Información obtenida de: Diario Oficial de la Federación

Es importante conocer la reglamentación oficial sobre los factores de autenticación y el manejo de datos sensibles de los usuario. A continuación se da un resumen de lo más relevante de acuerdo a nuestras actividades. Para más información consulten el link.

Clientes

  • El identificador del usuario es el número de teléfono

  • Un segundo factor categoría 2 o 4

    • Número de Identificación Personal (NIP)

    • Contraseña alfanumérica de al menos 6 caracteres

    • Características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras.

  • Articulo 308

Factores de autenticación

  • Las instituciones proporcionaran los métodos para:

    • Recopilar. Cuando se afilie un cliente a la institución

    • Almacenar. Los datos o biométricos obtenidos del cliente

    • y destruir los factores de autenticación de los clientes cuando ya no sean clientes

          de forma segura.

  • Articulo 309

Categorías de autenticación

  • Información obtenida mediante la aplicación de cuestionario a usuario

  • Información que solo el usuario conozca como contraseña y Número de Identificación Personal (NIP)

  • Información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso

  • Información biométrica como: huellas dactilares,  geometría de manos o patrones en iris o retina, etc.

  • Articulo 310

Autenticación de las instituciones

  • Las instituciones deben establecer y proporcionar mecanismos para que el usuario pueda autenticar a la institución al inicio de una sesión.

  • Articulo 311

Protección de las sesiones

  • Terminar sesión por inactividad de más de 1 minutos

  • Impedir el acceso en forma simultánea con la misma cuenta

  • Articulo 316 B2

Bloqueo de contraseñas o factores de autenticación

  • Cuando se ha equivocado en un máximo de 5 veces seguidas

  • Se bloqueara el servicio de autenticación cuando el usuario se niegue a su uso

  • Para el desbloqueo debe realizarse por medio de preguntas secretas creadas durante la contratación

  • Articulo 316 B3 y ver 307

Manejo de contraseñas

  • Controles de asignación y reposición de contraseñas y factores de autenticación

  • Se prohíbe los mecanismos, algoritmos o procedimientos que permitan conocer, recuperar o descifrar los datos de cualquier información relativa a la autenticación del usuario

  • Se prohíbe a los funcionarios, empleados, representantes o comisionistas, solicitar al usuario información parcial o total de los factores de autenticación

  • Articulo 316 B4

Desactivar el uso en el dispositivo

  • Debe existir la desactivación de la banca en línea por medio de un factor de autenticación

  • Articulo 316 B5

Cifrado

  • Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de  la Información Sensible del Usuario

  • Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos  transmitidos

  • Administración de las llaves criptográficas

  • Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio  Respuesta, podrán implementar controles compensatorios al Cifrado

  • Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar  las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o  cualquier otro Factor de Autenticación

  • Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a  través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto  SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado

  • La información de los Factores de Autenticación Categoría 2, podrán ser comunicados  al Usuario mediante dispositivos de audio respuesta automática

  • El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales  como los denominados HSM (Hardware Security Module)

  • Articulo 316 B10

Bitácora de operaciones

  • La institución debe mantener registro de todas las operaciones realizadas por medios electrónicos

  • Articulo 316 B15