2.1. Alcance

Las instrucciones de que trata el presente numeral deben ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de la SFC, con excep- ción de Fondo de Garantías de Instituciones Financieras -FOGAFÍN-., Fondo de Garantías de Entidades Cooperativas -FOGACOOP-, Fondo Nacional de Garan- tías-FNG-,Fondo Financiero de Proyectos de Desarrollo-FONADE-, los Almacenes Generales de Depósito, los Fondos deGarantía que se constituyan en el mercado de valores, los Fondos Mutuos de Inversión, las Sociedades Calificadoras de Va- lores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior,los Corredores de Seguros y de Reaseguros, los Co- misionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación.

Sin embargo, las entidades exceptuadas de la aplicación del presente numeral, citadas en el párrafo anterior, deben dar cumplimiento a los criterios de seguri- dad y calidad de la información, establecidos en los subnumerales 2.3.1 y 2.3.2 subsiguientes.

La obligación relacionada con la elaboración del perfil de las costumbres transac- cionales de cada uno de sus clientes debe ser cumplida únicamente por los es- tablecimientos de crédito, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, la pongan en práctica.

El subnumeral correspondiente al análisis de vulnerabilidades debe ser aplicado únicamente por los establecimientosde crédito, los administradores de sistemas de pago de bajo valor, las sociedades especializadas en depósitos y pagos elec- trónicos y las entidades vigiladas que permitan la ejecución de órdenes electró- nicas para la transferencia defondos, la compra, venta o transferencia de títulos valores y la emisión de pólizas de seguros, por sistemas de accesoremoto para clientes, Internet o dispositivos móviles, sin perjuicio de que las demás entida- des, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.

Las entidades vigiladas que presten sus servicios a través de corresponsales deben sujetarse, para el uso de este canal de distribución, a las instrucciones contenidas en el subnumeral 1.2 del presente Capítulo.

En todo caso las entidades vigiladas destinatarias de las instrucciones aquí con- tenidas, deben implementar los requerimientos exigidos atendiendo la natura- leza, objeto social y demás características particulares de su actividad.

Las entidades vigiladas deben incluir en sus políticas y procedimientos relativos a la administración de la información, las siguientes definiciones, criterios y re- querimientos mínimos relativos a seguridad y calidad de la información que se maneja a través de canales e instrumentos para la realización de operaciones.

2.2.   Definiciones aplicables

2.2.1.      Vulnerabilidad informática: ausencia o deficiencia de los controles infor- máticos que permiten el acceso no autorizado a los canales de distribución o a los sistemas informáticos de la entidad.

2.2.2.      Cifrado fuerte: técnicas de codificación para protección de la información que utilizan algoritmos reconocidos internacionalmente, que se encuentren vi- gentes y que sus tamaños de llave no hayan sido vulnerados.

2.2.3.       Operaciones no monetarias: son las acciones a través de las cuales se desarrollan, ejecutan o materializan los productos o servicios que prestan las entidades a sus clientes o usuarios y que no conllevan movimiento, manejo o transferencia de dinero.

2.2.4.      Operaciones monetarias: son las acciones que implican o conllevan movi- miento, manejo o transferencia de dinero.

2.2.5.      Autenticación: conjunto de técnicas y procedimientos utilizados para ve- rificar la identidad de un cliente, entidad ousuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es.

2.2.6.       Mecanismos fuertes de autenticación: se entienden como mecanismos fuertes de autenticación los siguientes:

2.2.6.1.        Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquelloseventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autentica- ción.

2.2.6.2.        Certificados de firma digital de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios.

2.2.6.3.        OTP (One Time Password), en combinación con un segundo factor de autenticación.

2.2.6.4.        Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación.

2.2.6.5.        Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.

2.2.7.      Proveedores de redes y servicios de telecomunicaciones: son las empre- sas reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y lasComunicacio- nes, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros,de acuerdo con lo establecido en el art 1. de la Resolución 202 de 2010.

2.2.8.      Ambiente de venta presente: transacciones en las cuales el instrumento de pago interactúa con el dispositivo de captura de información.

2.2.9.       Ambiente de venta no presente: transacciones en las cuales el instru- mento de pago no interactúa con el dispositivo de captura de información.

2.2.10.       Participante no vigilado: se refiere a quien haya sido autorizado por una Entidad Administradora de Sistemas de Pago de Bajo Valor (EASPBV) para tra- mitar órdenes de pago y de transferencia de fondos a través de su sistema y que no sea una entidad vigilada por la SFC, de conformidad con el numeral 16 del artículo 2.17.1.1.1 del Decreto 2555 de 2010).

2.2.11.        Código QR (Quick Response Code): Es un código de respuesta rápida, bidimensional, con estructura cuadrada.Tiene la capacidad de almacenar datos codificados, es de fácil lectura y tiene mayor capacidad de almacenamiento que loscódigos universales de productos (UPC por sus siglas en inglés) o códigos de barras. Puede ser estático (su contenido no cambia, generalmente impreso) o dinámico (cambia su contenido para cada operación, generado por software en tiempo real).

Los códigos QR pueden ser adaptados para operaciones monetarias y no mone- tarias.

2.2.12.       Tokenización: Proceso de remplazar un dato confidencial por otro equi- valente que no lo es (no confidencial), el cual garantiza la misma operatividad y no tiene un valor intrínseco.

2.2.13.       Característica biométrica: atributo biológico o comportamental de un in- dividuo del cual se pueden extraerpropiedades distintivas y repetibles para su reconocimiento.

2.2.14.       Muestra biométrica: representación que se obtiene de una característica biométrica capturada mediante undispositivo vinculado a un sistema biométrico, como una imagen facial, una grabación de voz o una imagen de huella digital.

2.2.15.       Plantilla biométrica: representación de una o varias muestras biométri- cas utilizadas para la comparación, reconocimiento e individualización de una persona, las cuales pueden construirse a través de métodos tales como vectores, datos numéricos y algoritmos criptográficos.

2.2.16.       Omnicanalidad: estrategia que busca mejorar la experiencia del consu- midor y la eficiencia operativa,proporcionando la mayor homogeneidad posible en los diferentes canales y el uso de varios de ellos en la ejecución de las ope- raciones, cuando esto resulte procedente.

2.2.17.       Pagos sin contacto (contactless): sistema que permite pagar una compra mediante tecnologías de identificación por radiofrecuencia o lectura electrónica, incorporadas en tarjetas de crédito o débito, llaveros, tarjetas inteligentes, telé- fonos móviles u otros dispositivos.

2.3.       Criterios

2.3.1.      Respecto de la seguridad de la información

2.3.1.1.        Confidencialidad: hace referencia a la protección de información cuya divulgación no está autorizada.

2.3.1.2.       Integridad: la información debe ser precisa, coherente y completa desde su creación hasta su destrucción.

2.3.1.3.       Disponibilidad: la información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.

2.3.2.      Respecto de la calidad de la información

2.3.2.1.        Efectividad: la información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.

2.3.2.2.        Eficiencia: el procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.

2.3.2.3.        Confiabilidad: la información debe ser la apropiada para la administra- ción de la entidad y el cumplimiento de sus obligaciones.

2.3.3.      Requerimientos generales

A fin de dar debida aplicación a los criterios antes indicados, las entidades deben adoptar, al menos, las medidas que se relacionan a continuación:

2.3.3.1.1.         Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controlesnecesarios que permitan prestar los ser- vicios y manejar la información en condiciones de seguridad y calidad.

2.3.3.1.2.         Gestionar la seguridad de la información, para lo cual pueden tener como referencia el estándar ISO 27000, o el que lo sustituya.

2.3.3.1.3.         Disponer que el envío de información confidencial y de los instrumen- tos para la realización de operaciones a sus clientes se haga en condiciones de seguridad. Cuando dicha información se envíe como parte de, o adjunta a un correoelectrónico, mensajería instantánea o cualquier otra modalidad de comu- nicación electrónica, ésta debe estar cifrada.

2.3.3.1.4.         Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad.

2.3.3.1.5.         Velar porque la información enviada a los clientes esté libre de soft- ware malicioso.

2.3.3.1.6.         Proteger las claves de acceso a los sistemas de información. En desa- rrollo de esta obligación, las entidades deben evitar el uso de claves comparti- das, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades debe ser única y personalizada.

2.3.3.1.7.         Dotar a sus terminales, equipos de cómputo y redes locales de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.

2.3.3.1.8.         Velar porque los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil.

2.3.3.1.9.          Ofrecer los mecanismos necesarios para que los clientes tengan la posibilidad de personalizar las condiciones bajo las cuales realicen operaciones monetarias por los diferentes canales, siempre y cuando éstos lo permitan. En estoseventos se puede permitir que el cliente inscriba las cuentas a las cuales realizará transferencias, registre las direcciones IP fijas y el o los números de telefonía móvil desde los cuales operará.

2.3.3.1.10.          Ofrecer la posibilidad de manejar contraseñas diferentes para los instrumentos o canales, en caso de que éstos lo requieran y/o lo permitan.

2.3.3.1.11.         Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo sólo pueda ser realizado por personal debidamente autori- zado.

2.3.3.1.12.          Establecer procedimientos para el bloqueo de canales o de instru- mentos para la realización de operaciones,cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.

2.3.3.1.13.         Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las ope- raciones monetarias que no correspondan a sus hábitos.

2.3.3.1.14.          Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general,tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales e instrumentos para la realización de operaciones. En desarrollo de lo anterior, las entidades deben es- tablecer los procedimientos y controles parael alistamiento, transporte, instala- ción y mantenimiento de los dispositivos usados en los canales de distribución de servicios.

2.3.3.1.15.         Definir los procedimientos y medidas que se deben ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros.

2.3.3.1.16.          Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se debe tener como refe- rencia la hora oficial suministrada por la autoridad encargada de suministrar la hora legal, de conformidad con las normas aplicables.

2.3.3.1.17.         Tener en operación sólo los protocolos, servicios, aplicaciones, usua- rios, equipos, entre otros, necesarios para el desarrollo de su actividad.

2.3.3.1.18.         Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente.

2.3.3.1.19.         Incluir en el informe de gestión a que se refiere el artículo 47 de la Ley 222 de 1995 –modificado por elartículo 1 de la Ley 603 de 2000-, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente Circular.

2.3.3.1.20.          Considerar en sus políticas y procedimientos relativos a los canales de distribución, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información.

2.3.3.1.21.          Los establecimientos de crédito deben adoptar mecanismos que le permitan atender las operaciones de losconsumidores financieros, por los cana- les que resulten necesarios y por las cuantías que determine razonables, para garantizar un nivel mínimo de prestación de sus servicios a los consumidores financieros, cuando la entidad opere fuera de línea.

2.3.3.1.22.          Los establecimientos de crédito deben enviar trimestralmente a la SFC, a la dirección de correo riesgooperativo@superfinanciera.gov.co, un in- forme sobre la disponibilidad mensual de cada uno de los canales pormedio de los cuales presta sus servicios en el que se incluya el detalle de la metodología utilizada para el cálculo de la disponibilidad. Se entiende por disponibilidad el porcentaje de tiempo que durante el mes el canal estuvo habilitado para lapres- tación del servicio.

2.3.3.1.23.          Las entidades vigiladas deben informar a la SFC a la dirección de correoriesgooperativo@superfinanciera.gov.co, los eventos que afecten de ma- nera significativa la confidencialidad, integridad o disponibilidad de la informa- ción manejada en los sistemas que soportan los canales de atención al cliente, haciendo una breve descripción del incidente y su impacto. Los incidentes se deben reportar tan pronto se presenten. Así mismo, debenremitir la información de la que trata el subnumeral 3.4.1 del Capítulo I del Título III de la Parte I de la CBJ.

2.3.3.1.24.          Las bolsas de valores, bolsas de bienes y productos agropecuarios, agroindustriales o de otros commodities,los depósitos centralizados de valores, las cámaras de riesgo central de contraparte, los sistemas de compensación y liquidación de valores, los sistemas de compensación y liquidación de divisas, los proveedores de precios para valoración,los administradores de sistemas de negociación de valores y/o registro de operaciones sobre valores, los adminis- tradoresde sistemas de negociación de divisas y/o registro de operaciones sobre divisas, y las sociedades de financiación colaborativadeben reportar a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co, los siguientes eventos:

2.3.3.1.24.1.            Fallas en los sistemas administrados que afecten y/o tengan el potencial de afectar la prestación de losservicios y/o que generen errores o falta de oportunidad en la información suministrada al mercado y/o al público en ge- neral. Dicha información se debe reportar a más tardar al día hábil siguiente y debe contener una breve descripción del evento o incidente y de la afectación.

2.3.3.1.24.2.           La descripción de las pruebas de contingencia y/o continuidad rea- lizadas a los sistemas que implementen o no la participación de los afiliados o usuarios y que tengan el potencial de generar afectación en la prestación de los servicios. Esta información se debe reportar el día hábil anterior al inicio de las pruebas.

2.3.3.1.24.3.            Actualizaciones y/o modificaciones técnicas o tecnológicas que tengan el potencial de generarinterrupciones en la prestación de los servicios o en la correcta y oportuna generación de información. Esta información se debe reportar por lo menos con ocho (8) días calendario de antelación y en ella se deben especificar los servicios que sepodrían ver afectados y los medios alternos que se utilizarán para dar continuidad a la operación en condiciones de norma- lidad.

Cuando no sea posible reportar la información respecto de las actualizaciones y/o modificaciones técnicas o tecnológicas con la antelación de ocho (8) días calendario a la que se refiere el inciso anterior, esta información sedebe reportar a más tardar al día hábil siguiente de la realización de la actualización y/o mo- dificación, otorgando las explicaciones suficientes sobre la razón por la cual el reporte se está realizando en un término inferior.

2.3.3.1.24.4.           Proyectos relativos a nuevos servicios o productos y/o renovacio- nes estructurales de la plataformatecnológica que tengan el potencial de gene- rar impactos en los servicios e información suministrada al mercado. Estainfor- mación se debe reportar en la fecha de inicio de la implementación del proyecto y debe contener el cronograma de actividades, en donde se incluyan, entre otros, las fechas previstas para la realización de las pruebas o ejercicios, capacitaciones al mercado, ajustes reglamentarios y entrada en producción.

2.3.3.1.25.          Promover estrategias de omnicanalidad que tengan en cuenta las políticas de gestión de riesgos y modelo de negocio de la entidad, así como las particularidades de cada tipo de operación.

2.3.3.1.26.         Establecer los parámetros a partir de los cuales las entidades reque- rirán mecanismos fuertes de autenticaciónpara las transacciones realizadas me- diante pago con o sin contacto, en consideración al análisis de riesgo asociado a esta tecnología. Estos parámetros deben ser informados a los consumidores fi- nancieros.

2.3.3.1.27.          Establecer mecanismos fuertes de autenticación para las operacio- nes que, de acuerdo con el análisis de riesgo de cada entidad, generen mayor exposición al riesgo de fraude o suplantación. El análisis debe estar documentado y a disposición de la SFC. Igualmente, este análisis debe tener en cuenta aspec- tos como el perfil transaccional del cliente, monto de operaciones, tipo de pro- ducto, canal, etc.

En todo caso, será obligatorio implementar mecanismos fuertes de autenticación para las siguientes operaciones:

2.3.3.1.27.1.           La actualización de datos del cliente para la notificación de opera- ciones monetarias o generación de alertas (por ejemplo, correo electrónico, ce- lular).

2.3.3.1.27.2.           Las operaciones realizadas con tarjeta débito y crédito, en territo- rio nacional, en ambiente presente, cuando el emisor sea colombiano, y se su- peren los parámetros establecidos en cumplimiento de lo dispuesto en el subnu- meral 2.3.3.1.26 del presente Capítulo.

2.3.3.1.28.          Contar con soporte para los sistemas informáticos empleados en la prestación de servicios, el cual puede serprestado por el fabricante, proveedor o sus distribuidores autorizados.

2.3.3.1.29.         Promover alternativas, conforme a su modelo de negocio, para rea- lizar operaciones de comercio electrónico con cargo a productos distintos a las tarjetas de crédito aprobadas a sus clientes y plataformas tecnológicas como los botones de pago.

2.3.3.2.        En materia de documentación

Las entidades deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.3.2.1.         Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual debe contener cuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: el nú- mero delteléfono desde el cual se hizo la llamada; para operaciones por Inter- net: la dirección IP desde la cual se hizo la misma;para operaciones con dispo- sitivos móviles, el número desde el cual se hizo la conexión), cuenta(s), número de la operación y costo de la misma para el cliente o usuario.

2.3.3.2.2.         Velar porque los órganos de control incluyan en sus informes la eva- luación acerca del cumplimiento de losprocedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los ser- vicios a los clientes y usuarios, a través de los diferentes canales de distribución.

2.3.3.2.3.          Generar informes trimestrales sobre la disponibilidad y número de operaciones realizadas en cada uno de loscanales de distribución. Esta informa- ción debe ser conservada por un término de 2 años.

2.3.3.2.4.         Cuando a través de los distintos canales se pidan y se realicen dona- ciones, se debe generar y entregar unsoporte incluyendo el valor de la donación y el nombre del beneficiario.

2.3.3.2.5.         Conservar todos los soportes y documentos donde se hayan estable- cido los compromisos, tanto de las entidades como de sus clientes y las condi- ciones bajo las cuales éstas prestan sus servicios. Se debe dejar evidencia do- cumentada de que los clientes las han conocido y aceptado. Esta información debe ser conservada por lo menos por 2 años,contados a partir de la fecha de terminación de la relación contractual o en caso de que la información sea objeto o soporte deuna reclamación o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.3.2.6.         Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la informaciónconfidencial de los clientes, que contenga al menos lo siguiente: identificación del funcionario que realizó la consulta, canal utilizado identificación del equipo, fecha y hora. En desarrollo de lo anterior, se deben establecer mecanismos que restrinjan el acceso a dicha información, para que solo pueda ser usada por el personal que lo requiera en función de su tra- bajo.

2.3.3.2.7.         Llevar el registro de las actividades adelantadas sobre los dispositivos finales a cargo de la entidad, usados enlos canales de distribución de servicios, cuando se realice su alistamiento, transporte, mantenimiento, instalación y ac- tivación.

2.3.3.2.8.         Dejar constancia del cumplimiento de la obligación de informar ade- cuadamente a los clientes respecto de lasmedidas de seguridad que deben tener en cuenta para la realización de operaciones por cada canal, así como los proce- dimientos para el bloqueo, inactivación, reactivación y cancelación de los pro- ductos y servicios ofrecidos.

2.3.3.2.9.         Grabar las llamadas realizadas por los clientes a los centros de aten- ción telefónica cuando consulten o actualicen su información.

La información a que se refieren los subnumerales 2.3.3.2.1, 2.3.3.2.6 y

2.3.3.2.9 debe ser conservada por lo menos por 2 años. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cual- quier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.4.      Requerimientos especiales por tipo de canal

2.3.4.1.        En oficinas

La realización de operaciones monetarias a través de oficinas conlleva el cum- plimiento, como mínimo, de los siguientes requerimientos de seguridad

2.3.4.1.1.         Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.

2.3.4.1.2.         Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de seguridadadecuados que garanticen protección de acceso controlado.

2.3.4.1.3.          Contar con cámaras de video, las cuales deben cubrir al menos el acceso principal y las áreas de atención al público. Las imágenes deben ser con- servadas por lo menos 6 meses o en el caso en que la imagen respectiva sea objeto osoporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.4.1.4.         Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los clientes o usuarios en nombre de la entidad.

2.3.4.1.5.         La información que viaja entre las oficinas y los sitios centrales de las entidades debe estar cifrada usando hardware de propósito específico, o soft- ware, o una combinación de los anteriores. Para los establecimientos de crédito el hardware o software empleados deben ser totalmente separados e indepen- dientes de cualquier otro dispositivo o elemento de procesamiento de informa- ción, de seguridad informática, de transmisión y/o recepción de datos, de comu- nicaciones, de conmutación, de enrutamiento, de gateways, servidores de ac- ceso remoto (RAS) y/o de concentradores. En cualquiera delos casos anteriores se debe emplear cifrado fuerte. Las entidades deben evaluar con regularidad la efectividad y vigencia de los mecanismos de cifrado adoptados.

2.3.4.1.6.         Establecer procedimientos necesarios para atender de manera segura y eficiente a sus clientes en todo momento, en particular cuando se presenten situaciones especiales tales como: fallas en los sistemas, restricciones en los servicios, fechas y horas de mayor congestión, posible alteración del orden pú- blico, entre otras, así como para el retorno a la normalidad. Las medidas adop- tadas deben ser informadas oportunamente a los clientes y usuarios.

2.3.4.1.7.         Contar con los elementos necesarios para la debida atención del pú- blico, tales como: lectores de código de barras, contadores de billetes y mone- das, PIN Pad, entre otros, que cumplan con las condiciones de seguridad y cali- dad, de acuerdo con los productos y servicios ofrecidos en cada oficina.

2.3.4.2.        Cajeros automáticos (ATM)

Deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.4.2.1.         Contar con sistemas de video grabación que asocien los datos y las imágenes de cada operación monetaria. Las imágenes deben ser conservadas por lo menos 6 meses o en el caso en que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.4.2.2.         Cuando el cajero automático no se encuentre físicamente conectado a una oficina, la información que viajaentre este y su respectivo sitio central de procesamiento se debe proteger utilizando cifrado fuerte, empleando para ello hardware de propósito específico, software de propósito específico, o una com- binación de los anteriores. Las entidades deben evaluar con regularidad la efec- tividad y vigencia del mecanismo de cifrado adoptado.

2.3.4.2.3.         Los dispositivos utilizados para la autenticación del cliente o usuario en el cajero deben emplear cifrado.

2.3.4.2.4.         Implementar el intercambio dinámico de llaves entre los sistemas de cifrado, con la frecuencia necesaria para dotar de seguridad a las operaciones realizadas.

2.3.4.2.5.         Los sitios donde se instalen los cajeros automáticos deben contar con las medidas de seguridad físicas para su operación y estar acordes con las es- pecificaciones del fabricante. Adicionalmente, deben tener mecanismos que ga- ranticen la privacidad en la realización de operaciones para que la información usada en ellas no quede a la vista de terceros.

2.3.4.2.6.         Implementar mecanismos de autenticación que permitan confirmar que el cajero es un dispositivo autorizado dentro de la red de la entidad.

2.3.4.2.7.         Estar en capacidad de operar con las tarjetas a que aluden el subnu- meral 2.3.4.12.11 del presente Capítulo.

2.3.4.2.8.         Contar con mecanismos que permitan a la entidad emisora del instru- mento de pago reversar automáticamentelos retiros realizados en cajeros, en territorio nacional, cuando el dinero no haya sido entregado por causas que sean atribuibles al funcionamiento del mismo y que sean conocidas por la entidad.

En este caso se debe informar al consumidor financiero, por cualquier medio expedito, que la entidad procederá a realizar la reversión. En ningún caso la entidad podrá cobrar por la operación ni debitar ningún concepto asociado a la misma.

Adicionalmente, contar con mecanismos que permitan reversar el cobro reali- zado  a  consumidores  financieros  por  operaciones  fallidas  en  cajeros automáticos. Para estos efectos se entiende por operaciones fallidas cuando el consumidor financiero no recibe el servicio que demandó por cualquier razón. De igual forma debe informar al consumidor financiero, por cualquier medio ex- pedito, que la entidad procederá a realizar la reversión del cobro, la cual deberá realizarse a más tardar dentro de los 2 días hábiles (en el caso de operaciones realizadas en territorio nacional) y 5 días hábiles (en el caso de operaciones realizadas por fuera del territorio nacional) siguientes a la realización del mismo.

2.3.4.2.9.          Adoptar los procedimientos necesarios para permitir, en su red de cajeros, el retiro en una sola operación del monto máximo diario establecido por la entidad según su evaluación de riesgos correspondiente, o por el cliente cuando éste sea menor al establecido por la entidad.

2.3.4.3.        Receptores de cheques

Los dispositivos electrónicos que permitan la recepción o consignación de che- ques deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.4.3.1.         Contar con mecanismos que identifiquen y acepten los cheques, le- yendo automáticamente, al menos, los siguientes datos: la entidad emisora, el número de cuenta y el número de cheque.

2.3.4.3.2.         Los cheques o documentos no aceptados por el módulo para recepción de cheques no pueden ser retenidos y deben ser retornados inmediatamente al cliente o usuario, informando la causa del reintegro.

2.3.4.3.3.         Una vez el cliente o usuario deposite el cheque, el sistema debe mos- trar una imagen del mismo y la información asociada a la operación monetaria, para confirmar los datos de la misma y proceder o no a su realización. En caso negativo debe devolver el cheque o documento, dejando un registro de la ope- ración.

2.3.4.3.4.         Como parte del procedimiento de consignación del cheque se le debe poner una marca que indique que éste fue depositado en el módulo.

2.3.4.4.        Receptores de dinero en efectivo

Los dispositivos que permitan la recepción de dinero en efectivo deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.4.4.1.         Contar con mecanismos que verifiquen la autenticidad y denominación de los billetes.

2.3.4.4.2.         Totalizar el monto de la operación con los billetes aceptados y permitir que el cliente o usuario confirme o no surealización. En este último caso se debe devolver la totalidad de los billetes entregados, generando el respectivo registro.

2.3.4.4.3.         Las operaciones en efectivo deben realizarse en línea, afectando el saldo de la respectiva cuenta. La operaciónno debe quedar sujeta a verificación.

2.3.4.4.4.         Los billetes no aceptados no pueden ser retenidos y deben ser retor- nados inmediatamente al cliente o usuario.

2.3.4.5.        POS (incluye PIN Pad)

Deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.4.5.1.         La lectura de tarjetas solo debe hacerse a través de la lectora de los datáfonos y los PIN Pad.

2.3.4.5.2.         Cumplir el estándar EMV (Europay MasterCard VISA).

2.3.4.5.4.         Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientoscomerciales, confirmar la identidad de los fun- cionarios autorizados para retirar o hacer mantenimiento a los dispositivos.

2.3.4.5.5.         Velar porque la información confidencial de los clientes y usuarios no sea almacenada o retenida en el lugar endonde los POS estén siendo utilizados.

2.3.4.5.6.         Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario.

2.3.4.6.        Sistemas de audio respuesta (IVR)

Los sistemas de audio respuesta deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.4.6.1.         Permitir al cliente confirmar la información suministrada en la realiza- ción de la operación monetaria.

2.3.4.6.2.         Permitir transferir la llamada a un operador, al menos en los horarios hábiles de atención al público.

2.3.4.6.3.         Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.

2.3.4.7.        Centro de atención telefónica (Call Center, Contact Center)

Los centros de atención telefónica deben cumplir, como mínimo, con los siguien- tes requerimientos:

2.3.4.7.1.         Destinar un área dedicada exclusivamente para la operación de los recursos necesarios en la prestación del servicio, la cual debe contar con los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada.

2.3.4.7.2.         Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suminis- trados por la entidad.

2.3.4.7.3.         Dotar a los equipos de cómputo que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por la entidad. Igualmente, se debe bloquear cualquiertipo de conexión a red distinta a la usada para la prestación del servi- cio.

2.3.4.7.4.         Garantizar que los equipos de cómputo destinados a los centros de atención telefónica solo sean utilizados enla prestación de servicios por ese ca- nal.

2.3.4.7.5.         En los equipos de cómputo usados en los centros de atención telefó- nica no se debe permitir la navegación por internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que per- mita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deben ser conser- vados por lo menos 6 meses o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.4.7.6.         Las entidades también podrán prestar los servicios del Centro de aten- ción telefónica (Call Center, ContactCenter) a través de colaboradores ubicados por fuera de las instalaciones exclusivas a las que hace referencia el subnumeral 2.3.4.7.1, previo el análisis de riesgo y la implementación de las medidas de control para:

a.  Preservar la confidencialidad, integridad y disponibilidad de la información.

b.  Mitigar el riesgo de: i) extracción, almacenamiento o copia de la información manejada y ii) uso de dispositivos o mediosde comunicación que no sean sumi- nistrados por la entidad para la prestación del servicio.

c.  Impedir: i) el uso o conexión a redes distintas a las autorizadas para la pres- tación del servicio y ii) que se destinen losdispositivos y medios de comunicación para actividades distintas a la prestación de los servicios por este canal.

d.  Fortalecer el monitoreo sobre las operaciones realizadas con productos cuya información haya sido gestionada en estas áreas.

En aquellos eventos en que los equipos de cómputo permitan el envío o recep- ción de correo electrónico,mensajería instantánea, o cualquier otro servicio que permita el intercambio de información, las entidades deben contar con un sis- tema de registro de la información enviada y recibida, y conservar dichos regis- tros por un periodo mínimo de 6 meses. En el caso en que la información res- pectiva sea objeto o soporte de una reclamación, queja o forme parte de un proceso judicial o una actuación extrajudicial, se deberá conservar hasta el mo- mento enque la reclamación o queja se resuelva, o el proceso o actuación fina- lice.

Para efectos del presente subnumeral, se entiende por colaboradores el personal que preste los servicios del Centro de atención telefónica (Call Center, Contact Center) en cualquiera de las modalidades contratadas por la entidad vigilada para la atención parcial o total de sus consumidores financieros a través de este canal.

2.3.4.8.        Sistemas de acceso remoto para clientes (RAS)

Entendido como el acceso brindado por las entidades vigiladas a sus clientes para la realización de operaciones mediante el uso de aplicaciones personaliza- das, utilizando generalmente enlaces dedicados

Las entidades que ofrezcan servicio de acceso remoto para la realización de ope- raciones monetarias deben contarcon un módulo de seguridad de hardware para el sistema, que cumpla al menos con el estándar de seguridad FIPS-140-2 (Fe- deral Information Processing Standard), el cual debe ser de propósito específico (appliance) totalmenteseparado e independiente de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de trans- misión y/o recepción de datos, de comunicaciones, de conmutación, de enruta- miento, de gateways, de servidores de acceso remoto (RAS) y/o de concentra- dores.

2.3.4.9.        Internet

Las entidades que ofrezcan la realización de operaciones por Internet deben cumplir con los siguientes requerimientos:

2.3.4.9.2.         Realizar como mínimo 2 veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal debe reali- zarse una prueba adicional.

2.3.4.9.3.         Promover y poner a disposición de sus clientes mecanismos que re- duzcan la posibilidad de que la informaciónde sus operaciones monetarias pueda ser capturada por terceros no autorizados durante cada sesión.

2.3.4.9.4.         Establecer el tiempo máximo de inactividad, después del cual se debe dar por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.

2.3.4.9.5.         Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.

2.3.4.9.6.         Implementar mecanismos que permitan a la entidad financiera verifi- car constantemente que no seanmodificados los enlaces (links) de su sitio web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolu- ción de sus DNS.

2.3.4.9.7.         Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación deservicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.

2.3.4.9.8.         Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.

2.3.4.10.         Prestación de servicios a través de nuevos canales

Cuando la entidad decida iniciar la prestación de servicios a través de nuevos canales, diferentes a los que tiene enuso, además del cumplimiento de las ins- trucciones generales de seguridad y calidad, debe adelantar el respectivoanálisis de riesgos del nuevo canal. Dicho análisis debe ser puesto en conocimiento de la junta directiva y los órganos de control.

La entidad debe remitir a la SFC, con al menos 15 días calendario de antelación a la fecha prevista para el inicio de ladistribución de servicios a través del nuevo canal, la siguiente información:

2.3.4.10.1.         Descripción del procedimiento que se adoptará para la prestación del servicio.

2.3.4.10.2.          Tecnología que utilizará el nuevo canal.

2.3.4.10.3.         Análisis de riesgos y medidas de seguridad y control del nuevo canal.

2.3.4.10.4.         Planes de contingencia y continuidad para la operación del canal.

2.3.4.10.5. Plan de capacitación dirigido a los clientes y usuarios, para el uso del nuevo canal, así como para mitigar los riesgos a los que se verían expuestos.

2.3.4.11.         Banca Móvil

Los servicios que se presten a través de dispositivos móviles y utilicen navega- dores Web, son considerados banca por internet.

La prestación de servicios a través de banca móvil debe cumplir con los siguien- tes requerimientos:

2.3.4.11.1.         Contar con mecanismos de autenticación de 2 factores para la reali- zación de operaciones monetarias y no monetarias.

2.3.4.11.2.          Para operaciones monetarias individuales o que acumuladas men- sualmente por cliente superen 2 SMMLV, implementar mecanismos de cifrado fuerte de extremo a extremo para el envío y recepción de información confiden- cial de las operaciones realizadas, tal como: clave, número de cuenta, número de tarjeta, etc. Esta información, en ningún caso, puede ser conocida por los proveedores de redes y servicios de telecomunicaciones ni por cualquier otra entidad diferente a la entidad financiera que preste el servicio a través de este canal.

2.3.4.11.3.          Cualquier comunicación que se envíe al teléfono móvil como parte del servicio de alertas o notificación deoperaciones no requiere ser cifrada, salvo que incluya información confidencial.

2.3.4.11.4.           Para las operaciones monetarias individuales o que acumuladas mensualmente por cliente sean inferiores a 2SMMLV y que no cifren la informa- ción de extremo a extremo, la entidad debe adoptar las medidas necesarias para mitigar el riesgo asociado a esta forma de operar, el cual debe considerar los mecanismos de seguridad en donde la información no se encuentre cifrada. La SFC puede suspender el uso del canal cuando se advierta que existen fallas que afecten la seguridad de la información.

2.3.4.11.5.         Contar con medidas que garanticen la atomicidad de las operaciones y eviten su duplicidad debido a fallas en la comunicación ocasionadas por la calidad de la señal, el traslado entre celdas, entre otras.

2.3.4.11.6.          Los servicios que se presten para la realización de operaciones a través de Internet, en sesiones originadas desde el dispositivo móvil, deben cumplir con los requerimientos establecidos en el subnumeral 2.3.4.9 de Inter- net.

2.3.4.12.         Obligaciones específicas para tarjetas débito y crédito

2.3.4.12.1.         Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión,transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas.

2.3.4.12.2.          Cifrar la información de los clientes que sea remitida a los provee- dores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.

2.3.4.12.3.         Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, con- troles ymedidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabri- cación de la misma.

2.3.4.12.4.          Velar porque en los centros donde se realicen los procesos citados en el subnumeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad esta- blecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deben aplicar a los sobreflex.

2.3.4.12.5.         Establecer los procedimientos, controles y medidas de seguridad ne- cesarias para la creación, asignación y entrega de las claves a los clientes.

2.3.4.12.6.          Cuando la clave (PIN) asociada a una tarjeta débito o crédito haya sido asignada por la entidad vigilada, estadebe ser cambiada por el cliente antes de realizar su primera operación con este PIN.

2.3.4.12.7.         Ofrecer a sus clientes mecanismos que brinden la posibilidad inme- diata de cambiar la clave de la tarjetadébito o crédito en el momento que éstos lo consideren necesario.

2.3.4.12.8.         Establecer los procedimientos, controles y medidas para la notifica- ción al cliente de la inscripción de pagos en la entidad financiera o por parte de terceros con cargo a sus cuentas o tarjetas de crédito. Las entidades deben no- tificar a sus clientes acerca de la inscripción de pagos por parte de terceros con cargos a sus cuentas o tarjetas de crédito siempre que el tercero le informe a la entidad acerca de la inscripción de dicho pago.

2.3.4.12.9.          Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, nombre de la entidad emisora y fecha de expi- ración. Las entidades pueden emitir tarjetas innominadas cuando el análisis de riesgo realizado por ellas lo estime procedente.

2.3.4.12.10.           Al momento de la entrega de la tarjeta a los clientes, ésta debe estar inactiva. Las entidades deben definirun procedimiento para su respectiva activación, el cual contemple, al menos, dos de tres factores de autenticación. En cualquier caso, se deben entregar las tarjetas exclusivamente al cliente o a quien este autorice.

2.3.4.12.11.           Entregar a sus clientes tarjetas débito y/o crédito que manejen internamente mecanismos fuertes deautenticación, siempre que los cupos apro- bados superen 2 SMMLV Dichas tarjetas deben servir indistintamente para rea- lizar operaciones en cajeros automáticos (ATM) y en puntos de pago (POS).

Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de auten- ticación no son obligatorios en tarjetas débito asociadas a productos utilizados para canalizar recursos provenientes de programas de ayuda y/osubsidios otor- gados por el Estado Colombiano siempre que estos no superen 2 SMMLV.

Lo dispuesto en los subnumerales 2.3.4.12.1, 2.3.4.12.2, 2.3.4.12.3, 2.3.4.12.4 y 2.3.4.12.8 de este Capítulo no debe ser cumplido cuando se trate de tarjetas virtuales.

2.3.4.12.12.           Adoptar mecanismos de seguridad para la realización de operacio- nes en ambiente no presente, adicionales a la validación del número de la tar- jeta, la fecha de vencimiento y un código de verificación estático, tales como autorización por parte del consumidor financiero desde la app, CVV dinámico, tokenización y 3DSecure, entre otros.

2.3.4.13.         Operaciones por medio de códigos QR

2.3.4.13.1.          Proporcionar al consumidor financiero, directamente o a través de terceros, aplicaciones de software que permitan leer el código QR y enrutar la operación.

2.3.4.13.2.          Facilitar que los datos que no puedan ser obtenidos con la lectura del código QR estático y sean necesarios para la transacción (por ejemplo: monto), sean capturados por la aplicación del consumidor financiero que realiza la operación.

2.3.4.13.3.          Cumplir con los requerimientos establecidos en los subnumerales 2.3.4.9, 2.3.4.11 y 2.3.5 del presente capítulo para la implementación del soft- ware para realizar operaciones o generar los códigos QR dinámicos.

2.3.4.13.4.         Gestionar los riesgos que se puedan derivar de la realización de este tipo de operaciones.

2.3.4.13.5.         Con el propósito de promover la interoperabilidad, las entidades ad- ministradoras de los sistemas de Pago de Bajo Valor (SPBV) deben concertar y definir de manera conjunta la estructura de los campos donde debe enviarse la información, adicional al estándar, que resulte necesaria para la realización de las operaciones (por ejemplo: el código identificador del comercio y la discrimi- nación de los impuestos). Cualquier modificación a la estructura definida debe ser informada y socializada a los participantes del sistema de pagos 3 meses antes de su implementación.

La información de los campos definidos debe estar a disposición de la SFC y ser publicada en el sitio web de la entidad administradora para consulta de todos los interesados.

En el caso de operaciones no monetarias que se realicen mediante el uso de códigos QR, las entidades vigiladaspodrán decidir si adoptan o no la última ver- sión del estándar EMV® QR Code Specification for Payment Systems (EMV QRCPS) Merchant-Presented Mode or Consumer-Presented Mode.

2.3.5.      Requerimientos en materia de actualización de Software

Con el propósito de mantener un adecuado control sobre el software, las enti- dades deben cumplir, como mínimo, con las siguientes medidas:

2.3.5.1.       Mantener tres ambientes independientes: uno para el desarrollo de soft- ware, otro para la realización de pruebas y un tercer ambiente para los sistemas en producción. En todo caso, el desempeño y la seguridad de un ambiente no pueden influir en los demás.

2.3.5.2.        Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas.

2.3.5.3.        Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deben establecer los controles nece- sarios para garantizar su destrucción, una vez concluidas las mismas.

2.3.5.4.        Contar con procedimientos y controles para el paso de programas a producción. El software en operación debe estar catalogado.

2.3.5.5.        Contar con interfaces para los clientes o usuarios que cumplan con los criterios de seguridad y calidad, de talmanera que puedan hacer uso de ellas de una forma simple e intuitiva.

2.3.5.6.        Mantener documentada y actualizada, al menos, la siguiente informa- ción: parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones; versión de los programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas de información; y procedimientos de instalación del software.

2.3.6.      Tercerización – Outsourcing

Las entidades que contraten bajo la modalidad de outsourcing o tercerización, a personas naturales o jurídicas, para la atención parcial o total de los distintos canales o de los dispositivos usados en ellos, o que en desarrollo de suactividad tengan acceso a información confidencial de la entidad o de sus clientes, deben cumplir, además de lo establecido en el subnumeral 4.3.1.3.1 del Capítulo XXXI de la CBCF o las normas que lo modifiquen o sustituyan,como mínimo, con los siguientes requerimientos:

2.3.6.1.        Incluir en los contratos que se celebren con terceros, por lo menos, los siguientes aspectos:

2.3.6.1.1.         Propiedad de la información.

2.3.6.1.2.         Restricciones sobre el software empleado.

2.3.6.1.3.         Normas de seguridad informática y física a ser aplicadas.

2.3.6.1.4.         Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.

2.3.6.1.5.         Procedimientos y controles para la entrega de la información mane- jada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.

Las entidades deben contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente subnumeral, los cua- les deben ser informados previamente a la auditoría interna o quien ejerza sus funciones

.

2.3.6.2.       Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados.Las entidades deben verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las con- diciones pactadas.

2.3.6.3.        Establecer procedimientos que permitan identificar físicamente, de ma- nera inequívoca, a los funcionarios de los terceros contratados.

2.3.6.4.       Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados.

2.3.7.      Análisis de vulnerabilidades

2.3.7.1.        Estar basado en un hardware de propósito específico, software de pro- pósito específico, o una combinación de los anteriores, totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de co- municaciones y/o de seguridad informática.

2.3.7.2.        Generar de manera automática por lo menos 2 veces al año un informe consolidado de las vulnerabilidades encontradas. Los informes de los últimos 2 años deben estar a disposición de la SFC.

2.3.7.3.        Las entidades deben tomar las medidas necesarias para remediar las vulnerabilidades detectadas en sus análisis.

2.3.7.4.        Realizar un análisis diferencial de vulnerabilidades, comparando el in- forme actual con respecto al inmediatamente anterior.

2.3.7.5.        Las herramientas usadas en el análisis de vulnerabilidades deben estar homologadas por el CVE (CommonVulnerabilities and Exposures) y actualizadas a la fecha de su utilización.

2.3.7.6.        Para la generación de los informes solicitados se debe tomar como re- ferencia la lista de nombres devulnerabilidades CVE publicada por la corporación Mitre.

2.3.8.      Vinculación de Participantes a las EASPBV

Las EASPBV que vinculen a los Participantes no vigilados a los que se refiere el subnumeral 2.2.10 de esteCapítulo, que prestan servicios de aplicación de co- mercio electrónico para almacenar, procesar y/o transmitir el pago correspon- diente a operaciones de venta en línea con tarjetas débito o crédito, deben incluir en los contratos que celebren con estos, la obligación de contar, mantener y entregar la certificación PCI-DSS, emitida por una entidad que ostente la cate- goría QSA (Qualified Security Assessor), y soportada por el documento AoC (“At- testation ofCompliance”) correspondiente. Así mismo, las EASPBV deben verifi- car que la certificación PCI-DSS a que hace referencia el inciso anterior este vigente. Si el participante obligado a contar con la certificación no la mantiene vigente, no podrá continuar prestando los servicios señalados en el inciso ante- rior.

2.3.9.      Requerimientos mínimos para la implementación y uso de biometría como factor de autenticación electrónica.

En aquellos eventos en que las entidades usen biometría como factor de auten- ticación electrónica, deben realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autoriza- dos, o contra sus propias bases de datos.

Las entidades deben establecer mecanismos alternativos que permitan comple- tar los procesos de autenticación,cuando por razones médicas o físicas el cliente no pueda hacer uso de la biometría.

En aquellos eventos en que se utilicen bases de datos propias las entidades de- ben:

2.3.9.1.       Almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes.