BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

23/04/2019

A LAS ENTIDADES FINANCIERAS:

Ref.: Circular RUNOR 1 - 1456 “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”. Adecuaciones

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolución:

1. Derogar el punto 6.3.3.6. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”.

2. Reemplazar el código RCA031 del punto 6.7.2. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” por el siguiente: “RCA031. La generación y renovación de la clave personal (PIN) asociado a una tarjeta TD/TC basada exclusivamente en banda magnética, según el RCA044 punto a. debe garantizar al menos una de las siguientes condiciones: a) Dos claves personales (PIN), una para el uso del canal ATM y otra para los canales POS e implementaciones PPM basadas en lectores para teléfonos celulares (dongle), con valores distintos entre sí. b) Una clave personal (PIN) única para todos los canales y la devolución inmediata de los montos involucrados en caso de desconocimiento por parte del cliente de una transacción efectuada en estas condiciones. c) Una clave personal (PIN) exclusiva para el canal ATM y la devolución inmediata de los montos involucrados en caso de desconocimiento por parte del cliente de una transacción efectuada en estas condiciones en los canales POS y PPM.”

3. Sustituir los códigos RMC012 y RMC013 del punto 6.7.4. delas normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” por los siguientes: “RMC012.

No definido. RMC013. Durante los procesos de mantenimiento, configuración, apertura, carga y balanceo de los dispositivos contemplados en el escenario, con excepción del canal POS, se deben satisfacer las siguientes consignas: a) Debe asegurarse una segregación física y lógica de las siguientes funciones: - Administración (instalación, configuración y ajuste de parámetros en el sistema operativo y aplicativo). Debe encontrarse limitada a personal del operador/entidad responsable del servicio. - Operación (ejecución de tareas operativas de consulta, balanceo y reporte). Debe limitarse a responsables de la entidad o tercero contratado por la entidad para los procesos indicados. - Apertura y cierre de dispositivo y tesoro. Debe aplicarse un control dual para el uso y posesión temporal de las llaves físicas y/o lógicas. b) Debe asegurarse la puesta en práctica de procedimientos internos de la entidad para el control de la documentación de respaldo de las tareas operativas relacionadas.”

Por último, les hacemos llegar en anexo las hojas que, en reemplazo de las oportunamente provistas, corresponde incorporar en las normas de la referencia. Asimismo, se recuerda que en la página de esta Institución www.bcra.gob.ar, accediendo a “Sistema Financiero - MARCO LEGAL Y NORMATIVO - Ordenamiento y Resúmenes - Textos ordenados de normativa general”, se encontrarán las modificaciones realizadas con textos resaltados en caracteres especiales (tachado y negrita).

Saludamos a Uds. atentamente.

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

Mara Misto Macias, Gerente Principal de Normas de Seguridad de la Información en Entidades - Agustín Torcassi, Subgerente General de Regulación Financiera.

ANEXO

El/Los Anexo/s no se publican: La documentación no publicada puede ser consultada en la Biblioteca Prebisch del Banco Central de la República Argentina (Reconquista 250 - Ciudad Autónoma de Buenos Aires) o en el sitio www.bcra.gob.ar (Solapa “Sistema Financiero” – MARCO LEGAL Y NORMATIVO”).

e. 07/05/2019 N° 30464/19 v. 07/05/2019