De acuerdo con el proyecto, el sistema de Banca en Línea debe cumplir con las regulaciones para garantizar la seguridad del sistema de información en el nivel 3 o superior de acuerdo con las disposiciones de la ley sobre garantizar la seguridad del sistema de información en el nivel y las regulaciones del Banco Estatal sobre la seguridad del sistema de información en las actividades bancarias.
Garantizar la confidencialidad e integridad de la información de los clientes; asegurar la disponibilidad del sistema de Banca en Línea para brindar servicios continuos.
Las transacciones de los clientes se evalúan para determinar los niveles de riesgo mínimos de acuerdo con cada grupo de clientes, tipo de transacción, límite de transacción (si lo hay) y, sobre esa base, proporcionar métodos de autenticación de transacciones adecuados para que los clientes elijan, cumpliendo con las regulaciones: Aplicar autenticación multifactor al cambiar la información de identificación del cliente; aplicar métodos de autenticación para cada grupo de clientes, tipo de transacción, límite de transacción de acuerdo con las regulaciones; para transacciones de varios pasos, se debe aplicar al menos una medida de autenticación en el paso de aprobación final.
Realizar controles y evaluaciones de seguridad anuales del sistema de Banca en Línea.
Identificar periódicamente los riesgos, los riesgos potenciales y determinar las causas de los riesgos, tomar rápidamente medidas para prevenir, controlar y manejar los riesgos en la prestación de servicios bancarios en Internet.
Los equipos de infraestructura de tecnología de la información que prestan servicios de Banca en Línea deben contar con derechos de autor, origen y fuente claros. En el caso de equipos que estén próximos al final de su vida útil y ya no reciban soporte del fabricante, la unidad debe contar con un plan de actualización y reemplazo, según lo anunciado por el fabricante, que garantice que el equipo de infraestructura sea capaz de instalar nuevas versiones de software.
Tiene firewalls, sistemas de monitoreo y alertas de comportamiento anormal.
La unidad deberá establecer un sistema de red, comunicaciones y seguridad que cumpla los siguientes requisitos mínimos:
Existen soluciones de seguridad mínimas que incluyen: firewall de aplicaciones, firewall de bases de datos, sistema centralizado de monitoreo y alerta para ataques o comportamiento inusual.
La información del cliente no se almacena en la partición de conexión a Internet ni en la partición DMZ (partición intermedia entre la red interna e Internet).
Establecer una política para limitar los servicios y pasarelas que se conectan al sistema de Banca en Línea.
Las conexiones desde fuera de la red interna al sistema de Banca en Línea para su administración sólo podrán realizarse en los casos en que no sea posible conectarse desde la red interna y deberán ser seguras, cumpliendo al menos con las siguientes normas: Deben ser aprobadas por una persona autorizada después de revisar el propósito y método de conexión; debe contar con un plan de gestión de acceso, administración remota segura del sistema como mediante una red privada virtual o equivalente; el dispositivo de conexión debe estar instalado con software de seguridad; debe utilizar medidas de autenticación de múltiples factores al iniciar sesión en el sistema; utilizar protocolos de comunicación encriptados seguros y no almacenar claves secretas en software de utilidad.
La conexión a la red de servicio debe garantizar una alta disponibilidad y la prestación continua del servicio.
Establecer un mecanismo para detectar y prevenir intrusiones y ataques de red al sistema
El proyecto también establece claramente que la unidad debe gestionar las vulnerabilidades y debilidades del sistema de Banca en Línea con los siguientes contenidos básicos:
Disponer de medidas para prevenir, detectar y detectar cambios en el sitio web y en el software de la aplicación de Banca en Línea.
Establecer un mecanismo para detectar y prevenir intrusiones y ataques de red al sistema de Banca en Línea.
Coordinar con las unidades de gestión estatales y los socios de tecnología de la información para captar con prontitud incidentes y situaciones de pérdida de seguridad y protección de la información para tomar medidas preventivas oportunas.
Actualizar la información sobre las vulnerabilidades de seguridad publicadas relacionadas con el software del sistema, los sistemas de gestión de bases de datos y el software de aplicación de acuerdo con la información del Sistema Común de Puntuación de Vulnerabilidades.
Analice las vulnerabilidades y debilidades del sistema de Banca en Línea al menos una vez al año o al recibir información sobre nuevas vulnerabilidades y debilidades. Evalúe el nivel de impacto y riesgo de cada vulnerabilidad y debilidad técnica del sistema descubierta y proponga soluciones y planes para abordarlas.
Implementar actualizaciones de parches de seguridad o medidas preventivas oportunas según la evaluación de impacto y riesgo.
Fuente
Kommentar (0)