Blog de CiberAbogados
  Imprimir

COMUNICACIÓN “A” 7319 del BCRA

274 Hits

COMUNICACIÓN “A” 7319
01/07/2021
A LAS ENTIDADES FINANCIERAS:
Ref.: Circular
RUNOR 1-1681:
Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnolo-gía informática, sistemas de información y recur-sos asociados para las entidades financieras. Adecuaciones.

 

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolu-ción:
“1. Incorporar en el requisito técnico-operativo RMC012 –del proceso de monitoreo y control–, esta-blecido en el punto 6.7.4. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recur-sos asociados para las entidades financieras”, lo siguiente:
“Para la autorización de un crédito preaprobado la entidad debe verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada. Esta verificación debe ha-cerse mediante técnicas de identificación positiva, de acuerdo con la definición prevista en el glosario y en el requisito técnico operativo específico (RCA040) de estas normas. Asimismo, se deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contacto indicados por el usuario de servicios financieros no hayan sido modificados recientemente. Una vez verificada la identidad de la persona usuaria, la enti-dad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.”
2. Disponer con carácter obligatorio –de criticidad 1– la aplicación del requisito técnico-operativo RMC012 –previsto en el punto 1. de esta resolución– sobre todas las operaciones de créditos preaprobados realizadas a través de todos los canales electrónicos disponibles –ATMs, TAS, banca de internet (BI) y banca móvil (BM)–.
3. Disponer como fecha de entrada en vigencia de la presente comunicación el 9.7.21.”
Asimismo, les hacemos llegar las hojas que, en reemplazo de las oportunamente pro-vistas, corresponde incorporar en las normas de la referencia. En tal sentido, se recuerda que en la página de esta Institución www.bcra.gob.ar, accediendo a “Sistema Financiero - MARCO LEGAL Y NORMATIVO - Ordenamientos y resúmenes - Textos ordenados de normativa general”, se encon-trarán las modificaciones realizadas con textos resaltados en caracteres especiales (tachado y ne-grita).
-2-
Saludamos a Uds. atentamente.
BANCO CENTRAL DE LA REPUBLICA ARGENTINA
Mara I. Misto Macias
María D. Bossio
Gerenta Principal de Normas de Seguridad de la Información en Entidades
Subgerenta General de
Regulación Financiera

 

ANEXO

Matriz de Escenarios (continuación) Categoría Escenario Situación Aplicabilidad Criticidad Requisitos
Transacciones
ETR001
Depósito de valores físicos en el CE con destino directo a cuentas bancarias o pagos de bienes y servicios.
ATM y TAS.
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC013; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR014; RIR015; RIR016; RMC001; RMC002; RMC006; RMC008; RMC009; RGI001; RGI002; RGI003 y RGI005.
ETR002
Extracción de efectivo por CE.
ATM.
1
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC013; RCA032; RCA040; RCA046; RCA047 RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR003
Pago de bienes o servicios.
ATM; TAS; POS; BI; BM; PPM y BT.
2
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA032; RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR013; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR004
Transferencias de fondos entre cuentas de un mismo titular y mis-ma entidad financiera.
ATM; TAS; BI; BM y BT.
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR005
Transferencias Inmediatas.
ATM ; BM y BI.
1
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA032; RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR013; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR006
Transferencias ordinarias
ATM; TAS; BI y BM.
1
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA032; RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR013; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR007
Solicitud, formalización y acredita-ción de operaciones de crédito. Para créditos preaprobados aplica RMC012 con criticidad 1.
ATM; TAS; BI y BM.
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA032; RCA040; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RMC012; RGI001; RGI002; RGI003 y RGI005.
ETR008
Transacciones de consulta, instruc-ción operativa o instrucción finan-ciera con confirmación por vía tradicional.
ATM; TAS; BI; BT y BM.
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR014; RIR015; RIR016; RMC001; RMC006; RMC008; RMC009; RGI001; RGI002; RGI003 y RGI005.
ETR009
Nuevas operatorias transaccionales no contempladas en otros escena-rios, con o sin movimiento de fon-dos.
ATM; TAS; POS; BI; BT; PPM y BM.
2
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA032, RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR013; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003 y RGI005.
ETR010
Transacciones de Bajo Valor: ex-tracciones de efectivo, pago de bienes y/o servicios y transferencias inmediatas.
ATM; POS; BI; BM y PPM
2
RCC001; RCC002; RCC003; RCC004; RCC005; RCC006; RCC007; RCC008; RCC009; RCC011; RCC013; RCA040; RCA046; RCA047; RIR002; RIR003; RIR004; RIR005; RIR006; RIR007; RIR008; RIR009; RIR013; RIR014; RIR015; RIR016; RMC001; RMC002; RMC004; RMC005; RMC006; RMC008; RMC009; RMC011; RGI001; RGI002; RGI003; RGI005.

Tabla de requisitos de Monitoreo y Control (continuación) Código de requisito Descripción de requisito Alcance
RMC009
Los sistemas de monitoreo transaccional de las entidades/operadores de TD/TC, deben asegurar la detección, registro y control de situaciones que establezcan un compromiso de datos sensibles que incluya pero no se limite a las siguientes:
a. Punto común de compromiso. punto de venta, adquirente, proveedor, entre otros que comprometan transacciones de TD/TC cursadas por el mismo.
b. Fuga de información. Pérdida ocurrida en la infraestructura técnica y/o orga-nizacional de la entidad financiera, operador, adquirente, distribuidor y/o proveedores que comprometa información sensible de las TD/TC (números de tarjeta, códigos de seguridad, datos confidenciales del cliente, entre otros)
c. Códigos de Seguridad. Compromiso demostrado de los algoritmos de cálcu-lo de los códigos de seguridad de las TD/TC.
RMC010
Los dispositivos/aplicaciones provistos por la entidad/operador, deben detectar la apertura simultánea de más de una sesión, para un mismo usuario, canal y entidad financiera, ejecutando una de las siguientes acciones:
a. Impedir la apertura simultánea de más de una sesión
b. Bloquear la operatoria inmediatamente después de la detección, informando al cliente de la irregularidad.
El CE ATM podrá exceptuarse de las acciones indicadas en los puntos a y b siempre que se incluyan en los sistemas de monitoreo y control las configuraciones necesarias para detectar y registrar los eventos indicados en el requisito.
RMC011
El monitoreo transaccional en los CE debe basarse, pero no limitarse a lo siguiente:
a. La clasificación de ordenantes y receptores en base a características de su cuenta y transacciones habituales, incluyendo pero no limitándose a fre-cuencia de transacciones por tipo, monto de transacciones y saldos habitua-les de cuentas.
b. Determinación de umbrales, patrones y alertas dinámicas en base al com-portamiento transaccional de ordenantes y receptores según su clasifica-ción.
RMC012
Para la autorización de un crédito preaprobado la entidad debe verificar fehaciente-mente la identidad de la persona usuaria de servicios financieros involucrada. Esta verificación debe hacerse mediante técnicas de identificación positiva, de acuerdo con la definición prevista en el glosario y en el requisito técnico operativo específico (RCA040) de estas normas.
Asimismo, se deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contacto indicados por la per-sona usuaria de servicios financieros no hayan sido modificados recientemente.
Una vez verificada la identidad de la persona usuaria, la entidad deberá comunicar-le –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad de la persona usuaria de servicios financieros de manera fehaciente.
RMC013
Durante los procesos de mantenimiento, configuración, apertura, carga y balanceo de los dispositivos contemplados en el escenario, con excepción del canal POS, se deben satisfacer las siguientes consignas:
a. Debe asegurarse una segregación física y lógica de las siguientes funcio-nes:
 Administración (instalación, configuración y ajuste de parámetros en el sistema operativo y aplicativo). Debe encontrarse limitada a personal del operador/entidad responsable del servicio.
 Operación (ejecución de tareas operativas de consulta, balanceo y re-porte). Debe limitarse a responsables de la entidad o tercero contratado por la entidad para los procesos indicados.
 Apertura y cierre de dispositivo y tesoro. Debe aplicarse un control dual para el uso y posesión temporal de las llaves físicas y/o lógicas.
b. Debe asegurarse la puesta en práctica de procedimientos internos de la en-tidad para el control de la documentación de respaldo de las tareas operati-vas relacionadas.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN Y CONTROL DE LOS RIESGOS
RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y
RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS
TEXTO ORDENADO
NORMA DE ORIGEN
OBSERVACIONES
Sección
Punto
Párrafo
Com.
Anexo
Punto
Párrafo
5.
5.4.
“A” 3198
7.1.
Según Com. “A” 4609.
5.5.
“A” 4609
único
5.5.
5.6.
“A” 4609
único
5.6.
5.7.
“A” 4609
único
5.7.
5.8.
“A” 3198
4.2.1., 6.6. y 6.7.
Según Com. “A” 4609.
5.9.
“A” 4609
único
5.9.
5.10.
“A” 4609
único
5.10.
5.11.
“A” 4609
único
5.11.
5.12.
“A” 4609
único
5.12.
6.
6.1.
“A” 4609
único
Según Com. “A” 5374 y 6017.
6.2.
“A” 3198
Según Com. “A” 4609, 4690, 5374 y 6017.
6.3.
“A” 4609
único
Según Com. “A” 4690, 5374, 6017, 6209, 6290 y 6684.
6.4.
“A” 4609
único
Según Com. “A” 4690, 5374 y 6017.
6.5.
“A” 4609
único
Según Com. “A” 5374, 6017 y 7319.
6.6.
“A” 3198
Según Com. “A” 5374, 6017 y 6375.
6.7.
“A” 4609
único
Según Com. “A” 5374, 6017, 6684 y 7319.
7.
7.1.
“A” 4609
único
7.1.
Según Com. “A” 6126, 6271 y 6354.
7.2.
“A” 4609
único
7.2.
Según Com. “A” 6354.
7.3.
“A” 3198
5.1.
Según Com. “A” 4609 y 6354.
7.4.
“A” 3198
5.2. a 5.4.
Según Com. “A” 4609 y 6354.
7.5.
“A” 3198
5.5.
Según Com. “A” 4609, 6354 y 6813.
7.6.
“A” 3198
5.4.
Según Com. “A” 4609 y 6354.
7.7.
“A” 3198
5.6.
Según Com. “A” 4609 y 6354.
8.
8.1.
“A” 3198
9.2.
Según Com. “A” 4609.
8.2.
“A” 3198
4.2.2.
Según Com. “A” 4609 y 4690 (punto 6.).
8.3.
“A” 4609
único
8.3.
8.4.
“A” 3198
9.4.
Según Com. “A” 4609.
8.5.1.
“A” 4609
único
9.1.
8.5.2.
“A” 3198
9.1.
Según Com. “A” 4609.

 

 

 

 

0
¿Cómo te sientes acerca de este post?
Feliz (0)
Amor (0)
Sorprendido (0)
Triste (0)
Enojado (0)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Un abogado robot impulsado por IA es demandado por...
COMUNICACIÓN “A” 7370 del BCRA

Sobre el autor

Hugo F. Pérez Carretta

Hugo F. Pérez Carretta

Suscribirse a las actualizaciones Cancelar la suscripción a las actualizaciones del autor Hugo F. Pérez Carretta

Logros

Entradas recientes del autor
Más publicaciones del autor
 

Comentarios

No hay comentarios por el momento. Sé el primero en enviar un comentario.
¿Ya està registrado? Ingresa Aquí
Viernes, 25 Abril 2025

Al aceptar, accederá a un servicio proporcionado por un tercero externo a https://www.ciberabogados.ar/

Publicaciones recientes

18 Octubre 2024
Demanda Colectiva contra el Uso de IA para Clonación de Rostro y Voz - ULCMPF CABA
📢 Demanda Colectiva contra el Uso de IA para Clonación de Rostro y VozEn una interesante iniciativa para proteger los derechos de usuarios y consumidores se ha presentado una demanda colectiva de consumo para detener el uso de plataformas que emplean...
Leer más
17 Octubre 2024
Mamba 2FA: El Nuevo Servicio de Phishing que Burla la Autenticación Multifactor en Microsoft 365
Mamba 2FA: El Nuevo Servicio de Phishing que Burla la Autenticación Multifactor en Microsoft 365
17 de octubre de 2024 En el siempre cambiante mundo de la ciberseguridad, surge una nueva amenaza: Mamba 2FA, una plataforma de phishing como servicio (PhaaS) diseñada para atacar cuentas de Microsoft 365. Este servicio emergente no solo facilita la ...
Leer más

Suscribirme al sitio

Suscríbete a nuestro blog

Categorías

En la comunidad

Artículos anclados
Actividades recientes
  • Hugo F. Pérez Carretta
    Hugo F. Pérez Carretta ha compartido un enlace
    Editar
     https://www.linkedin.com/pulse/libertad-de-expresi%C3%B3n-vs-control-judicial-el-caso-la-roberto-nfiqf/?trackingId=JD9DjuVmv3jhFtXjj%2FAmiQ%3D%3D
    Libertad de expresión vs. Control judicial: El caso de la suspensión de X en Brasil
    https://www.linkedin.com/pulse/libertad-de-expresi%C3%B3n-vs-control-judicial-el-caso-la-roberto-nfiqf/?trackingId=JD9DjuVmv3jhFtXjj%2FAmiQ%3D%3D
    El viernes 30 de agosto de 2024, un ministro del Tribunal Supremo Federal de Brasil ordenó la suspensión inmediata y total del funcionamiento de la red social X, ex Twitter, en todo el territorio de ese país hasta que se cumpla la decisión judicial de esa instancia. Adicionalmente, dispuso una astre
    0
    0
    0
    0
    0
    0
    Comments (0)
    La publicación está bajo moderación
    El elemento de la secuencia se ha publicado correctamente. El elemento estará ahora visible en tu stream.
Aún no hay actividades aquí
Inicie sesión para ver más elementos del flujo

Iniciar sesión o registrarse