TRICARD S.A.

Minutes of meeting:
Identificacin de Brechas Circular Nro. 40 - Riesgo Operacional
Client name

Tricard S.A.

Direccin

Av. Vicua Mackenna N 3600, Macul, Santiago

Fecha y Hora

Lunes 09 Septiembre 2013, 11:30 am

Present

Paola Milln - Consultor KPMG

Roberto Proust - Consultor KPMG

In attendance

Juan Solar Gerencia Informtica

Eduardo Quiroz Subgerencia de Proyectos
Rodrigo Aranguiz Oficial de Seguridad y Continuidad
de Negocio
Miguel Gonzlez Subgerencia Desarrollo y Mantencin
Francisco Leal Auditor Tricot
Todos los participantes

Distribution
Minutes
keeper
Draft
note
Agenda:

Gestin de Riesgos

Seguridad de la Informacin

Calidad de servicios, productos e informacin

Continuidad del Negocio

Administracin de Proveedores

Reportes

Desarrollo Reunin:

Item
1

Agenda items

Actions / Decisions

Responsibl
e

Due date

Gestin de Riesgos
Meeting paper: Cuestionario
Discussion points:

La Compaa no cuenta con polticas, estrategias y estndares relacionados con

el control del riesgo operacional.
Respecto a los mbitos de Riesgo Operacional, no existe involucramiento por
parte de la Alta Gerencia y Directorio.
La Compaa no ha realizado instancias de difusin y capacitacin respecto al
riesgo operacional.
La Compaa no cuenta con procesos de identificacin, evaluacin, monitoreo y

272324172

Tricard S.A.
Tricard S.A.

Minutes of meeting:

Item

Agenda items

Actions / Decisions

Responsibl
e

Due date

control de los riesgos operacionales significativos.

La Compaa se encuentra en proceso de desarrollo de la estructura
organizacional, respecto a la gestin de riesgo operacional. En este aspecto es
importante destacar que la persona que desarrollara dicha funcin, depende de
la Gerencia de Informtica; existiendo problemas de segregacin funcional al
respecto.

Seguridad de la Informacin
Meeting paper: Cuestionario
Discussion points:

En la actualidad, la Compaa se encuentra en un plan de estructuracin de

documentacin por certificacin PCI-DSS (certificacin requerida por las tarjetas
de credito de marca), por lo que se encuentra en un proceso de desarrollo de
estndares y procedimientos relacionados con la seguridad de la informacin.
stos no han sido aprobados por Directorio. Slo la Poltica de Seguridad ser
firmada por el directorio. El resto de los documentos sern firmados por los
Gerentes.
No existen lineamientos respecto a la periodicidad de actualizacin de polticas
y procedimientos asociados a Seguridad de la Informacin y a procedimientos
relacionados con la Gerencia Informtica. Existe un procedimiento que regula la
nomenclatura de los documentos que son generados y resguardados por la
Gerencia de Informtica. En este documento se define la periodicidad de
actualizacin para todos los documentos de esta Gerencia.
Los procedimientos y estndares en desarrollo, contemplan trminos asociados
a resguardar la confidencialidad, integridad y disponibilidad de la informacin.
Es correcto.
La Compaa no ha desarrollado una metodologa formal para identificar,
evaluar, controlar y monitorear los riesgos de seguridad de la informacin, tanto
en el mbito operacional como tecnolgico.
La Compaa se encuentra desarrollando procedimientos de identificacin de
activos de la informacin.
La Compaa no posee procedimientos de resguardos del cumplimiento de los
derechos de propiedad intelectual, control de software y licenciamiento
En la actualidad, la Compaa no posee lineamientos formales respecto a la
utilizacin, operacin, actualizacin, homologacin, mantenimiento e
implementacin de terminales POS. Adems, no posee Mecanismos anti-tamper
en los POS.
Cabe sealar que, dado el proyecto en desarrollo de convertir a Tricard en una
Tarjeta Abierta Visa, este requerimiento no ser aplicable, dado que los POS
sern provistos por Transbank, quienes tienen certificacin PCI.
La Compaa se encuentra desarrollando la formalizacin de polticas y
procedimientos relacionados al control de acceso lgico en los sistemas de
informacin de la Compaa.

2723241722

Tricard S.A.
Tricard S.A.

Minutes of meeting:

Item

Agenda items

Actions / Decisions

Responsibl
e

Due date

La Compaa se encuentra desarrollando mecanismos de autenticacin a los

sistemas de informacin de la Compaa (usuarios y contraseas), dado que en
la actualidad aun persiste la utilizacin de cuentas genricas.
Respecto a controles de seguridad fsicos y lgicos, la Compaa ha establecido
controles de accesos debidamente autorizados y de bloqueo de cuenta por
inactividad del usuario.
Bajo este mismo mbito, carece de los siguientes controles: expiracin de la
contrasea, complejidad de la contrasea, bloqueo de la cuenta de usuario tras
intentos fallidos, bloqueo de sesin por inactividad del usuario y cambio de la
contrasea luego del primer logon.
En la actualidad, las Tarjetas Tricard no poseen estndares de seguridad
definidos en la Banda Magntica. Tras la conversin de su tarjeta actual a una
Tarjeta Abierta Visa, dichas tarjetas contarn con seguridad por chip y track
data segn estndares ISO.
La Compaa se encuentra desarrollando polticas y procedimientos
relacionados al tratamiento de las cuentas de usuarios en los sistemas de
informacin de la Compaa (altas, modificacin y bloqueo).
La Compaa cuenta con procedimientos de seguridad en acceso a centro de
procesamiento de datos.
La Compaa cuenta con polticas y procedimientos relacionados al proceso de
control de cambios a programas. Dicho proceso considera, al menos, las
siguientes etapas:
o Solicitud de nuevo requerimiento o nuevo proyecto.
o Aprobaciones.
o Evaluacin del requerimiento y propuesta de medidas de correccin.
o Plan de pruebas
o Paso a produccin.
La Compaa cuenta con instancias de respaldo de la informacin crtica y
sensible de la Compaa que estn almacenados en los Sistemas de
Informacin; sin embargo stos procedimientos no se encuentran formalmente
establecidos.
No existen polticas y procedimientos relacionados al proceso de operaciones y
monitoreo de sistemas. Dichos procesos se basan en la experiencia de los
colaboradores de la Gerencia Informtica.
La Compaa cuenta con una apropiada configuracin de redes y uso de
firewalls para la proteccin de la red que se utiliza en el sistema de pagos. Sin
embargo no cuenta con herramientas de deteccin de intrusos (IDS).
La Compaa no lleva a cabo transacciones sin presencia de tarjetas, por
ejemplo a travs de redes pblicas de comunicacin, como es el caso de
Internet o va telefnica.
No existen involucramiento de la Alta Administracin, respecto a temas
asociados a seguridad de la informacin.
No se efecta monitoreo y seguimiento respecto de brechas y debilidades
detectadas en relacin a seguridad de la informacin.
No existen reportes ni gestin de incidentes de seguridad de la informacin.

2723241723

Tricard S.A.
Tricard S.A.

Minutes of meeting:

Item
3

Agenda items

Actions / Decisions

Responsibl
e

Due date

Calidad de servicios, productos e

informacin1
Meeting paper: Cuestionario
Discussion points:

La Compaa no cuenta con polticas y procedimientos relacionados con la

administracin de la calidad de servicios, productos e informacin.
Respecto a los mbitos de Calidad, no existe involucramiento por parte de la
Alta Gerencia y Directorio.
No existe un control centralizado respecto de la implementacin de nuevas
polticas o procedimientos.
La Compaa no mantiene una estrategia para abordar la gestin de proyectos
y metodologas para el desarrollo y adquisicin de programas y equipos
computacionales, como asimismo para la mantencin de sistemas y
aplicaciones de negocios.
Tampoco cuenta con polticas para la administracin del cambio y la funcin de
aseguramiento de calidad en todos sus productos, servicios e informacin.
La Compaa no cuenta con una planificacin a mediano y largo plazo para la
infraestructura tecnolgica. Dicho proceso no se establece formalmente y
depende de la experiencia y conocimiento de los colaboradores del rea.

Continuidad del Negocio

Meeting paper: Cuestionario

1 Los siguientes temas, sern vistos con otras reas de la

Compaa: establecimientos asociados no relacionados, calidad de
atencin a los clientes, prevencin y deteccin de fraudes, lavado
de activos y financiamiento del terrorismo.
2723241724

Tricard S.A.
Tricard S.A.

Minutes of meeting:

Item

Agenda items

Actions / Decisions

Responsibl
e

Due date

Discussion points:

La Compaa no cuenta con un proceso de planificacin y lineamientos respecto

de la continuidad del negocio, con una evaluacin de impacto y criticidad de sus
servicios y productos y con la definicin de estrategias de prevencin,
contencin y recuperacin, as como pruebas peridicas de tales estrategias.
Respecto a los mbitos de continuidad del negocio, no existe involucramiento
por parte de la Alta Gerencia y Directorio.
La Compaa no ejecuta capacitaciones y/o difusiones en materia de
continuidad de negocios.
La Compaa cuenta con un sitio alternativo de procesamiento de datos ante un
escenario de contingencia mayor, ubicado en Calle Pedro Montt. Cabe sealar
que el Datacenter principal es de propiedad de ENTEL y est ubicado en Cuidad
de Los Valles; existiendo diversidad geogrfica entre ambos sitios.
Estos Datacenter se encuentran conectados a travs de dos enlaces de fibra de
1 GB, conformndose una red de servicios que permiten soportar eventos de
contingencia. Para esto, ambos Datacenter se encuentran duplicados, pero no
en alta disponibilidad.
En el Datacenter de Pedro Montt, adicionalmente se encuentran las mquinas
de QA, la cual guarda las transacciones del ltimo da; sta es utilizada, tanto
para datos de prueba como para bases de informacin.
Por otra parte, cada tienda cuenta con sistemas POS NCR, las cuales se
conectan a un servidor (HP) con Linux, stos poseen tecnologa de virtualizacin
y pueden ser respaldados desde la matriz, que cuenta con una granja de
servidores de las mismas caractersticas. Cada servidor del local est ubicado
en un RAC, en dependencias especiales de cada local.
La Compaa cuenta con estrategias de respaldo y almacenamiento de datos,
pero no se encuentran formalizadas.
La Compaa no incorpora, en el plan de presupuestos, tems relacionados a la
Continuidad de Negocios.

Administracin de Proveedores
Meeting paper: Cuestionario
Discussion points:

La Compaa, actualmente, no cuenta con gestin centralizada respecto de la

externalizacin de funciones a terceras partes ni con polticas y procedimientos
asociados. Tampoco cuenta con estndares de seguridad fsicos, de informacin
y de continuidad del negocio respecto a sus proveedores crticos.

2723241725

Tricard S.A.
Tricard S.A.

Minutes of meeting:

Item
6

Agenda items

Actions / Decisions

Responsibl
e

Due date

Mecanismos de Reporte
Meeting paper: Cuestionario
Discussion points:

No existen lineamientos respecto al Reporte de Gestin de los Riesgos

Operacionales.

2723241726