Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current Restore this Version View Page History

« Previous Version 2 Current »

Información obtenida de: Diario Oficial de la Federación

Es importante conocer la reglamentación oficial sobre los factores de autenticación y el manejo de datos sensibles de los usuario. A continuación se da un resumen de lo más relevante de acuerdo a nuestras actividades. Para más información consulten el link.

Clientes

  • El identificador del usuario es el número de teléfono

  • Un segundo factor categoría 2 o 4

    • Número de Identificación Personal (NIP)

    • Contraseña alfanumérica de al menos 6 caracteres

    • Características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras.

  • Articulo 308

Factores de autenticación

  • Las instituciones proporcionaran los métodos para:

    • Recopilar. Cuando se afilie un cliente a la institución

    • Almacenar. Los datos o biométricos obtenidos del cliente

    • y destruir los factores de autenticación de los clientes cuando ya no sean clientes

          de forma segura.

  • Articulo 9

Categorías de autenticación

  • Información obtenida mediante la aplicación de cuestionario a usuario

  • Información que solo el usuario conozca como contraseña y Número de Identificación Personal (NIP)

  • Información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso

  • Información biométrica como: huellas dactilares,  geometría de manos o patrones en iris o retina, etc.

  • Articulo 10

Autenticación de las instituciones

  • Las instituciones deben establecer y proporcionar mecanismos para que el usuario pueda autenticar a la institución al inicio de una sesión.

  • Articulo 311

Protección de las sesiones

  • Terminar sesión por inactividad de más de 1 minutos

  • Impedir el acceso en forma simultánea con la misma cuenta

  • Articulo 316 B2

Bloqueo de contraseñas o factores de autenticación

  • Cuando se ha equivocado en un máximo de 5 veces seguidas

  • Se bloqueara el servicio de autenticación cuando el usuario se niegue a su uso

  • Para el desbloqueo debe realizarse por medio de preguntas secretas creadas durante la contratación

  • Articulo 316 B3 y ver 307

Manejo de contraseñas

  • Controles de asignación y reposición de contraseñas y factores de autenticación

  • Se prohíbe los mecanismos, algoritmos o procedimientos que permitan conocer, recuperar o descifrar los datos de cualquier información relativa a la autenticación del usuario

  • Se prohíbe a los funcionarios, empleados, representantes o comisionistas, solicitar al usuario información parcial o total de los factores de autenticación

  • Articulo 316 B4

Desactivar el uso en el dispositivo

  • Debe existir la desactivación de la banca en línea por medio de un factor de autenticación

  • Articulo 316 B5

Cifrado

  • Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de  la Información Sensible del Usuario

  • Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos  transmitidos

  • Administración de las llaves criptográficas

  • Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio  Respuesta, podrán implementar controles compensatorios al Cifrado

  • Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar  las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o  cualquier otro Factor de Autenticación

  • Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a  través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto  SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado

  • La información de los Factores de Autenticación Categoría 2, podrán ser comunicados  al Usuario mediante dispositivos de audio respuesta automática

  • El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales  como los denominados HSM (Hardware Security Module)

  • Articulo 316 B10

Bitácora de operaciones

  • La institución debe mantener registro de todas las operaciones realizadas por medios electrónicos

  • Articulo 316 B15