Capitulo X CNBV
- Ivan Rodriguez (Unlicensed)
Información obtenida de: Diario Oficial de la Federación
Es importante conocer la reglamentación oficial sobre los factores de autenticación y el manejo de datos sensibles de los usuario. A continuación se da un resumen de lo más relevante de acuerdo a nuestras actividades. Para más información consulten el link.
Clientes
El identificador del usuario es el número de teléfono
Un segundo factor categoría 2 o 4
Número de Identificación Personal (NIP)
Contraseña alfanumérica de al menos 6 caracteres
Características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, entre otras.
Articulo 308
Factores de autenticación
Las instituciones proporcionaran los métodos para:
Recopilar. Cuando se afilie un cliente a la institución
Almacenar. Los datos o biométricos obtenidos del cliente
y destruir los factores de autenticación de los clientes cuando ya no sean clientes
de forma segura.
Articulo 309
Categorías de autenticación
Información obtenida mediante la aplicación de cuestionario a usuario
Información que solo el usuario conozca como contraseña y Número de Identificación Personal (NIP)
Información contenida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso
Información biométrica como: huellas dactilares, geometría de manos o patrones en iris o retina, etc.
Articulo 310
Autenticación de las instituciones
Las instituciones deben establecer y proporcionar mecanismos para que el usuario pueda autenticar a la institución al inicio de una sesión.
Articulo 311
Protección de las sesiones
Terminar sesión por inactividad de más de 1 minutos
Impedir el acceso en forma simultánea con la misma cuenta
Articulo 316 B2
Bloqueo de contraseñas o factores de autenticación
Cuando se ha equivocado en un máximo de 5 veces seguidas
Se bloqueara el servicio de autenticación cuando el usuario se niegue a su uso
Para el desbloqueo debe realizarse por medio de preguntas secretas creadas durante la contratación
Articulo 316 B3 y ver 307
Manejo de contraseñas
Controles de asignación y reposición de contraseñas y factores de autenticación
Se prohíbe los mecanismos, algoritmos o procedimientos que permitan conocer, recuperar o descifrar los datos de cualquier información relativa a la autenticación del usuario
Se prohíbe a los funcionarios, empleados, representantes o comisionistas, solicitar al usuario información parcial o total de los factores de autenticación
Articulo 316 B4
Desactivar el uso en el dispositivo
Debe existir la desactivación de la banca en línea por medio de un factor de autenticación
Articulo 316 B5
Cifrado
Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario
Uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos
Administración de las llaves criptográficas
Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado
Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación
Eliminar la transmisión de Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado
La información de los Factores de Autenticación Categoría 2, podrán ser comunicados al Usuario mediante dispositivos de audio respuesta automática
El proceso de Cifrado y descifrado debe dar en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module)
Articulo 316 B10
Bitácora de operaciones
La institución debe mantener registro de todas las operaciones realizadas por medios electrónicos
Articulo 316 B15