquisicin de hardware
La administracin, mantenimiento, modernizacin y adquisicin de equipos computacionales y de
telecomunicaciones debe adoptar los siguientes criterios para proteger seguridad de informacin de la
institucin.
Cambios al Hardware
Los equipos computacionales o de procesamiento de datos no sern alterados sin el consentimiento,
evaluacin tcnica y autorizacin de la Gerencia de Produccin e Infraestructura Tecnolgica.
Los empleados deben reportar a la Gerencia de Produccin e Infraestructura Tecnolgica, sobre daos o
prdidas de equipos a su cuidado y que sean propiedad de la empresa. La intervencin directa para
reparar el equipo est expresamente prohibida. Se proporcionar el soporte interno o externo necesario
para la solucin del problema reportado.
Todos los equipos deben estar relacionados en un inventario que incluya la informacin de sus
caractersticas, configuracin, ubicacin, responsable.
Todo el hardware ser solamente adquirido de los canales de compra estndares y proveedores
conocidos.
Todos los productos de hardware deben ser registrados en inventarios ordenados por proveedor y contar
con el respectivo contrato de mantenimiento.
Para todos los equipos y sistemas de comunicacin utilizados en procesos de produccin, se debe aplicar
un procedimiento formal de control de cambios que garantice que solo se realicen cambios autorizados.


Control de Cambios
El procedimiento de control de cambios debe ser administrado por la Gerencia de Produccin e
Infraestructura Tecnolgica y debe incluir la documentacin del proceso con las respectivas propuestas
revisadas, la aprobacin de las reas correspondientes y la manera de como el cambio fue realizado.
Seguridad de la Informacin, debe formar parte del proceso de control de cambio solicitado para
garantizar que no afecte a la seguridad establecida en la compaa.
4.6. Acceso lgico y fsico
Todas las conexiones con los sistemas y redes deben ser realizadas por medio de dispositivos probados
y aprobados y que debe contar con mecanismos de autenticacin de usuario. Los equipos con mdems
instalados como notebooks, solo podrn ser utilizados cuando no estn conectados a la red de Bancard.
Los equipos de computacin que pueden ser accedidos por terceros a travs de diversos canales - como
lneas conmutadas, redes de fibras pticas, frame realy, Wireless, Internet y otros. Todos los equipos
estarn protegidos por mecanismos de control aprobados por la Gerencia de Seguridad de la Informacin.
Todas las lneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas deben pasar
a travs de un punto de control adicional (firewall, routers con ACLs, etc.) antes de que la pantalla de login
aparezca en el terminal del usuario final.
4.7. Otros Aspectos relacionados al Hardware
Todos los procesos relacionados con cifrado de datos debern estar implementados en hardware
especializado (HSM Host Security Module), para minimizar amenazas de revelacin de llaves.
Los equipos computacionales porttiles pertenecientes a Bancard y que contenga informacin
confidencial relacionada al negocio, utilizarn software de cifrado para proteger la informacin y en viajes
debern ser registrados como equipaje de mano.
Todo equipo deber estar identificado mediante un cdigo o nmero grabado en l, que permita su fcil
identificacin en el inventario de activos. Se realizarn controles de inventarios fsicos en forma peridica
y eficiente, por lo menos una vez al ao.
Todo equipo porttil debe tener la Declaracin de Responsabilidad por parte del usuario, que incluya
instrucciones de manejo de informacin y acato de normas internas y de seguridad para el caso de robo o
prdida.
5. Aplicaciones y Software de Base
Utilizacin
Todos los sistemas de informacin utilizados por Bancard S.A. debern contemplar los
aspectos mencionados a continuacin relacionados a la seguridad implementada en
los mismos. Los funcionarios deben velar por su cumplimiento.
5.1. Control de Acceso
Todos los sistemas automatizados deben utilizar estndares para los cdigos de identificacin de usuario,
nombres programas y archivos tanto en ambientes de produccin como en desarrollo, para nombres de
sistemas de informacin y otras convenciones utilizadas en tecnologa.
Si el sistema de control de acceso a un computador o red no est funcionando apropiadamente, debe
suspenderse el acceso a todos los usuarios.
Toda transaccin que afecte informacin de valor, sensible o crtica debe ser procesada nicamente
cuando se valide la autenticidad del origen (usuario o sistema) y se compruebe su autorizacin mediante
un mecanismo de control de acceso o perfiles.
Todo programa, equipo y archivo que contenga frmulas, algoritmos u otras especificaciones que se
utilicen para la generacin de claves debe estar controlado con las ms altas medidas de seguridad.


Las contraseas estarn cifradas en todo momento y nunca sern escritas o incorporadas dentro de los
programas fuentes. Todos los computadores y sistemas de comunicacin debern tener implementados
controles que impidan la recuperacin de las palabras claves almacenadas.
No est permitido construir o utilizar mecanismos para recolectar contraseas o cdigos de identificacin
de usuarios. Tampoco mecanismos para identificar o autenticar la identidad de los usuarios sin la
autorizacin de la Gerencia de Seguridad de la Informacin.
Todas las contraseas emitidas inicialmente por Seguridad de la Informacin, deben ser vlidas
solamente para el primer acceso del usuario, inmediatamente la aplicacin deber solicitar el cambio de la
misma asegurando que solamente el propietario conozca su contrasea.
Se restringir la utilizacin de usuarios genricos, y los mismos estarn debidamente justificados,
autorizados y bajo custodia de un responsable. NO se permite el ingreso de usuarios annimos y se
ejecutar monitoreo y control permanente de usuarios administradores, sper usuarios, usuarios de
emergencia, invitados, proveedores y temporales.
5.2. Perfiles de usuarios y sus privilegios
Los perfiles de usuario sern definidos de acuerdo a la funcin y cargo de cada funcionario de tal forma
que la informacin solo sea accedida y/o modificada por los usuarios autorizados y en los horarios
establecidos.
Las modificaciones de privilegios y/o perfiles de usuario deben ser realizados exclusivamente por los
administradores, de acuerdo a la solicitud y previa autorizacin del propietario de la aplicacin o del
propietario de la informacin.
Se deja evidencia de los cambios realizados a los perfiles, de cambios de estado, permisos o eliminacin
de la cuenta.
Privilegios especiales solo se otorga a administradores del sistema o responsables de la seguridad. Los
usuarios finales no podrn tener acceso a niveles de comandos para el funcionamiento del sistema.
El nivel de administrador de sistemas debe tener un control dual, de tal forma que exista una supervisin
a las actividades realizadas por el administrador del sistema.
Todas las herramientas de sistemas de informacin, construidas o distribuidas, que adems de cumplir
con sus funciones especificas pueda ser utilizada para realizar cambios no deseados, estn restringidas
al uso para el propsito determinado.
El hardware y software de diagnstico y/o utilitarios slo debern ser usados por personal autorizado y su
uso debe ser controlado por la Gerencia de Seguridad de la Informacin.
Controles de accesos
Los usuarios no abandonarn su computador, estacin de trabajo sin haber realizado el cierre de la
sesin activa y bloquear su sesin.
El acceso a los sistemas debe realizarse como mnimo por medio de un cdigo de identificacin del
usuario y contrasea nicos para cada usuario.
Los errores de user Id o password durante el acceso no mostrar mensajes declarando la fuente del
problema, simplemente debe informar que el acceso es incorrecto.
El sistema operativo deber bloquear la cuenta del usuario despus de tres intentos infructuosos y
consecutivos. El bloqueo permanecer hasta que el administrador del sistema o responsable de la
seguridad lo habilite de nuevo siguiendo con los procedimientos establecidos para identificacin del
usuario.
Controles sobre las Cuentas de Usuarios
La aplicacin deber establecer controles sobre los perfiles de usuarios que no hayan tenido actividad
durante un periodo de tiempo considerado crtico y revocar los privilegios de los mismos. Se establecen
parmetros para basar este control. Seguridad Informtica monitoriza los perfiles de usuarios en estas
condiciones.
El sistema debe controlar el tiempo de inactividad del usuario y desactivar la sesin en forma automtica
despus de que se haya cumplido el tiempo definido.


El sistema no deber permitir que ningn usuario maneje simultneamente sesiones en diferentes
terminales, pudiendo abrir hasta las sesiones permitidas en su misma terminal.
Se recomienda que el sistema despliegue informacin para el usuario, de la hora y la fecha del ltimo
acceso realizado por el mismo.
Polticas y Administracin de Contraseas
En todos los servidores y aplicaciones deber implementarse complejidad de contraseas.
Deben establecerse polticas de contraseas que permitan a los usuarios definir contraseas fuertes.
El sistema debe llevar un histrico de palabras clave, de tal forma que los usuarios no usen palabras
claves utilizadas anteriormente
Las contraseas nunca sern presentadas en forma legible en pantalla o impresiones.
El sistema debe obligar en forma automtica a todo usuario a cambiar su contrasea segn lo definido por
las polticas.
5.3. Registro de Actividades - Logs
Los componentes del sistema relacionados con las aplicaciones, deben guardar registros de auditoria de
conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".
5.4. Otros Controles
Todo sistema debe contener herramientas que ayuden al administrador del sistema en la verificacin del
estado de seguridad. Estas herramientas deben contener mecanismos que sirvan para detectar, informar
y corregir problemas de seguridad.
Todos los sistemas de informacin en produccin deben ser peridicamente revisados por el rea de
seguridad de la informacin para determinar el cumplimiento de un conjunto mnimo de controles
requeridos para reducir riesgos.
Los servidores de sistemas en Produccin no debern contener compiladores, ensambladores, editores
de fuentes u otras utilidades que puedan ser utilizadas para comprometer la seguridad del sistema.
Las caractersticas especiales del sistema y que no sean necesarias en el ambiente de procesamiento,
debern ser desactivadas en el momento de la instalacin del software.
5.5. Restricciones sobre datos Crticos
Todos los sistemas de Bancard debern estar adecuados para solo permitir la visualizacin o impresin
de PAN (nmero de tarjeta) en formato enmascarado.
El formato definido por las normas que rigen este negocio es: Los primeros seis digitos y los ltimos
cuatro digitos es la cantidad mxima de dgitos que debe mostrarse. (9999 99** **** 9999).
5.6. Gestin
Administracin, Operacin y Control del Software Institucional.
Los funcionarios de Bancard S.A. que tengan funciones y responsabilidades con los sistemas de
informacin debern adecuarse a las siguientes normas para proteger estos activos y la informacin que
a travs de estos se maneje.
5.7. Administracin del Software
Bancard S.A. deber contar con un inventario actualizado del software de su propiedad, el comprado a
terceros, el desarrollado internamente, el adquirido bajo licenciamiento, el entregado y/o recibido en
comodato.
Las licencias y los dispositivos de almacenamiento sern resguardadas en un lugar seguro bajo llave y
responsabilidad de un funcionario designado por el Gerente de Produccin e Infraestructura Tcnica.


Debern estar incluidas en un sistema de administracin y se efectuar inventarios fsicos en forma anual
para garantizar la consistencia.
Los ambientes de desarrollo de sistemas, pruebas y produccin debern permanecer separados para su
adecuada administracin, operacin, control y seguridad. Las personas involucradas en cada ambiente
deben ser diferentes.
Bancard S.A. contar con procedimientos que garanticen un adecuado manejo de requerimientos de cada
aplicacin, manejo de versiones y trazabilidad. Se implementarn procedimientos para la generacin de
copias de respaldo, para asegurar la correspondencia entre programas fuentes y objetos y para producir,
mantener y resguardar la documentacin de cada una de las aplicaciones utilizadas.
La instalacin de software en los equipos de Bancard S.A. deber ser realizada por la Gerencia de
Produccin e Infraestructura Tcnica con la debida autorizacin escrita del rea de Seguridad Informtica.
Esta autorizacin se basar en la evaluacin de la aplicacin y la debida justificacin para ser instalada.
Los programas que se encuentren en el ambiente de produccin, solamente podrn ser modificados de
acuerdo con los procedimientos internos establecidos y en todos los casos se considerarn planes de
contingencia y recuperacin.
Todo el software adquirido y/o licenciado para Bancard S.A. y su correspondiente documentacin debern
contar con la debida documentacin de origen y/o licencia de uso.
Los datos de produccin no se debern utilizar en los entornos de desarrollo y pruebas.
5.8. Adquisicin de Software
Bancard S.A. implementar un esquema de adquisicin de software de terceros que incluya un contrato
con el proveedor que contemple clusulas para la proteccin de la informacin y del software adquirido, la
documentacin correspondiente y los medios de respaldos necesarios.
Todo software o licencia de uso de software adquirido deber ser asignado a un propietario segn las
Polticas de Propiedad de la Informacin antes de ser instalado y puesto en produccin.
El software adquirido debe contar con acceso controlado que permita al usuario propietario del mismo
restringir su uso solo a usuarios autorizados. Cada usuario deber identificarse por medio de una nica
identificacin de usuario y contrasea antes de que se le permita el acceso al sistema. El software
registrar los eventos en los sistemas relacionados con la seguridad.
Cuando se adquiera una licencia de uso de software, a travs de un proveedor o la contratacin de
desarrollo de software a medida, se deber agregar al contrato clusulas que garanticen el riesgo de la
continuidad de la prestacin de los servicios del proveedor definiendo la figura de fiel depositario de los
programas fuentes.
Las aplicaciones adquiridas de terceros o desarrolladas internamente, debern incluir en sus
especificaciones puntos de seguridad de la informacin. Como mnimo deberan estar definidos; perfiles
de usuarios, control de acceso, registros de las transacciones, registro de las actividades de usuarios
(log), pistas de auditoria (journal).
5.9. Parmetros del software para su implementacin
Con el propsito de asegurar la integridad de la informacin, la funcin de parametrizacin del software a
instalar estar a cargo de un equipo interdisciplinario. Este equipo estar compuesto por representantes
de los usuarios, el proveedor, Seguridad de la Informacin, Auditora y el rea propietaria de la aplicacin.
El documento final de parametrizacin del software deber contar con la aprobacin por parte del equipo
interdisciplinario antes de su paso al ambiente de prueba y su posterior puesta en produccin.
5.10. Desarrollo de Software
Bancard S.A. implementar una metodologa formal para el desarrollo de software seguro y las
actividades de mantenimiento que cumplirn con las polticas, normas, procedimientos, controles y otras
definiciones, del el proyecto aplicables en el desarrollo de sistemas y exigibles por el negocio.
Los controles implementados debern ser como mnimo los exigidos en los puntos relacionados a
Adquisicin de Software. Su revisin deber estar incluida en los planes de auditoria de sistemas.


Con el propsito de garantizar la integridad y confidencialidad de la informacin que administrar el
software desarrollado, y antes del paso a la etapa de pruebas, se deber verificar si han cumplido con la
metodologa establecida y presentado la documentacin tcnica respectiva.
Para el desarrollo de software solamente podrn ser utilizados generadores y herramientas de los cuales
se tengan certeza de su comportamiento seguro y confiable, adems que haya sido aprobado por la
Gerencia de Tecnologa.
Toda clave o llave de cifrado utilizada en el entorno de pruebas y desarrollo nunca sern instaladas en el
ambiente de Produccin. Con esto se garantiza que los desarrolladores de software no tendrn
conocimiento de las claves y llaves en produccin (criptografadores, claves de CVV, pin offset, llaves de
Pin Pad, laves de ATMs, etc.).
Los desarrollos y/o modificaciones hechos a sistemas de aplicacin no sern puestos en produccin sin
contar con:
- conformidad del usuario final,
- el conocimiento y autorizacin del propietario de la aplicacin y
- la documentacin de operacin del sistema (Manual del Usuario) segn lo definido en el diseo y
de acuerdo con la metodologa de desarrollo de software.
Las aplicaciones web debern ser desarrolladas en base a directrices de codificacin segura, como la
Gua para proyectos de seguridad de aplicaciones web abierta OWASP (Open Web Application Security
Project o Proyecto de Seguridad de Aplicaciones WEB Abiertas), en conformidad con el requerimiento
6.5 de PCI DSS.
Las aplicaciones web publicas debern ser chequeadas por metodos manuales o automticos por lo
menos una vez al ao o despues de cada cambio.
5.11. Pruebas de Software
El rea de desarrollo de sistemas deber entregar el software desarrollado con cdigos fuentes al rea
responsable de ejecutar las pruebas.
Ser conformado un equipo de trabajo para realizar las pruebas correspondientes del funcionamiento del
software desarrollado. Este equipo contar con representantes de usuarios para certificar que el
desarrollo ha sido efectuado en base a sus requerimientos.
Los tipos de pruebas mnimas a realizar debern ser establecidas por los usuarios de la aplicacin. Para
garantizar la integridad de la informacin en produccin, estas debern ser planeadas, ejecutadas,
documentadas y establecer control de sus resultados.
El ambiente de pruebas ser lo ms idntico posible en configuracin, al ambiente de produccin.
Contemplar aspectos funcionales, de seguridad y tcnicos. Se har una revisin a la documentacin
mnima requerida y de los procesos de retorno a la versin anterior.
Si hay necesidad de ingresar llaves o claves utilizadas en el ambiente de produccin, estas debern ser
ingresadas y utilizadas de manera segura.
Se deber contar con un cronograma para la ejecucin de las pruebas con el fin de cumplir con los
compromisos institucionales acordados.
Se garantiza la atencin de los requerimientos por problemas presentados durante las pruebas. Se
contar con un procedimiento que permita dejar evidencia del estado de las pruebas una vez corregido el
problema.
Una vez se hayan realizado todos los cambios al software, detectados durante las pruebas, deber
ejecutarse nuevamente una serie de pruebas integrales, que garanticen su correcto funcionamiento.
El cdigo fuente ser revisado en bsqueda de cdigos mal intencionado o debilidades de seguridad,
utilizando herramientas automticas, para luego ser compilado y transferido a produccin.
5.12. Puesta en Produccin del Software
Para la puesta en produccin de algn software, indefectiblemente deber existir autorizacin del
responsable de la aplicacin, la conformidad del usuario final y la autorizacin por parte de Seguridad de
la informacin.


Las caractersticas utilizadas en el entorno de pruebas y que son innecesarias en el ambiente de
produccin sern identificadas y desactivadas en el momento de la instalacin del software.
Antes de la puesta en produccin se deber probar los parches de seguridad asociados y los cambios de
configuracin del software y del sistema
Antes de implantar en produccin algn software se verificar que se haya realizado lo siguiente:
- Divulgacin y entrega de documentacin,
- Capacitacin del personal involucrado,
- Verificacin de estado de licencias de uso,
- Ajustes de parmetros, especialmente los de seguridad, antes de su instalacin en el ambiente
de produccin.
Se deber contar con un cronograma de puesta en marcha en produccin con el fin de tener la posibilidad
de realizar controles y ajustes necesarios para minimizar el impacto de la implantacin del mismo.
Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las
libreras de produccin sin previa compilacin por el rea asignada para tal efecto, que no deber ser el
rea de desarrollo.
Los programas en el ambiente de produccin, sern modificados de acuerdo con los procedimientos de
Control de Cambios establecidos.
Mantenimiento del Software
El rea de desarrollo de sistemas no har cambios al software de produccin sin la debida autorizacin y
sin cumplir con los procedimientos establecidos. A su vez se cuenta con un procedimiento de control de
cambios que garantice que slo se realicen las modificaciones autorizadas.
La documentacin de todos los cambios hechos al software, se preparar simultneamente con el
proceso de cambio.
Cuando un tercero efecte ajustes a algn software deber firmar un acuerdo de confidencialidad y
utilizacin no autorizada del mismo.
Por cada mantenimiento a la versin del software, tambin se actualizarn las versiones de respaldo y las
que estn en custodia en Bancard o en proveedores terceros.
Las actualizaciones de software requeridos por la empresa debern contemplar el cumplimiento de los
procedimientos de licenciamiento respectivo.
6. Datos: Clasificacin, almacenamiento y administracin de la
informacin
Los funcionarios de la empresa son responsables de la informacin que manejan y
debern seguir los siguientes lineamientos para protegerla y evitar prdidas, accesos
no autorizados y utilizacin indebida de la misma.
Bancard administra, procesa, y transmite informacin que no es de su propiedad, sino
de los clientes para quienes presta servicio, por lo tanto la responsabilidad en la
custodia de los datos es de vital importancia para garantizar la continuidad de los
servicios y del negocio.
6.1. Clasificacin de la Informacin
Toda la informacin contenida en los sistemas de Bancard S.A. deber ser clasificada de acuerdo a su
nivel de sensibilidad. Se deber contar con una metodologa que permita clasificar la informacin y
conocer su valor.
Los responsables de la informacin sern los encargados de clasificar, proteger y autorizar el acceso a la
informacin. Los responsables asumen el papel de tutores de la informacin, en tanto la propiedad
siempre ser de las entidades miembros del sistema Bancard


Todos los datos contenidos en los sistemas debern ser clasificados dentro de las siguientes categoras:
- CONFIDENCIAL: para la informacin considerada sensible y controlada, que solamente
puede ser divulgada interna o externamente a persona o grupo reducido de personas
debidamente autorizadas.
- RESTRINGIDO: para la informacin sensible que podr ser divulgada interna o externamente
bajo los controles definidos, debido a que podra representar riesgo para la empresa y las
marcas representadas.
- USO INTERNO: para la informacin de divulgacin interna segura, no recomendada para
divulgacin externa.
- PUBLICA: para la informacin que puede ser divulgada interna y externamente sin riesgos
para la empresa o las marcas representadas.
Toda informacin debe etiquetarse (marcarse) segn la categora definida y todos los datos que se
divulguen por cualquier medio deben mostrar la clasificacin de sensibilidad de la informacin.
Cuando se consolida informacin con varias clasificaciones de sensibilidad, los controles usados deben
proteger la informacin ms sensible y se debe clasificar con el mximo nivel de restriccin que contenga
la misma. En caso de ser necesario compartir informacin sensible desde estaciones de trabajo, se debe
utilizar la seguridad que ofrecen los sistemas para restringir el acceso a travs de claves o usuarios
especficos.
La responsabilidad para definir la clasificacin de la informacin ser del dueo de la informacin en
conjunto con Seguridad de la Informacin, tambin debe existir un cronograma de revisin para realizar
mantenimiento a la clasificacin de sensibilidad de la informacin.
6.2. Almacenamiento de la Informacin
Almacenamiento y Respaldo de Informacin
Las bases de datos que contengan datos crticos deben estar en el segmento de red de datos crticos,
segregada de la DMZ.
Los datos del tarjetahabiente deben almacenarse la menor cantidad posible, lo suficiente para las
necesidades de las operaciones o de los requisitos legales.
Los datos confidenciales de autenticacin, luego de la autorizacin no debern almacenarse aunque
estn cifrados.
El PAN (nmero de tarjeta) debe hacerse ilegible en cualquier lugar en el que se encuentre almacenado,
incluyendo logs de base de dato, o cualquier otro tipo de registro de auditora, adems de los medios de
utilizados para back-up,
Todo dato crtico debe tener un proceso de respaldo peridico, un periodo de retencin, fecha de la ltima
modificacin, fecha de caducidad y fecha en que pierde su estado de crtico.
Toda informacin administrada por Bancard S.A. debe tener una copia de respaldo completa y
actualizada, en un sitio externo al local en que se procesan dichos datos.
Todos los medios fsicos donde la informacin de valor, sensitiva y crtica es almacenada por periodos
mayores de seis (6) meses, no deben estar sujetos a una rpida degradacin o deterioro por lo tanto
deben mantenerse almacenados bajo condiciones ambientales de temperatura y humedad ptimas que
permitan conservar la informacin.
La empresa debe contar con un procedimiento para la restauracin de los backups. Estar administrado
por el rea de Produccin y Monitoreo Tcnico.
Los respaldos de informacin deben tener un proceso de validacin por lo menos cada 6 meses con el fin
de garantizar que no han sufrido ningn deterioro y que podrn ser utilizados en el momento en que se
necesite.
Toda la informacin contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las
normas legales vigentes.
Administracin de llaves criptogrficas


Las claves criptogrficas utilizadas para el cifrado de los datos del tarjetahabiente, debern estar
clasificadas como CONFIDENCIAL y ser protegidas contra divulgacin, uso indebido o sustitucin no
autorizada restringiendo al mnimo el nmero de custodios necesarios y guardandola de forma segura en
la menor cantidad de ubicaciones y formas posibles.
Todos los procesos y los Procedimientos de Gestin de claves criptogrficas que se utilizan para el
cifrado de datos del tarjetahabiente deben estar documentados, teniendo en cuenta lo siguiente:
- Generacin de claves criptogrficas slidas (TDES, AES-256)
- Distribucin segura de claves criptogrficas (en forma de componentes)
- Almacenamiento seguro de claves criptogrficas (en dispositivos seguros HSM)
- Cambios peridicos de claves criptogrficas
- Destruccin o reemplazo de claves criptogrficas antiguas o en sospecha de exposicin.
El proceso de creacin de claves criptogrficas y el conocimiento y control se debe segregar entre
distintas personas responsables. Estos custodios de claves criptogrficas debern firmar un formulario en
el que declaren que comprenden y aceptan su responsabilidad como custodios de las claves
criptograficas.
6.3. Almacenamiento y Transmisin por distintos medios
Toda informacin crtica solamente ser remitida fuera de las instalaciones Bancard S.A. en forma segura
cumpliendo con los procedimientos establecidos.
Todos los mensajes de correo electrnico remitidos en formato libre de texto y que contengan informacin
crtica deben cumplir con los procedimientos establecidos de manera que se realice y/o almacenen en
forma segura.
Toda la informacin transmitida por medios como por ejemplo el fax, e-mails, chats, etc. debern seguir
procedimientos establecidos para asegurar la confidencialidad e integridad de la informacin.
No deben enviarse datos crticos por medio de tecnologas de mensajera de usuario final (por ejemplo, el
correo electrnico, la mensajera instantnea o el chat) si no estn cifrados, en particular los siguientes:
- el PAN (nmero de tarjeta),
- el nombre del titular de la tarjeta, el Cdigo de Servicio,
- la Fecha de Vencimiento,
- los Datos completos de la banda magntica (Track),
- los cdigos de seguridad CAV2/CVC2/CVV2/CID,
- el PIN,
Toda informacin crtica que aparece en recibos generados por computador, POS, ATM y entregados a
los clientes (voucher) deben ser truncados o enmascarados siguiendo lo que recomienda la norma de
presenta solo los primeros 6 dgitos y los ltimos cuatro.
6.4. Eliminancin de Datos
La eliminacin de la informacin debe seguir procedimientos seguros y debidamente
aprobados por la Gerencia de Seguridad Informtica.
6.5. Administracin de la Informacin
Cualquier tipo de informacin interna no puede ser vendida, transferida o intercambiada con terceros para
ningn propsito diferente al del negocio. En caso de que la informacin sea requerida por auditores
internos o externos, la entrega de dicha documentacin deber ser autorizada por el propietario de la
informacin solicitada.
Son derecho de propiedad intelectual exclusiva de Bancard S.A. todos los productos desarrollados o
modificados por empleados o personas contratadas por la empresa.
Los datos y programas deben ser modificados nicamente por personal autorizado de acuerdo con los
procedimientos establecidos en la metodologa de desarrollo de software. Tambin el acceso a depsitos
de informacin (almacenamiento fsico o medio magntico) debe restringirse nicamente a personal
autorizado.
Cuando la informacin crtica no est siendo utilizada se la debe guardar en sitios destinados para el
efecto, los cuales deben contar con las debidas medidas de seguridad que garanticen su confidencialidad


e integridad.
En cualquier momento, el propietario de la informacin con la participacin del responsable de la
seguridad de la Informacin puede reclasificar el nivel de sensibilidad inicialmente aplicado a la
informacin.
El acceso a la informacin crtica se debe otorgar nicamente a personas especficas y debidamente
autorizadas segn procedimientos establecidos.
Toda divulgacin de informacin CONFIDENCIAL o RESTRINGIDO a terceras personas debe estar
acompaada por un contrato de confidencialidad que describa explcitamente qu informacin es
restringida y cmo puede ser usada.
Toda la informacin debe contemplar las caractersticas de Integridad, Confidencialidad, Disponibilidad,
Trazabilidad, Efectividad, Eficiencia, Cumplimiento.
Todo software que comprometa la seguridad de los sistemas se custodiar y administrar nicamente por
personal autorizado. Adicionalmente, se dejar registro de auditoria de su utilizacin.
La realizacin de copias adicionales de informacin sensible debe cumplir con los procedimientos de
seguridad establecidos para tal fin y contar con la autorizacin del propietario de los datos a ser
duplicados.
La informacin resguardada por Bancard S.A. no puede ser divulgada sin contar con los permisos de las
gerencias propietarias responsables de cada sistema, adems ningn empleado, prestador de servicio o
consultor contratado esta autorizado a llevar consigo informacin alguna cuando se retire de la empresa.
Todos los medios de almacenamiento utilizados en el proceso de construccin, asignacin, distribucin o
encriptacin de claves o PIN se deben someter a un proceso de destruccin inmediatamente despus de
ser usados.
Toda la informacin histrica almacenada debe contar con los medios, procesos y programas capaces de
manipularla con seguridad, esto teniendo en cuenta la reestructuracin que sufren las aplicaciones y los
datos a travs del tiempo.
Las claves y criptogramas para generacin y validacin de PIN, deben ser manejados bajo la norma del
control dual no compartido, es decir, debe intervenir ms de una persona en el proceso de generacin de
las mismas.
Cuando las palabras claves o nmeros de identificacin personal (PIN) sean generados por el sistema,
deben ser impresos inmediatamente y nunca ser almacenados en los sistemas.
6.6. Validaciones, controles y manejo de errores
Para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad, todos los procedimientos de
ingreso de informacin deben contener controles de validacin.
Se debe contar con procedimientos de control y validaciones para transacciones rechazadas o pendientes
de procesar, adems de los tiempos determinados para dar la solucin y tomar las medidas correctivas.
Todas las transacciones que ingresen a un sistema de produccin computarizado, deben ser sujetos a un
chequeo razonable, chequeos de edicin y/o validaciones de control.
Todos los errores cometidos por los empleados y que son detectados por los clientes deben cumplir con
un proceso de investigacin de acuerdo con los procedimientos y tiempos establecidos.
Se utilizar cifras de control, as como definir procedimientos para el cuadre de estas cifras de control,
que garanticen la integridad de la informacin procesada.
Los controles establecidos en los procesos y las vulnerabilidades de seguridad detectados en los
procesos y recursos informticos, no pueden ser dados a conocer a terceros por parte de los empleados.
6.7. Logs
Los componentes del sistema relacionados con los datos, deben guardar registros de auditoria de
conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".


7. Personas
Los funcionarios con relacin a la seguridad de la informacin. La responsabilidad de
la seguridad de la informacin es una obligacin de cada funcionario de Bancard S.A.
7.1. Perfil de Usuario, Identificacin y Contrasea de acceso
La identificacin del usuario (Id. usuario) debe ser nico para cada usuario habilitado en los sistemas de
Bancard S.A.
La identificacin, el perfil y la contrasea de acceso del usuario sern de uso personal e intransferible.
Los mecanismos de acceso para el uso de los recursos informticos otorgados a los usuarios, ser
exclusiva responsabilidad de cada uno y cuando sean ingresados en los sistemas debern ser protegidos
contra su divulgacin a terceros.
El rea de Seguridad Informtica implementar los medios necesarios para salvaguardar la integridad de
la identificacin, perfil y contrasea de acceso del usuario.
Las contraseas se transmitirn o se almacenaran en forma ilegible mediante una slida criptografa.
Los usuarios sern responsables de todas las actividades llevadas a cabo con su identificacin, perfil y
contrasea de acceso.
7.2. Uso Apropiado de la Informacin
Los funcionarios no deben proporcionar de forma externa o interna informacin procesada por Bancard
sin autorizacin de la gerencia de rea respectiva o de la Gerencia General.
Los funcionarios podrn consultar, modificar, destruir, copiar o distribuir archivos o informacin solamente
con la debida autorizacin del Usuario Propietario de la Informacin. (Ver Poltica de Propiedad de la
informacin)
La Instalacin de software ser controlada y administrada por la Gerencia de Produccin e Infraestructura
Tcnica con autorizacin expresa y escrita del rea de Seguridad de la Informacin. Los usuarios no
debern instalar software de aplicacin para obtener informacin en forma no autorizada. Los usuarios
finales no tendrn nivel Administrador en sus equipos personales.
Los usuarios no debern acceder en forma no autorizada a los sistemas de aplicacin, examinar equipos
servidores de procesamiento, estaciones de trabajo individuales y redes informticas con el propsito de
obtener informacin confidencial o datos no relacionados con su actividad laboral.
La informacin administrada por Bancard S.A. es de carcter confidencial y no ser incluida en listas de
correo electrnico. Los usuarios deben actuar con la debida diligencia para salvaguardar en todo
momento la confidencialidad de la informacin.
Los usuarios tienen la responsabilidad de controlar la integridad, confidencialidad, disponibilidad y
trazabilidad de la informacin que utilicen, especialmente si la informacin est clasificada como crtica.
Los usuarios deben informar inmediatamente al rea de Seguridad de la Informacin o al gerente de su
rea, la ocurrencia de intentos de acceso indebido al sistema, aparicin de virus informtico, ejecucin de
programas desconocidos y errores del sistema que otorguen facilidades de acceso no previstas en la
definicin de su perfil de usuario.
7.3. Otras Consideraciones
Los usuarios utilizarn exclusivamente los recursos de tecnologa provistos por Bancard para actividades
propias de la empresa y relacionadas al negocio.
Todos los nuevos funcionarios de Bancard S.A. debern firmar el documento COMPROMISO DE
CUMPLIMIENTO DE MEJORES PRCTICAS DE SEGURIDAD DE LA INFORMACIN entregado por el
rea de Seguridad de la Informacin en el momento de su incorporacin.
Los usuarios de sistemas de informacin de Bancard S.A. debern cumplir con las recomendaciones de
estas Polticas y las recomendaciones mencionadas en el documento resumen Pautas a Seguir para la
Seguridad de la Informacin, a ser distribuido durante el programa de induccin al nuevo funcionario.


8. Registro de Auditoria (logs)
Los mecanismos de registros de auditoria y su capacidad para rastrear las actividades
de los usuarios crticos. Los logs pueden ser utilizados por la organizacin en todos los
casos que se consideren necesarios (investigaciones internas, investigaciones
externas, consultas de entes externos y de entes de control). Estos sern
considerados como evidencia digital suficiente de la utilizacin de los aplicativos,
sistemas operacionales y comunicaciones.
8.1. Administracin de Logs
Se debe establecer un proceso para vincular todos los accesos a componentes del sistema a cada
usuario en particular. Estas medidas se tomarn con el requisito especifico de rastrear y monitorizar todos
los accesos a los recursos del sistema que luego podrn ser utilizados para determinar y/o reconstruir los
eventos ocurridos en los componentes del sistema.
Todos los archivos de logs de los diferentes sistemas deben retenerse por periodos definidos segn su
criticidad y la exigida de ley en forma obligatoria. Adems, deben ser custodiados en forma segura para
que no puedan ser modificados y para que puedan ser ledos nicamente por personas autorizadas; los
usuarios que no estn autorizados deben solicitarlos al rea encargada de su administracin y custodia.
Todos los accesos a datos crticos, asi como a los elementos de sistemas deben quedar registrados en
los registros de auditoria.
Estos registros deben contener informacin suficiente para que por si mismo o en conjuncin con otros
recursos puedan identificar las actividades realizadas y vincularlos con cada usuario en particular.
Debe incluir como mnimo la siguiente informacin:
- Identificacin del cdigo del usuario
- Identificacin de la terminal
- Fecha/hora de la entrada y de la salida de cada sesin del sistema
- Aplicaciones invocadas
- Cambios de informacin en los archivos de las aplicaciones crticas
- Adiciones y/o cambios a los privilegios de los usuarios
- Controles del sistema modificados
- Fecha/hora de iniciacin y terminacin de ingreso al sistema de informacin
- Intentos de accesos no autorizados
- Intentos de uso de privilegios de comandos no autorizados
- Uso de comandos privilegiados y de software utilitario del sistema
Todos los logs habilitados en el sistema deben tener definido un usuario para su administracin y control,
quien adems deber encargarse de realizar seguimientos y revisiones peridicas a los mismos.
Los logs deben tener mecanismos de seguridad y control administrativo resistentes a ataques capaces de
detectar y grabar eventos significativos en aspectos de seguridad de informacin. Estos ataques incluyen
intentos de desactivar, modificar, intentar o detectar las claves de acceso al software y/o a los mismos
logs. Los registros de auditoria automticos implementados deben permitir reconstruir los siguientes
eventos como mnimo:
- Todos los accesos de personas a los datos crticos
- Todas las acciones realizadas por cuentas de usuario con privilegios de administrador, root,
super usuario, etc.
- El acceso a todas las pistas de auditoria
- Intentos de acceso logico no validos
- Uso de mecanismos de identificacin y autenticacin.
- Inicializacin de los registros de auditoria
- Creacin y eliminacin de objetos a nivel del sistema
- Intentos de desactivar, modificar, interceptar o probar las claves de acceso
- Cada vez que se hacen copias adicionales de informacin sensible definida en la Poltica de
clasificacin de la informacin, deber quedar registro en un log.
Para cada evento debe registrarse los siguientes datos: identificacin del usuario, tipo de evento, fecha y
hora, estado de exito o falla, origen del evento, identidad o nombre de los datos, componentes del sistema


o recursos comprometidos.
Tanto los relojes como los horarios del sistema que sean crticos deben estar sincronizados a los efectos
de tener la misma fecha y hora para que el registro en el log sea confiable.
Los registros de auditoria deben resguardarse de modo a a que no puedan modificarse.
Los registros de auditoria de todos los componentes del sistema deben revisarse por lo menos una vez al
da, tanto de los componentes del sistema operacionales como los de seguridad, las herramientas
especializadas de recoleccin, anlisis y alerta automtica de registros pueden ser utilizadas para este
efecto.
Los registros de auditora debern ser conservados por lo menos durante un ao, con un mnimo de tres
meses inmediateamente disponibles para el anlisis.

Resume N Politic As I

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Resume N Politic As I

Enviado por

Direitos autorais:

Formatos disponíveis

Seguridad de Informacin

Você também pode gostar