BANCO CENTRAL DE LA REPUBLICA ARGENTINA

ANEXO

Indice
5.6. Administración de las bases de datos.
5.7. Gestión de cambios al software de base.
5.8. Control de cambios a los sistemas productivos.
5.9. Mecanismos de distribución de información.
5.10. Manejo de incidentes.
5.11. Medición y planeamiento de la capacidad.
5.12. Soporte a usuarios.
Sección 6. Canales Electrónicos.
6.1. Alcance.
6.2. Procesos de referencia.
6.3. Requisitos generales.
6.4. Escenarios de Canales Electrónicos.
6.5. Matriz de Escenarios.
6.6. Glosario de términos utilizados en la Sección 6.
6.7. Tablas de requisitos técnico-operativos mínimos.
Sección 7. Delegación de actividades propias de la entidad en terceros.
7.1. Actividades Factibles de Delegación.
7.2. Responsabilidades propias de la entidad.
7.3. Formalización de la delegación.
7.4. Responsabilidades del tercero.
7.5. Implementación del procesamiento de datos en un tercero.
7.6. Control de las actividades delegadas.
7.7. Planificación de continuidad de la operatoria delegada.
Sección 8. Sistemas aplicativos de información.
8.1. Cumplimiento de requisitos normativos.
8.2. Integridad y validez de la información.
8.3. Administración y registro de las operaciones.
8.4. Sistemas de información que generan el régimen informativo a remitir y/o a disposición del Banco Central de la República Argentina.
8.5. Documentación de los sistemas de información.

6.1. Alcance.
Se encuentran alcanzadas las entidades financieras que intervengan en la prestación, por sí o por terceros en su nombre, de servicios financieros por intermedio de algunos de los siguientes Canales Electrónicos (CE), cuya definición y características se encuentra en el Glosario del punto 6.6.:
6.1.1. Cajeros Automáticos (ATM).
6.1.2. Terminales de Autoservicio (TAS).
6.1.3. Banca Móvil (BM).
6.1.4. Banca Telefónica (BT).
6.1.5. Banca por Internet (BI).
6.1.6. Puntos de Venta (POS).
6.2. Procesos de referencia.
De modo referencial y con el objetivo de facilitar la implementación de los requisitos de seguridad determinados, la Gestión de Seguridad de los Canales Electrónicos se entiende como el ciclo de procesos que reúnen distintas tareas, especialidades y funciones, de manera integrada e interrelacionada, repetible y constante para la administración, planificación, control y mejora continua de la seguridad informática en los Canales Electrónicos.
Los procesos aquí señalados reúnen el conjunto de tareas y especialidades que las entidades pueden poseer, con éstas u otras denominaciones y en la composición orgánica que mejor satisfaga sus intereses y funcionamiento. Las entidades deben poseer la funcionalidad y propósito descriptos en los siguientes Procesos de Referencia e informar a este Banco Central, la estructura e interrelaciones orgánicas y operativas que en sus organizaciones se corresponda:
6.2.1. Concientización y Capacitación (CC).
Proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para el desarrollo de tareas preventivas, detectivas y correctivas de los incidentes de seguridad en los Canales Electrónicos.
6.2.2. Control de Acceso (CA).
Proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso a los Canales Electrónicos.

6.2.3. Integridad y Registro (IR).
Proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los Canales Electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación.
6.2.4. Monitoreo y Control (MC).
Proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los Canales Electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.
6.2.5. Gestión de Incidentes (GI).
Proceso relacionado con el tratamiento de los eventos y consecuentes incidentes de seguridad en Canales Electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.
6.3. Requisitos generales.
Complementariamente a los requisitos técnico-operativos que se indiquen, las entidades financieras, deben satisfacer los siguientes requisitos generales con independencia de la naturaleza, composición y estructura de los servicios que presten por medio de sus Canales Electrónicos.
6.3.1. De la Matriz de Escenarios y la Gestión de Riesgo Operacional de Tecnología.
6.3.1.1. Deben encuadrar la operatoria de los Canales Electrónicos que gestionen, dentro de los escenarios comprendidos en la Matriz de Escenarios del punto 6.5., implementando cómo mínimo y según la criticidad que se establezca, los requisitos indicados para cada escenario aplicable.
6.3.1.2. Atento a las normas sobre “Lineamientos para la Gestión de Riesgos en las Entidades Financieras”, las entidades deben incluir en su análisis de riesgo operacional, todos los activos informáticos relacionados con los escenarios aplicables, estableciendo un nivel de criticidad equivalente al indicado por este Banco Central para cada escenario o cuando no esté indicado, por lo establecido en el punto 6.4.2.
6.3.1.3. Lo indicado en el punto 6.3.1.2., debe encontrarse documentado y formar parte de la metodología de gestión de riesgos operacionales de la entidad financiera. A su vez, es complementario de los análisis de riesgo periódicos y los mecanismos de seguridad informática implementados para minimizar los riesgos detectados.

6.3.1.4. Los errores de encuadramiento detectados por las auditorías internas y/o externas obligan a las entidades a efectuar los ajustes correspondientes en un plazo no mayor a 180 días corridos posteriores a su notificación, debiendo presentar a la Superintendencia de Entidades Financieras y Cambiarias, un informe de las adecuaciones efectuadas avalado por una verificación de conformidad de su Auditoría Interna, posterior al vencimiento de plazo indicado. Esa Superintendencia podrá realizar una verificación de lo actuado.
6.3.2. Del cumplimiento de los requisitos técnico-operativos mínimos.
6.3.2.1. Las entidades deben desarrollar, planificar y ejecutar un plan de protección de sus activos, procesos, recursos técnicos y humanos relacionados con los Canales Electrónicos bajo su responsabilidad, basado en un análisis de riesgo de actualización periódica mínima anual, en su correspondencia con la Matriz de Escenarios y en los requisitos técnico-operativos detallados en los puntos 6.7. y subsiguientes.
6.3.2.2. Dentro de las tareas de gestión de la seguridad, e independientemente del área, personas o terceros que tengan a su cargo la función y la ejecución de las tareas, las entidades deben contar con funciones y tareas relacionadas con los siguientes procesos estratégicos de seguridad para sus Canales Electrónicos:
6.3.2.2.1. Concientización y Capacitación. Complementariamente a lo indicado en el punto 6.2.1, las entidades deben contar con un programa de concientización y capacitación de seguridad informática anual, medible y verificable, cuyos contenidos contemplen todas las necesidades internas y externas en el uso, conocimiento, prevención y denuncia de incidentes, escalamiento y responsabilidad de los Canales Electrónicos con los que cuentan.
6.3.2.2.2. Control de Acceso. Complementariamente a lo previsto en el punto 6.2.2., las entidades deben adquirir, desarrollar y/o adecuar los mecanismos implementados para la verificación de la identidad y privilegios de los usuarios internos y externos, estableciendo una estrategia basada en la interoperabilidad del sistema financiero, la reducción de la complejidad de uso y la maximización de la protección del usuario de servicios financieros.
6.3.2.2.3. Integridad y Registro. Complementariamente a lo indicado en el punto 6.2.3., las entidades deben garantizar un registro y trazabilidad completa de las actividades de los Canales Electrónicos en un entorno seguro para su generación, almacenamiento, transporte, custodia y recuperación.

6.3.2.2.4. Monitoreo y Control. Complementariamente a lo previsto en el punto 6.2.4 las entidades deben contar con recursos técnicos y humanos dispuestos para asegurar un control permanente y continuo de todos sus Canales Electrónicos y una clasificación de los eventos registrables, así como patrones de búsqueda y correlación.
6.3.2.2.5. Gestión de Incidentes. Complementariamente a lo indicado en el punto 6.2.5., las entidades deben arbitrar los esfuerzos necesarios para contar en sus organizaciones o a través de terceros bajo coordinación y control propio, con equipos de trabajo especializado en la atención, diagnóstico, análisis, contención, resolución, escalamiento e informe de los incidentes de seguridad de todos sus Canales Electrónicos, de manera formal e integrada.
6.3.3. De la responsabilidad sobre los Canales Electrónicos.
6.3.3.1. El Directorio o autoridad equivalente de la entidad, es el responsable primario de la gestión de seguridad informática de la operatoria de los Canales Electrónicos desde el primer momento en que sus clientes se suscriben a los servicios ofrecidos por su intermedio o reciben medios de pago emitidos por ellas o en su nombre para su uso dentro de los alcances establecidos en el acuerdo de prestación.
6.3.3.2. La responsabilidad de las entidades financieras en los servicios y operaciones cursadas por medio de Canales Electrónicos incluye, pero no se limita a los medios operativos, físicos y lógicos de acceso e intercambio de información con los usuarios, la infraestructura de procesamiento, transporte y custodia de información operativa y financiera. Excluye aquellos medios físicos o lógicos propiedad y tenencia exclusiva de los clientes, siempre que admitan limitar su uso y disponibilidad a la compatibilidad con los mecanismos necesarios para brindar un servicio bancario seguro.
6.3.3.3. Las empresas prestadoras de servicios de procesamiento, transporte, custodia y/o tareas o procesos de seguridad informática relacionados con los Canales Electrónicos de las entidades financieras, incluyendo a los propietarios de licencias o marcas que por acuerdo con las entidades financieras facilitan el uso de sus recursos e infraestructura, se encuentran alcanzadas por las condiciones establecidas en la Sección 7., en la Circular CREFI - 2, Capítulo II, Sección 6. y en otras regulaciones técnicas complementarias.
6.3.3.4. Las entidades financieras deben establecer e informar a este Banco Central la estructura orgánica dispuesta y la nómina de responsables de las tareas relacionadas con los Procesos de Referencia indicados en el punto 6.2. e informar de cualquier novedad o cambio efectuado a la misma en un plazo no mayor a 10 días hábiles luego de ocurrido el hecho. Esta información incluye: los procesos, tareas y responsables en empresas prestadoras dónde se encuentre descentralizada parte o la totalidad de los servicios de Canales Electrónicos.

6.3.3.5. Con el objeto de que este Banco Central pueda analizar los alcances particulares, y características técnicas, para eventuales recomendaciones de seguridad informática, con anterioridad a su implementación, las entidades financieras, deberán informar sobre cualquier nuevo Canal Electrónico no contemplado en el punto 6.1. o modalidad operativa diferente de las contempladas en esta sección.
6.3.3.6. En todos aquellos casos en que la operación no esté asociada a una clave de identificación personal, ante el desconocimiento por parte del cliente de una transacción efectuada mediante POS, las entidades financieras deben proceder a la inmediata devolución/acreditación de los fondos al cliente, sin perjuicio de iniciar la investigación de la operación y eventualmente, las acciones administrativas y/o legales que correspondieran.
6.4. Escenarios de Canales Electrónicos.
6.4.1. Guía.
Cada escenario está compuesto por: una categoría de agrupación temática, una situación considerada dentro de la categoría, una determinación de la aplicabilidad del escenario en los Canales Electrónicos considerados, un valor de criticidad que indica la importancia relativa del escenario y que afecta los requisitos mínimos considerados y, finalmente, un conjunto de requisitos técnico-operativos para controlar la situación descripta.
Un escenario se presenta como una fila dentro de la matriz. Se utilizan tres categorías, que agrupan los principales escenarios de interés:
• Credenciales y Medios de Pago (CM). Se refiere a los elementos dispuestos para la identificación, autenticación y autorización de acceso/uso de los medios y dispositivos de los Canales Electrónicos. Se incluyen aquellos elementos físicos y lógicos que funcionan como mecanismos de consumo, sustitutos del efectivo, que permiten generar transacciones financieras de débito o crédito en las cuentas de los clientes.
• Dispositivo/Aplicación (DA). Se refiere a las características de los dispositivos y piezas físicas y lógicas intervinientes en la operación de los Canales Electrónicos respectivos.
• Transacciones (TR). Se refiere a la naturaleza de las operaciones financieras, operativas y de consulta que permita realizar el Canal Electrónico.
Las situaciones describen el escenario particular sujeto a tratamiento y para el que se han determinado requisitos técnico-operativos mínimos particulares.

La aplicabilidad se encuentra determinada para los Canales Electrónicos considerados en la norma y en el escenario en particular. No a todos los canales les aplica el mismo escenario descripto.
6.4.2. Criticidad y Cumplimiento.
La criticidad es un ponderador que establece el nivel de importancia relativo de un escenario y sus necesidades regulatorias. Las entidades deben instrumentar los mecanismos necesarios para considerar la aplicabilidad del escenario a su contexto particular y su inclusión en la matriz de riesgo operacional de tecnología que emplee en su gestión de riesgo operacional acorde con lo indicado en los puntos 6.4.1. y subsecuentes.
El nivel de obligación de las entidades de cumplir los requisitos técnico-operativos está determinado por tres elementos: la criticidad asignada, la vigencia determinada en cada requisito técnico-operativo y los resultados de la gestión de riesgo de las entidades financieras.
Los valores de criticidad, los criterios utilizados para su asignación a cada escenario y el cumplimiento se determinan según lo indicado en la siguiente tabla.

6.5. Matriz de Escenarios.

6.6. Glosario de términos utilizados en la Sección 6.
Se incluye, en orden alfabético, la definición aplicable a los términos y acrónimos utilizados en esta sección con objeto de facilitar la interpretación y ofrecer mayor claridad a los contenidos.
Activo. Comprende a los recursos, personas y medios indispensables para la ejecución de uno o más procesos de negocios que sean relevantes en los resultados esperados de estos últimos.
Autenticación Fuerte - Doble Factor. Se refiere a la utilización combinada de dos factores de autenticación, es decir dos elementos de las credenciales de distinto factor. Complementariamente, considérese lo expuesto sobre Factores de Autenticación y Credenciales.
Banca Electrónica. Comprende a todo servicio bancario y/o financiero, ofrecido por una entidad y basado en el uso de tecnología para la ejecución de operaciones y transacciones por parte de un usuario de servicios financieros, con mínima o ninguna asistencia o participación de un operador humano. La Banca Electrónica incluye pero no se limita a la implementación de Canales Electrónicos con las características indicadas en esta norma.
Banca Móvil (BM). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio destinados al usuario de servicios financieros, que se basan en la utilización de programas informáticos diseñados para su implementación y operación en teléfonos móviles propiedad o no del cliente bancario y que se comunican con un centro de procesamiento de la entidad (propio o de un tercero) mediante redes públicas de comunicación aptas y aprobadas por autoridad competente para la transmisión de voz y datos bajo administración de un operador público o privado.
Banca por Internet (BI). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio destinados al usuario de servicios financieros, que se basan en la utilización de programas informáticos diseñados para su operación en sitios accedidos desde Internet y que se comunican con un centro de procesamiento de la entidad (propio o de un tercero) mediante redes públicas de comunicación aptas y aprobadas por autoridad competente para la transmisión de datos bajo administración de un operador público o privado.
Banca Telefónica (BT). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio destinados al usuario de servicios financieros, que se basan en la utilización de programas informáticos diseñados para su operación con teléfonos propiedad o no del consumidor financiero y que se comunican con un centro de procesamiento de la entidad (propio o de un tercero) mediante redes públicas de comunicación aptas y aprobadas por autoridad competente para la transmisión de voz y datos bajo administración de un operador público o privado.
Cajeros Automáticos (ATM). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio destinados al usuario de servicios financieros, que se basan en la utilización de los dispositivos conocidos como Cajeros Automáticos o ATM (“Automated Teller Machine”) en sus distintas modalidades: Dispensadores de Efectivo, Kioscos Digitales, entre otros y que permitan por lo menos, la extracción de efectivo sin intervención de un operador humano.

Canales Electrónicos (CE). Comprende a los medios, dispositivos, redes y servicios informáticos dispuestos por las entidades financieras, por sí o por intermedio de terceros en calidad de prestadores asociados, para la instrucción de operaciones bancarias, con efecto sobre las cuentas de uno o más usuarios de servicios financieros y/o clientes de esas entidades.
Cliente - usuario de servicios financieros - usuario. Los términos “cliente” y “usuario de servicios financieros” son equivalentes y se refieren a la persona física o jurídica que se encuentra identificada y suscrita a los servicios de una o más entidades financieras. El término “usuario” es una denominación genérica aplicable a clientes y no clientes.
Contramedidas. Comprende a todas las acciones, planes, tareas operativas, mecanismos de software o hardware dispuestos para mitigar el riesgo de ocurrencia de ataque o compromiso de una vulnerabilidad conocida.
Contraseña. Elemento de las credenciales basado en una pieza de información compuesta por una secuencia de caracteres o símbolos sólo conocidos por el usuario tenedor (factor basado en “algo que sabe”) o generados por dispositivo (factor basado en “algo que tiene”).
Control dual. Comprende al proceso que utiliza dos o más participantes de forma separada (individuos, organizaciones, entre otros), quienes operan en forma concertada para proteger funciones o información de carácter confidencial, asegurando que ningún participante podrá llevar adelante la función sin la intervención del resto de los participantes.
Credenciales. Comprende a todos los elementos físicos o lógicos provistos por la entidad/operador, necesarios para algunas o todas las siguientes acciones durante el uso de un Canal Electrónico específico: presentación/identificación, autenticación, solicitud, verificación, confirmación/autorización. Complementariamente, considérese lo expuesto sobre Factores de Autenticación.
Datos personales públicos. Comprende a datos de personas físicas que pueden obtenerse de fuentes públicas, tales como nombres y apellidos, fechas de nacimiento, números de identificación nacional y laboral, entre otros.
Dispositivos. Comprende a los elementos físicos específicamente diseñados y dispuestos para la interacción directa entre los clientes y el Canal Electrónico, así como otros usuarios calificados para el mantenimiento y control en sitio. Incluye los elementos lógicos y/o aplicaciones necesarios para brindar funcionalidad y operación a los elementos físicos.
Encripción - métodos. Comprende a los métodos para el cifrado de información con el propósito lograr confidencialidad de su contenido y limitar su revelación a la aplicación de un mecanismo de descifrado previsto. Algunos métodos considerados en esta norma, incluyen, pero no se limitan a DES (“Data Encryption Standard”), 3DES (triple cifrado del DES), entre otros.
Escalamiento - Escalamiento de incidentes. Comprende al protocolo formal y procedimientos específicos para el flujo de ejecución e informe de las actividades de recepción, diagnóstico, análisis, contención, corrección y reporte de los incidentes de seguridad en los Canales Electrónicos.

Evento de seguridad. Comprende al hecho ocurrido e identificado sobre el estado de un sistema, servicio o red que indique un desvío de la política de seguridad establecida, una falla de las medidas de seguridad implementadas o una situación desconocida previamente que pueda ser relevante a la seguridad.
Factores de Autenticación. Las credenciales utilizadas en los CE pueden ser del siguiente tipo o factor: “algo que sabe”, (Contraseña, dato personal, entre otros), “algo que tiene” (Tarjeta TC/TD, Tarjeta de coordenadas, Token, entre otros), “algo que es” (Característica biométrica).
Identificación positiva. Comprende a los procesos de verificación y validación de la identidad que reducen la incertidumbre mediante el uso de técnicas complementarias a las habitualmente usadas en la presentación de credenciales o para la entrega o renovación de las mismas. Se incluyen pero no se limitan a las acciones relacionadas con: verificación de la identidad de manera personal, mediante firma holográfica y presentación de documento de identidad, mediante serie de preguntas desafío de contexto variable, entre otros.
Incidente de seguridad en Canales Electrónicos. Se conforma por el evento o serie de eventos de seguridad, operativos y tecnológicos interrelacionados que generen una exposición no deseada o esperada de las credenciales, transacciones, datos de los clientes y el servicio bancario asociado y que posean una probabilidad significativa de comprometer las operaciones y amenazar la seguridad informática.
Infraestructura de redes. Comprende a todos los recursos informáticos, operativos y de información dispuestos para la administración, operación, mantenimiento y transporte de voz y datos que interconectan e integran los recursos de la infraestructura de tecnología y sistemas.
Infraestructura de seguridad. Comprende a todos los recursos informáticos, operativos y de información dispuestos para la administración, operación, mantenimiento y control de la plataforma tecnológica asociada a los Canales Electrónicos.
Infraestructura de tecnología y sistemas. Comprende a todos los recursos informáticos, operativos y de información dispuestos para la administración, operación, mantenimiento, procesamiento y control de los servicios informáticos asociados a los Canales Electrónicos.
Journal o Tira de auditoría. Comprende a los mecanismos físicos y/o lógicos dispuestos para el registro de la actividad de los dispositivos de los Canales Electrónicos asociados al acceso a los servicios e instrucción de operaciones.
Kiosco digital. Comprende a los dispositivos con emplazamiento y características físicas similares a los ATM (“Automated Teller Machine”) que prestan una gama de servicios mayor a la dispuesta para estos, incluyendo pero no limitándose a los servicios ofrecidos por los TAS.
Medios de Pago en Canales Electrónicos. Comprende a los medios o elementos físicos o electrónicos representativos y útiles para la concertación de operaciones financieras en Canales Electrónicos, que incluyen, pero no se limitan a: tarjetas de pago, débito o crédito.

Operadores. Se utiliza el término en forma indistinta para indicar a las empresas prestadoras de servicios financieros dentro de los indicados en esta sección, que cuenten con un acuerdo de servicio con las entidades financieras o actúen en su nombre o cuyas operaciones afecten las cuentas de crédito y/o depósito de sus clientes.
Punto de compromiso. Comprende al individuo, empresa o comercio adquirente de POS en el que se detecta un patrón similar de operaciones sospechosas o fraudulentas con TD/TC.
Puntos de venta (POS). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio al consumidor financiero, que se basan en la utilización de distintos medios de pago electrónico (Tarjetas de Débito/Crédito) para el pago de servicios u operaciones financieras que generen un débito o un crédito en las cuentas bancarias que el cliente posee con el emisor y que confirman tales operaciones mediante la comunicación local o remota con un centro de procesamiento de la entidad emisora o tercero interesado con acuerdo previo del emisor, mediante redes públicas de comunicación aptas y aprobadas por autoridad competente para la transmisión de datos bajo administración de un operador público o privado.
Redes privadas. Infraestructura de comunicaciones administrada por una entidad financiera o un tercero en su nombre y accesible de forma exclusiva y única para la infraestructura de tecnología y sistemas de la entidad financiera.
Redes públicas. Infraestructura de comunicaciones administrada por un operador independiente y accesible mediante suscripción previa a múltiples empresas o individuos.
Servicios Financieros. Incluye la prestación de operaciones bancarias, cambiarias y/o financieras, de instrucción legal por medio bancario o pago de bienes y servicios.
Sesión en Canales Electrónicos. Comprende al período durante el cual un consumidor financiero (persona o comercio) puede llevar a cabo transacciones financieras, operativas o consultas permitidas en un Canal Electrónico. Se entenderá compuestos por las siguientes etapas: Presentación (Ingreso de Credenciales, también referido como Inicio de Sesión), Autenticación (Validación y autenticación de los valores de las credenciales ingresados), Solicitud (Selección de la opción o transacción elegida por la persona/comercio y la composición del mensaje correspondiente), Verificación (Etapa alternativa para la verificación de la identidad y reválida de credenciales ante determinado tipo o características de la transacción elegida), Confirmación (Validación y autorización de la transacción y cierre de ciclo). Las etapas mencionadas son consecutivas con excepción de la etapa de Autenticación, que puede ocurrir continuando la etapa de solicitud y antes de la etapa de Verificación.
Tarjetas de Débito/Crédito (TD/TC). Comprende a elementos asociados a las credenciales de acceso a algunos Canales Electrónicos, habitualmente basados en piezas plásticas cuyas inscripciones y características físicas las hacen aptas para su presentación y lectura en dispositivos de autenticación y autorización de los mismos. En la presente norma se mencionan en dos modalidades habituales de uso, como medios primarios de transacciones comerciales de crédito/débito o como medios primarios de acceso a operaciones financieras por ATM (“Automated Teller Machine”).

Telefonía fija. Servicios de comunicación ofrecidos por empresas de telecomunicaciones que utilizan los espectros de telefonía fija o terrestre autorizados a nivel nacional, y que incluyen los servicios de enlace e intercambio de voz y datos. Requiere una suscripción personal o comercial con locación del servicio en domicilio específico.
Telefonía móvil. Servicios de comunicación ofrecidos por empresas de telecomunicaciones que utilizan los espectros de telefonía móvil autorizados a nivel nacional, y que incluyen los servicios de enlace e intercambio de voz y datos. Requiere suscripción personal o comercial pero es independiente de la locación del suscriptor.
Terminales de autoservicio (TAS). Comprende a las redes, dispositivos, entornos informáticos, operativos y de servicio al cliente bancario, que se basan en la utilización de los dispositivos conocidos como Terminales de Autoservicio u otros de similar naturaleza, enlazados a la red institucional de la entidad responsable, ya sea por conexión directa o indirecta (sucursal, proveedor) a un centro de procesamiento y que permitan por lo menos el depósito y transferencia de fondos y excluyan la extracción de efectivo sin intervención de un operador humano.

6.7. Tablas de requisitos técnico-operativos mínimos.
6.7.1. Tabla de requisitos mínimos de Concientización y Capacitación.

6.7.2. Tabla de requisitos mínimos de Control de Acceso.

6.7.3. Tabla de requisitos mínimos de Integridad y Registro.

6.7.4. Tabla de requisitos mínimos de Monitoreo y Control.

6.7.5. Tabla de requisitos mínimos de Gestión de Incidentes.

A LAS ENTIDADES FINANCIERAS:
Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolución:
“-Sustituir, a partir del 1.3.13, la Sección 6. de las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”, por la que se acompaña en anexo que forma parte de la presente comunicación.”
Saludamos a Uds. atentamente.
BANCO CENTRAL DE LA REPUBLICA ARGENTINA
MARA I. MISTO MACIAS, Gerente Principal de Seguridad de la Información. — ALFREDO A. BESIO, Subgerente General de Normas.

e. 08/02/2013 N° 6562/13 v. 08/02/2013