You are on page 1of 60

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

TITULO VII
REQUISITOS MNIMOS DE SEGURIDAD
TABLA DE CONTENIDO
Captulo I:

Reglamento para Remesas al Banco Central de Bolivia

Captulo II:

Reglamento para la Gestin de Seguridad de la Informacin

Seccin 1:

Disposiciones generales

Seccin 2:

Planificacin estratgica, estructura y organizacin de los recursos de tecnologas


de la informacin

Seccin 3:

Administracin de la seguridad de la informacin

Seccin 4:

Administracin del control de accesos

Seccin 5:

Desarrollo, mantenimiento e implementacin de sistemas de informacin

Seccin 6:

Gestin de operaciones de tecnologa de informacin

Seccin 7:

Gestin de seguridad en redes y comunicaciones

Seccin 8:

Gestin de seguridad en transferencias y transacciones electrnicas

Seccin 9:

Gestin de incidentes de seguridad de la informacin

Seccin 10:

Continuidad del negocio

Seccin 11:

Administracin de servicios y contratos con terceros relacionados con tecnologa


de informacin

Seccin 12:

Rol de la auditora interna

Seccin 13:

Otras disposiciones

Seccin 14:

Disposiciones transitorias

Captulo III:

Reglamento para la Gestin de Seguridad Fsica

Seccin 1:

Aspectos generales

Seccin 2:

Gestin de Seguridad Fsica

Seccin 3:

Medidas generales de Seguridad Fsica

Ttulo VII * 1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Seccin 4:

Medidas especficas de Seguridad Fsica

Seccin 5:

Otras disposiciones

Seccin 6:

Rol de la Unidad de Auditoria Interna

Seccin 7:

Disposiciones transitorias

Ttulo VII * 2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

CAPTULO I:

REGLAMENTO PARA REMESAS AL BANCO CENTRAL DE


BOLIVIA

Artculo 1 - (Seguridad en el envo de remesas al BCB) Con la finalidad de precautelar la


seguridad en el envo de remesas de billetes y monedas metlicas en moneda nacional al Banco
Central de Bolivia (BCB), por parte de los bancos locales, as como el control y recuento de este
material, se instruye lo siguiente:
a)

El envo de los depsitos o remesas al BCB debe efectuarse en maletas de seguridad,


cuales debern ser abiertas en la sala de recuento en presencia del personal del banco
depositante;

b)

Para efectos de un adecuado y gil registro de las remesas enviadas por los bancos, el
dinero declarado para depsito solamente deber ser verificado por lome y revisados
los marbetes de cada uno de los paquetes, es decir sin recontar el material de billetes en
detalle;

c)

Los paquetes deben estar fuertemente amarrados contando con diez lomos de cien (100)
piezas cada uno, totalizando mil (1.000) piezas en cada paquete. Asimismo los paquetes
deben estar debidamente clasificados por cortes planchados, revisados y recontados, con
marbetes impresos donde se leer claramente el nombre del banco, nombre completo y
sello del cajero, fecha y firma de ste.
Los depsitos en monedas metlicas no podrn ser inferiores a mil (1.000) piezas, y
debern estar clasificadas y en paquetes por cortes con la identificacin antes descrita.

d)

Una vez concluida la revisin del depsito en presencia de las partes que intervienen, se
proceder al cierre de la maleta de seguridad, la misma que deber contar con dos (2)
candados o chapas, por lo menos, las llaves quedarn en poder del banco depositante.

e)

Los depositantes contabilizarn el importe correspondiente al da de la entrega, al igual que


el BCB. En la papeleta de depsito, debern estampar un sello con el siguiente texto:
"DEPSITO SUJETO A RECUENTO".

f)

Los depsitos que sean iguales o inferiores a dos mil (2.000) piezas deben ser efectuados
en las cajas que habilite Tesorera del BCB. El recuento debe realizarse inmediatamente a
la vista del depositante, y en caso de que dicho depsito no haya sido recontado, cualquier
falla registrada posteriormente ser de entera responsabilidad del cajero recibidor.

g)

El BCB y/o la Autoridad de Supervisin del Sistema Financiero podrn en cualquier


momento hacer recuentos en detalle de los depsitos realizados por los bancos, aclarando
que cualquier diferencia detectada ser de entera responsabilidad del banco depositante,
hacindose pasible a sanciones dispuestas en reglamentacin complementaria. El recuento
deber efectuarse en una sala independiente por banco depositante y cada sala tendr como
mximo cinco (5) recontadores del BCB y cinco (5) veedores del banco depositante.

h)

El BCB a travs de su seccin Tesorera, reportar semanalmente a la Autoridad de


Supervisin del Sistema Financiero los faltantes y sobrantes o cualquier otra anormalidad
que existiera en los depsitos con los siguientes datos:

Circular SB/288/99 (04/99)

Inicial

Libro 3
Ttulo VII
Captulo I
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

1)

Banco depositante

2)

Nombre y apellido del cajero cuyo sello figura en el marbete

3)

Nombre y apellido de la persona que llevar la remesa al BCB

4)

Nombre y apellido del cajero recibidor del BCB

5)

Nombres de los veedores y controladores del banco depositante

6)

Detalle de la anormalidad

7)

Monto por moneda

Artculo 2 - (Retiros parciales). Los bancos podrn hacer retiros parciales de sus depsitos slo
en cantidades de mil (1000) piezas, con la participacin del personal de Tesorera del BCB, para
la verificacin del dinero retirado.
Artculo 3 - (Horario de atencin de bveda del BCB). El horario de atencin de la bveda y
de las cajas recibidoras habilitadas por el BCB, ser el mismo horario de atencin al pblico del
sistema bancario comercial.

Circular SB/288/99 (04/99)

Inicial

Libro 3
Ttulo VII
Captulo I
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

CAPTULO II: REGLAMENTO PARA LA GESTIN DE SEGURIDAD DE LA


INFORMACIN
SECCIN 1: DISPOSICIONES GENERALES
Artculo 1 - (Objeto) El presente Reglamento tiene por objeto establecer las directrices y
requisitos mnimos que las Entidades de Intermediacin Financiera (EIF), Empresas de Servicios
Financieros Complementarios (ESFC) y Sociedades Controladoras de Grupos Financieros (SCGF),
deben cumplir para la gestin de seguridad de la informacin, de acuerdo a su naturaleza, tamao
y estructura, as como con la complejidad de los procesos y operaciones que realizan.
Artculo 2 - (mbito de aplicacin) Estn comprendidas en el mbito de aplicacin del
presente Reglamento las EIF, ESFC (excepto Casas de Cambio) y SCGF, que cuenten con Licencia
de Funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero (ASFI),
denominadas en adelante como Entidad Supervisada.
Artculo 3 definiciones:

(Definiciones) Para efectos del presente Reglamento, se utilizarn las siguientes

a.

Activo de informacin: Aquellos datos, informacin, sistemas y elementos relacionados


con la tecnologa de la informacin, que tienen valor para la Entidad Supervisada;

b.

Acuerdo de nivel de servicio (SLA: Service Level Agreement ): Documento en el cual se


estipulan las condiciones de un servicio en funcin a parmetros objetivos, establecidos de
mutuo acuerdo entre un proveedor de servicio y la Entidad Supervisada;

c.

Ambientes de desarrollo, prueba y produccin: Recursos de Tecnologas de Informacin,


destinados al desarrollo, pruebas y uso oficial de sistemas informticos;

d.

Anlisis y evaluacin de riesgos en seguridad de la informacin: Proceso por el cual se


identifican los activos de informacin, as como las amenazas y vulnerabilidades a las que
stos se encuentran expuestos y que representan un riesgo para la seguridad de la
informacin, se evala la probabilidad de ocurrencia y se calcula el impacto potencial de su
materializacin, con el fin de establecer controles que minimicen los efectos de los posibles
incidentes de seguridad de la informacin;

e.

rea de exclusin: rea de acceso restringido identificada en las instalaciones de la Entidad


Supervisada;

f.

Banca electrnica: Servicio financiero ofertado por las entidades de intermediacin


financiera autorizadas, a travs de Internet u otros medios electrnicos para procesar de
manera automtica el registro de datos, desarrollo de transacciones y pagos, as como el
intercambio de informacin, dinero y otros;

g.

Cajero automtico (CA): Punto de atencin financiera que permite a los clientes y/o
usuarios de servicios financieros, mediante la operacin de una mquina dedicada al efecto,
de forma enunciativa y no limitativa, realizar retiros y/o depsitos de efectivo, consultas de
movimientos y saldos, rescate de cuotas, transferencias entre cuentas propias y a cuentas de
terceros, carga y efectivizacin de billetera mvil y/o pagos de servicios, mediante el uso de

Circular SB/436/03 (07/03) Inicial


ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 1/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

tarjetas de dbito, tarjetas de crdito, tarjetas prepagadas o un dispositivo mvil, que debe
cumplir con lo establecido en el Reglamento para el Funcionamiento de Cajeros
Automticos, contenido en la Recopilacin de Normas para Servicios Financieros (RNSF).
Los cajeros automticos son tambin conocidos por su sigla en ingls: ATM (Automated
Teller Machine);
h.

Centro de procesamiento de datos (CPD): Infraestructura tecnolgica e instalacin(es);


clasificada(s) como rea de exclusin, donde estn ubicados los recursos utilizados para el
procesamiento de informacin;

i.

Centro de procesamiento de datos alterno (CPDA): Infraestructura tecnolgica e


instalacin(es), que cuenta con los recursos utilizados para el procesamiento de informacin
en forma alterna al CPD;
El ambiente fsico donde se encuentra instalado el CPDA, debe ser clasificado como rea de
exclusin y encontrarse en una ubicacin geogrfica distinta al CPD;

j.

Cifrar: Proceso mediante el cual la informacin o archivos es alterada, en forma lgica,


incluyendo claves en el origen y en el destino, con el objetivo de evitar que personas no
autorizadas puedan interpretarla al verla, copiarla o utilizarla para actividades no permitidas;

k.

Contrasea o clave de acceso (Password): Conjunto de caracteres que una persona debe
registrar para ser reconocida como usuario autorizado, para acceder a los recursos de un
servicio, sistema, programa, equipo computacional o red;

l.

Computacin en la nube (Cloud Computing): Modelo de Acceso bajo demanda a travs


de una red (Internet), a un conjunto compartido de recursos informticos o computacionales
(redes, servidores, almacenamiento, aplicaciones o servicios) que pueden ser rpidamente
provisionados y publicados con un mnimo esfuerzo de administracin o de interaccin con
el proveedor de servicios, con un sistema de precios basado en el consumo realizado;

m.

Cortafuegos (Firewall): Dispositivo o conjunto de dispositivos (software y/o hardware)


configurados para permitir, limitar, cifrar o descifrar el trfico entre los diferentes mbitos
de un sistema, red o redes, sobre la base de un conjunto de normas y otros criterios, de manera
que slo el trfico autorizado, definido por la poltica local de seguridad, sea permitido;

n.

Encargado del tratamiento: Proveedor de servicios de computacin en la nube;

o.

Equipo crtico: Equipo(s) de procesamiento de datos que soporta(n) las principales


operaciones de la Entidad Supervisada;

p.

Hardware: Conjunto de todos los componentes fsicos y tangibles de un computador o


equipo electrnico;

q.

Incidente de seguridad de la informacin: Suceso o serie de sucesos, que tienen una


probabilidad significativa de comprometer las operaciones de la Entidad Supervisada,
amenazar la seguridad de la informacin y/o los recursos tecnolgicos;

r.

Interfaz de programacin de aplicaciones de la computacin en la nube (Cloud API):


Conjunto de interfaces de programacin de aplicaciones que permiten a un software, solicitar

Circular SB/436/03 (07/03) Inicial


ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 2/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

datos o clculos de uno o ms servicios para el intercambio de mensajes o datos, conocido


tambin como Application Programming Interface;
s.

Internet: Red de redes de alcance mundial que opera bajo estndares y protocolos
internacionales;

t.

Intranet: Red informtica de una Entidad Supervisada que permite compartir informacin
o programas;

u.

Infraestructura de tecnologa de la informacin: Es el conjunto de hardware, software,


redes de comunicacin, multimedia y otros, as como el sitio y ambiente que los soporta, que
es establecido para el procesamiento de la informacin;

v.

Mecanismo de autenticacin robusta: Forma de verificar la identidad de los usuarios,


basada en el uso de la combinacin de dos de los tres factores de autenticacin siguientes:
1. Algo que el usuario sabe;
2. Algo que el usuario tiene;
3. Algo que el usuario es.

w.

Medios de acceso a la informacin: Son equipos servidores, computadores personales,


telfonos inteligentes, terminales tipo cajero automtico, las redes de comunicacin, Intranet,
Internet y telefona;

x.

Plan de contingencias tecnolgicas: Documento que contempla un conjunto de


procedimientos y acciones que deben entrar en funcionamiento al ocurrir un evento que dae
parte o la totalidad de los recursos tecnolgicos de la Entidad Supervisada;

y.

Plan de continuidad del negocio (BCP: Business Continuity Planning): Documento que
contempla la logstica que debe seguir la Entidad Supervisada a objeto de restaurar los
servicios y aplicaciones crticas parcial o totalmente suspendidas dentro de un tiempo
predeterminado, despus de una interrupcin inesperada o un desastre;

z.

Portabilidad: Caracterstica de los servicios de computacin en la nube, que establece que


los datos del Responsable del tratamiento (contratista), que estn en los servidores del
proveedor (Encargado del tratamiento) del servicio de computacin en la nube, puedan
trasladarse a otro proveedor (o a sistemas locales), a eleccin del contratista y sin prdida de
datos ni del servicio;
Principio de menor privilegio: Establece que cada programa y cada usuario del(los)
sistema(s) de informacin deben operar utilizando los privilegios estrictamente necesarios
para completar el trabajo asignado;

aa.

bb.

Proceso crtico: Proceso o sistema de informacin que al dejar de funcionar, afecta la


continuidad operativa de la Entidad Supervisada;

cc.

Procedimiento de enmascaramiento de datos: Mecanismo que modifica los datos de un


determinado sistema en ambientes de desarrollo y pruebas, con el fin de garantizar la
confidencialidad de la informacin del ambiente de produccin;

Circular SB/436/03 (07/03) Inicial


ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 3/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

dd.

Propietario de la informacin: Es el responsable formalmente designado para controlar la


produccin, desarrollo, mantenimiento, uso y seguridad de los activos de informacin;

ee.

Proteccin fsica y ambiental: Conjunto de acciones y recursos implementados para


proteger y permitir el adecuado funcionamiento de los equipos e instalaciones del Centro de
Procesamiento de Datos y del Centro de Procesamiento de Datos Alterno, dada su condicin
de reas de exclusin;

ff.

Pruebas de intrusin (Pen test): Son pruebas controladas que permiten identificar posibles
debilidades de los recursos tecnolgicos de la Entidad Supervisada, que un intruso podra
llegar a explotar para obtener el control de sus sistemas de informacin, redes de
computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las
pruebas de intrusin pueden ser realizadas a travs de la intranet, desde Internet, accesos
remotos o cualquier otro medio.
Las pruebas de intrusin se clasifican, dependiendo del origen del ataque, en:
1.

Externas, cuando se busca identificar las posibles vulnerabilidades que se encontraran


ante una accin maliciosa externa;

2.

Internas, cuando se busca identificar las vulnerabilidades ante acciones que se


produzcan dentro de la propia Entidad Supervisada.

gg.

Punto de venta (POS: Point Of Sale): Equipo electrnico y/o electromecnico que permite
a los usuarios de servicios financieros realizar pagos, mediante el uso de sus tarjetas
electrnicas, en empresas aceptantes afiliadas a una red de sistemas de pago;

hh.

Respaldo o copia de seguridad (Backup): Copia de datos e informacin almacenada en un


medio digital, que se genera en forma peridica; con el propsito de utilizar dicha
informacin o datos, en casos de emergencia o contingencia;

ii.

Responsable del tratamiento: Persona natural o jurdica que contrata los servicios de
computacin en la nube;

jj.

Seguridad de la informacin: Conjunto de medidas y recursos destinados a resguardar y


proteger la informacin, as como los activos de informacin, buscando mantener la
confidencialidad, confiabilidad, disponibilidad e integridad de la misma;

kk.

Servicio de Pago Mvil: Conjunto de actividades relacionadas con la emisin de billeteras


mviles y procesamiento de rdenes de pago a travs de dispositivos mviles, en el marco
del Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB);

ll.

Sistema de informacin: Conjunto organizado e interrelacionado de procedimientos de


recopilacin, procesamiento, transmisin y difusin de informacin que interactan entre s
para lograr un objetivo;

mm. Sitio externo de resguardo: Ambiente externo a las instalaciones de la entidad supervisada
y al CPDA, donde se almacenan todos los medios de respaldo, documentacin y otros
recursos de tecnologa de informacin catalogados como crticos y/o necesarios para soportar
los planes de continuidad y contingencias tecnolgicas;
Circular SB/436/03 (07/03) Inicial
ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 4/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

nn.

Software: Equipamiento o soporte lgico de un sistema de informacin que comprende el


conjunto de los componentes lgicos que hacen posible la realizacin de tareas especficas.
El software incluye: software de sistema, software de programacin y software de aplicacin;

oo.

Tarjeta electrnica: Instrumento Electrnico de Pago (IEP) que permite al tarjetahabiente


instruir rdenes de pago, retirar efectivo y/o efectuar consultas de cuentas relacionadas con
la tarjeta electrnica. Se consideran tarjetas electrnicas a los siguientes IEP, autorizados por
ASFI:
1.

Tarjetas de dbito;

2.

Tarjetas de crdito;

3.

Tarjetas prepagadas.

pp.

Transferencia electrnica de informacin: Forma de enviar, recibir o transferir en forma


electrnica, datos, informacin, archivos y mensajes, entre otros;

qq.

Tecnologa de la informacin (TI): Conjunto de procesos y productos derivados de


herramientas (hardware y software), soportes de la informacin y canales de comunicacin
relacionados con el almacenamiento, procesamiento y transmisin de la informacin;

rr.

Transaccin electrnica: Comprende a todas aquellas operaciones realizadas por medios


electrnicos que originen cargos o abonos de dinero en cuentas;

ss.

Usuario del sistema de informacin: Persona identificada, autenticada y autorizada para


utilizar un sistema de informacin. sta puede ser funcionario de la Entidad Supervisada
(Usuario Interno del sistema de informacin) o cliente (Usuario Externo del sistema de
informacin).

Artculo 4 - (Elementos de la seguridad de la informacin) La informacin que genera y


administra la Entidad Supervisada, debe contener un alto grado de seguridad, considerando
mnimamente los siguientes elementos:
a.

Autenticacin: Permite identificar al generador de la informacin y al usuario de la misma;

b.

Confiabilidad: Busca proveer informacin apropiada, precisa y veraz, para el uso de las
entidades supervisadas, tanto interna como externamente, que apoye el proceso de toma de
decisiones;

c.

Confidencialidad: Garantiza que la informacin se encuentra accesible nicamente para el


personal autorizado;

d.

Cumplimiento: Busca promover el acatamiento de las leyes, regulaciones y acuerdos


contractuales a las que se encuentran sujetos los procesos que realiza la Entidad Supervisada;

e.

Disponibilidad: Permite el acceso a la informacin en el tiempo y la forma que sta sea


requerida;

f.

Integridad: Busca mantener con exactitud la informacin completa tal cual fue generada, sin
ser manipulada o alterada por personas o procesos no autorizados;

Circular SB/436/03 (07/03) Inicial


ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 5/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

g.

No repudio: Condicin que asegura que el emisor de una informacin no puede rechazar su
transmisin o su contenido y/o que el receptor no pueda negar su recepcin o su contenido.

Circular SB/436/03 (07/03) Inicial


ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 6/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 2: PLANIFICACIN ESTRATGICA, ESTRUCTURA Y ORGANIZACIN DE LOS


RECURSOS DE TECNOLOGAS DE LA INFORMACIN
Artculo 1 - (Planificacin estratgica) La Entidad Supervisada debe desarrollar un Plan
Estratgico de Tecnologa(s) de la Informacin (TI), que est alineado con la estrategia institucional
y que considere su naturaleza, tamao y estructura, as como la complejidad de los procesos y
operaciones que realiza y los resultados del anlisis y evaluacin de riesgos en seguridad de la
informacin, efectuados. Este documento debe ser aprobado por su Directorio u rgano
equivalente.
El nivel ejecutivo de la Entidad Supervisada que sea responsable de TI, debe efectuar un
seguimiento continuo de las tendencias tecnolgicas, as como a las regulaciones emitidas por
ASFI, de modo que stas sean consideradas al momento de elaborar y actualizar la planificacin
estratgica del rea de TI.
Artculo 2 - (Estrategia de seguridad de la informacin) La Entidad Supervisada como parte
de su Plan Estratgico de TI, debe definir la estrategia de seguridad de la informacin, que le
permita realizar una efectiva administracin y control de la informacin.
Artculo 3 - (Infraestructura del rea de tecnologas de la informacin) La infraestructura
del rea de Tecnologas de la Informacin debe ser consistente con la naturaleza, tamao y
estructura de la Entidad Supervisada, as como con la complejidad de los procesos y operaciones
que realiza y los resultados del anlisis y evaluacin de riesgos en seguridad de la informacin,
efectuado.
Artculo 4 - (Estructura organizativa) La Entidad Supervisada, debe establecer una
estructura organizativa adecuada al tamao, volumen y complejidad de sus operaciones, que
delimite las funciones y responsabilidades relativas a la gestin de los recursos de tecnologa y
seguridad de la informacin, aspectos que deben estar contemplados en un manual de organizacin
y funciones, aprobados por su Directorio u rgano equivalente.
Artculo 5 - (Comit de tecnologas de la informacin) Este Comit es responsable de
establecer las polticas, procedimientos y prioridades para la administracin de informacin y
gestin de los recursos de TI.
El Comit de TI estar conformado al menos por: un miembro del Directorio u rgano equivalente,
que ser quien lo presida, el Gerente General, Ejecutivos y/o funcionarios responsables de las reas
de servicios tecnolgicos y de las reas usuarias del(los) sistema(s) de informacin de acuerdo al
tema a ser tratado, cuyo funcionamiento se sujetar a su Reglamento.
El Comit de TI debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones.
Artculo 6 - (Comit operativo de tecnologas de la informacin) La Entidad Supervisada,
de acuerdo a su estructura organizativa, debe conformar un Comit Operativo de Tecnologas de la
Informacin, el cul debe estar constituido por el nivel ejecutivo y los funcionarios encargados de
las diferentes reas que constituyen el rea de TI. Este Comit estar encargado de coordinar el
trabajo al interior de dicha rea.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
ASFI/193/13 (09/13) Modificacin 2
ASFI/395/16 (06/16) Modificacin 3

Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

La frecuencia de las reuniones del Comit Operativo de TI estar sujeta a su Reglamento.


Asimismo, las decisiones y acuerdos establecidos en dicho Comit deben registrarse en actas que
deben ser archivadas.
Artculo 7 - (Responsable de la funcin de la seguridad de la informacin) Con el propsito
de establecer los mecanismos para la administracin y el control de la seguridad de los recursos de
informacin, la Entidad Supervisada debe definir formalmente una instancia responsable que se
encargue de dicha funcin, de acuerdo con la naturaleza, tamao, volumen y complejidad de sus
operaciones. Esta instancia puede corresponder a una Gerencia, Jefatura, Oficial o a un Comit
constituido especficamente para tratar temas relacionados a la seguridad de la informacin.
La ubicacin jerrquica de la instancia responsable de la seguridad de la informacin debe
garantizar, su independencia funcional y operativa del (las) rea(s) de tecnologas y sistemas de
informacin, unidades operativas y de la funcin de auditora.
Adicionalmente, el responsable de la funcin de la seguridad de la informacin gestionar con las
instancias que correspondan en la Entidad Supervisada, la implementacin, revisin, actualizacin
y difusin de la Poltica de Seguridad de la Informacin (PSI), as como de la normativa que se
desprende de la misma.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
ASFI/193/13 (09/13) Modificacin 2
ASFI/395/16 (06/16) Modificacin 3

Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 3: ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN


Artculo 1 - (Implementacin del anlisis y evaluacin de riesgos en seguridad de la
informacin) La Entidad Supervisada es responsable de efectuar un anlisis y evaluacin de
riesgos en seguridad de la informacin, acorde a su naturaleza, tamao y complejidad de
operaciones, debiendo desarrollar e implementar procedimientos especficos para este propsito,
los cuales deben estar formalmente establecidos.
El(los) resultado(s) obtenido(s) de dicho anlisis y evaluacin de riesgos en seguridad de la
informacin, debe(n) estar contenido(s) en un informe elaborado por el Responsable de la funcin
de la seguridad de la informacin, dirigido a la Gerencia General, para su posterior presentacin al
Directorio u rgano equivalente.
El anlisis y evaluacin de riesgos en seguridad de la informacin, se constituye en un proceso
continuo, por lo cual debe ser revisado y actualizado por lo menos una (1) vez al ao.
Artculo 2 - (Poltica de seguridad de la informacin) De acuerdo con su estrategia de
seguridad de la informacin y con los resultados de su anlisis y evaluacin de riesgos en seguridad
de la informacin, la Entidad Supervisada debe tener formalizadas por escrito, actualizadas e
implementadas la Poltica de Seguridad de la Informacin (PSI) as como la normativa que se
desprende de la misma, aprobadas por el Directorio u rgano equivalente.
La PSI as como la normativa que se desprende de la misma, deben ser publicadas y comunicadas
a las diferentes instancias de la Entidad Supervisada, en forma entendible y accesible.
La Entidad Supervisada, al menos una (1) vez al ao, debe revisar y actualizar la PSI as como la
normativa que se desprende de la misma, considerando su naturaleza, tamao, cambios y
complejidad de sus operaciones, asegurando la correcta implementacin de las mejores prcticas
de seguridad de la informacin.
Artculo 3 - (Licencias de software) Todo software utilizado por la Entidad Supervisada debe
contar con las licencias respectivas.
La Entidad Supervisada, debe definir los procedimientos necesarios para la instalacin,
mantenimiento y administracin de software, as como para el control del estado y custodia de las
licencias.
Artculo 4 - (Acuerdo de confidencialidad) Como parte de la obligacin contractual, de los
Directores, Consejeros de Administracin y Vigilancia, Ejecutivos, dems funcionarios,
consultores y personal eventual, stos deben aceptar y firmar los trminos y condiciones del
contrato de empleo en el cual se establecern sus obligaciones en cuanto a la seguridad de la
informacin, entre las que se debe incluir el mantenimiento de la confidencialidad de la informacin
a la que tengan acceso, inclusive despus de la finalizacin de la relacin contractual.
Artculo 5 - (Inventario de activos de informacin) La Entidad Supervisada debe contar con
un inventario de los activos de informacin, permanentemente actualizado y asignar
responsabilidades respecto a la proteccin de los mismos.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 6 - (Clasificacin de la informacin) La Entidad Supervisada debe establecer un


esquema de clasificacin de la informacin, de acuerdo a la criticidad y sensibilidad de esta ltima,
estableciendo adecuados derechos de acceso a los datos administrados en sus sistemas de
informacin, as como a la documentacin fsica. Esta clasificacin debe ser documentada,
formalizada y comunicada a todas las reas involucradas.
Artculo 7 - (Propietarios de la informacin) Debe asignarse la propiedad de la informacin
a un responsable de cargo jerrquico, de acuerdo al tipo de informacin y a las operaciones que
desarrolla la Entidad Supervisada. Adems, en coordinacin con la instancia responsable de
seguridad de la informacin deben definirse los controles de proteccin adecuados, de acuerdo
con el nivel de clasificacin otorgado a la informacin.
Artculo 8 - (Anlisis de vulnerabilidades tcnicas) La Entidad Supervisada es responsable
de implementar una gestin de vulnerabilidades tcnicas, a cuyo efecto debe contar con polticas y
procedimientos formales que le permitan identificar su exposicin a las mismas y adoptar las
acciones preventivas y/o correctivas que correspondan, considerando los siguientes aspectos:
a.

La evaluacin de vulnerabilidades tcnicas debe efectuarse por lo menos una (1) vez por ao
y ante un cambio en la infraestructura tecnolgica. La ejecucin de pruebas de seguridad debe
considerar la realizacin de pruebas de intrusin controladas internas, externas o ambas de
acuerdo con los resultados del anlisis y evaluacin de riesgos en seguridad de la informacin,
efectuado por la Entidad Supervisada;

b.

El conjunto de polticas y procedimientos referido a la gestin de vulnerabilidades tcnicas


debe ser revisado y actualizado (si corresponde), por lo menos una (1) vez al ao;

c.

La Entidad Supervisada debe exigir a la(s) empresa(s) y/o persona(s) que le preste(n) servicios
de evaluacin de seguridad de la informacin, la respectiva documentacin que acredite la
experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que
el personal que realice las pruebas de intrusin controladas sea certificado y firme un acuerdo
de confidencialidad conforme se establece en el Artculo 4 de la presente Seccin;

d.

El anlisis de vulnerabilidades tcnicas puede ser realizado por personal externo, interno o
ambos, conforme con los resultados del anlisis y evaluacin de riesgos en seguridad de la
informacin, efectuado por la Entidad Supervisada. Al efecto, el personal interno asignado
para esta tarea debe ser ajeno al (las) rea(s) de tecnologas y sistemas de informacin.

Artculo 9 - (Clasificacin de reas de exclusin) La Entidad Supervisada debe identificar y


clasificar las reas de tecnologas de la informacin como reas de exclusin que requieren medidas
de proteccin y acceso restringido.
Artculo 10 - (Caractersticas del centro de procesamiento de datos) La Entidad Supervisada
debe considerar los siguientes aspectos para la instalacin del ambiente destinado al Centro de
Procesamiento de Datos (CPD):
a.

Ubicacin del CPD al interior de la Entidad Supervisada;

b.

Espacio acorde y suficiente para la cantidad de equipos instalados;

c.

Energa regulada de acuerdo con los requerimientos de los equipos;

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

d.

Cableado para el uso de los equipos de cmputo por medio de sistemas de ductos a travs de
piso o techo falso, de acuerdo con la necesidad de la Entidad Supervisada;

e.

No almacenar papel u otros suministros inflamables y/o equipos en desuso dentro del CPD;

f.

Instalacin de los servidores y equipos de comunicacin de forma independiente, debidamente


asegurados, segn corresponda.

Artculo 11 - (Manuales de procedimientos del centro de procesamiento de datos) La


Entidad Supervisada debe contar con manuales de procedimientos para la gestin del (los)
Centro(s) de Procesamiento de Datos, que consideren mnimamente, los siguientes aspectos:
a.

Operacin y mantenimiento;

b.

Administracin de accesos;

c.

Pruebas a dispositivos de seguridad para garantizar su correcto funcionamiento.

Artculo 12 - (Proteccin de equipos) La Entidad Supervisada debe considerar que el Centro


de Procesamiento de Datos debe contar al menos con los siguientes dispositivos:
a.

Sistema de ventilacin que mnimamente mantenga la temperatura y humedad en los niveles


recomendados por los fabricantes de los equipos;

b.

Extintores de incendios (manuales y/o automticos) u otros dispositivos segn las


caractersticas de los equipos;

c.

Detectores de temperatura y humedad;

d.

Equipos que aseguren el suministro de energa regulada en forma ininterrumpida;

e.

Mecanismos para el control de ingreso y salida del Centro de Procesamiento de Datos;

f.

Vigilancia a travs de cmaras de CCTV (Circuito Cerrado de TV).

Artculo 13 - (Suministro elctrico) Para el funcionamiento de equipos informticos, se debe


utilizar una acometida elctrica independiente del resto de la instalacin, para evitar interferencias
y posibles interrupciones. La capacidad de autonoma de los equipos de suministro ininterrumpido
de energa, debe ser consistente con el Plan de Contingencias Tecnolgicas y con el Plan de
Continuidad del Negocio.
La Entidad Supervisada debe establecer mecanismos y destinar recursos para garantizar el
suministro ininterrumpido de energa para el funcionamiento de equipos crticos y la prestacin de
servicios al pblico.
Artculo 14 - (Seguridad del cableado de red) El cableado utilizado para el transporte de datos
de la Entidad Supervisada, debe cumplir con los estndares de cableado estructurado.
Artculo 15 - (Pruebas a dispositivos de seguridad) Los dispositivos de seguridad fsica
detallados en el Artculo 12 de la presente Seccin, deben ser probados al menos dos (2) veces por
ao, de tal forma que se garantice su correcto funcionamiento. La documentacin que respalde la
realizacin de estas pruebas debe estar disponible cuando ASFI la requiera.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 16 - (Responsabilidad en la gestin de seguridad de la informacin) La Entidad


Supervisada debe realizar el control y cumplimiento de lo siguiente:
a.

Las funciones y responsabilidades de los Directivos, Consejeros, Ejecutivos, funcionarios,


consultores y personal eventual deben ser definidas y documentadas en concordancia con la
PSI y con la normativa que se desprende de la misma;

b.

Asegurar que los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal


eventual estn conscientes de las amenazas y riesgos de incidentes de seguridad de la
informacin, as como que estn capacitados para aceptar y cumplir con la PSI y con la
normativa que se desprende de la misma, en el desarrollo normal de su trabajo;

c.

El establecimiento de un proceso disciplinario formal para Directivos, Consejeros, Ejecutivos


y funcionarios que hubieran cometido faltas y/o violaciones a la PSI y/o a la normativa que se
desprende de la misma, de la Entidad Supervisada;

d.

La determinacin en el contrato, de las sanciones para consultores y personal eventual que


hubieran cometido faltas y/o violaciones a la PSI y/o a la normativa que se desprende de la
misma, de la Entidad Supervisada.

Artculo 17 - (Custodia y conservacin de datos) Los documentos relacionados con las


operaciones, microfilmados o registrados en medios magnticos y/o electrnicos, deben ser
conservados y permanecer en custodia de la Entidad Supervisada, por un periodo no menor a diez
(10) aos.
La documentacin que se constituya en instrumento probatorio en un proceso administrativo,
judicial u otro, que se encuentre pendiente de resolucin, no debe ser objeto de destruccin, en
resguardo de los derechos de las partes en conflicto.
Artculo 18 - (Destruccin controlada de medios) La Entidad Supervisada debe establecer
procedimientos para la destruccin controlada de los medios utilizados para el almacenamiento y
respaldo de la informacin.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 4: ADMINISTRACIN DEL CONTROL DE ACCESOS


Artculo 1 - (Administracin de cuentas de usuarios) La instancia responsable de la
Seguridad de la Informacin debe implementar procedimientos formalizados, acordes con la
Poltica de Seguridad de la Informacin (PSI) y con la normativa que se desprende de la misma,
respecto a la administracin de usuarios de los sistemas de informacin, debiendo considerar al
menos:
a.

La administracin de privilegios de acceso a sistemas y a la red de datos (alta, baja y/o


modificacin);

b.

La creacin, modificacin o eliminacin de cuentas de usuarios de los sistemas de


informacin, debe contar con la autorizacin de la instancia correspondiente;

c.

La gestin de perfiles de acceso debe realizarse de acuerdo con el principio de menor


privilegio;

d.

La administracin y control de usuarios internos habilitados para navegacin en la intranet e


Internet;

e.

La asignacin de responsabilidad(es) sobre el hardware y software;

f.

La administracin de estaciones de trabajo o computadoras personales.

Artculo 2 - (Administracin de privilegios) La Entidad Supervisada debe restringir y


controlar el uso y asignacin de privilegios para las cuentas de usuario y de administracin de los
sistemas de informacin, aplicaciones, sistemas operativos, bases de datos, intranet, Internet y otros
servicios o componentes de comunicacin. Dichas asignaciones, deben ser revisadas por lo menos
una (1) vez al ao, mediante un procedimiento formalmente establecido.
Los privilegios de acceso a la informacin y a los ambientes de procesamiento de informacin
otorgados a los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual,
deben ser removidos a la culminacin de su mandato, funciones, contrato o acuerdo y deben ser
modificados en caso de cambio.
Artculo 3 - (Administracin de contraseas de usuarios) La Entidad Supervisada debe
definir polticas de administracin de contraseas que respondan a los resultados de su anlisis y
evaluacin de riesgos en seguridad de la informacin.
Artculo 4 - (Monitoreo de actividades de los usuarios) Para el monitoreo de las actividades
de los usuarios de los sistemas de informacin, la Entidad Supervisada debe establecer un
procedimiento formalizado, a efectos de detectar e identificar incidentes de seguridad de la
informacin.
Artculo 5 - (Registros de seguridad y pistas de auditora) Con el objeto de minimizar los
riesgos internos y externos relacionados con accesos no autorizados, prdidas y daos de la
informacin, la Entidad Supervisada, con base en los resultados de su anlisis y evaluacin de
riesgos en seguridad de la informacin, debe implementar pistas de auditora que contengan los
datos de los accesos y actividades de los usuarios, excepciones y registros de los incidentes de
seguridad de la informacin.
Circular SB/436/03 (07/03)
SB/443/03 (08/03)
SB/466/04 (04/04)
ASFI/193/13 (09/13)
ASFI/395/16 (06/16)

Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 4
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 5: DESARROLLO, MANTENIMIENTO E IMPLEMENTACIN DE SISTEMAS DE


INFORMACIN
Artculo 1 - (Polticas y procedimientos) La Entidad Supervisada debe establecer polticas y
procedimientos, para el desarrollo, mantenimiento e implementacin, de sistemas de informacin
considerando las caractersticas propias relacionadas a las soluciones informticas que requiere, as
como los resultados de su anlisis y evaluacin de riesgos en seguridad de la informacin.
Artculo 2 - (Desarrollo y mantenimiento de programas, sistemas de informacin o
aplicaciones informticas) La Entidad Supervisada que realice el desarrollo o mantenimiento de
programas, sistemas de informacin o aplicaciones informticas, debe garantizar que su diseo e
implementacin se enmarque en la legislacin y normativa vigente, segn corresponda, as como
en sus polticas internas.
Artculo 3 - (Requisitos de seguridad de los sistemas de informacin) La instancia
responsable de la seguridad de la informacin de la Entidad Supervisada, debe velar por la inclusin
en el diseo de los sistemas de informacin, de controles de seguridad, identificados y
consensuados con las reas involucradas.
Artculo 4 - (Estndares para el proceso de ingeniera del software) De acuerdo con la
estructura y complejidad de sus operaciones, la Entidad Supervisada debe contar con metodologas
estndar para el proceso de adquisicin, desarrollo y mantenimiento del software, que comprendan
aspectos tales como: estudio de factibilidad, anlisis y especificaciones, diseo, desarrollo, pruebas,
migracin de datos preexistentes, implementacin y mantenimiento de los sistemas de informacin.
Asimismo, acorde con los mencionados procesos, la Entidad Supervisada debe contar
mnimamente con la siguiente documentacin:
a.

Diccionario de datos;

b.

Diagramas de diseo (Entidad-Relacin, Flujo de datos, entre otros);

c.

Manual tcnico;

d.

Manual de usuario;

e.

Documentacin que especifique el flujo de la informacin entre los mdulos y los sistemas.

Artculo 5 - (Integridad y validez de la informacin) La Entidad Supervisada para el


desarrollo y mantenimiento de los sistemas de informacin, debe tomar en cuenta al menos los
siguientes aspectos:
a.

Implementar controles automatizados que permitan minimizar errores en la entrada de datos,


en su procesamiento y consolidacin, en la ejecucin de los procesos de actualizacin de
archivos y bases de datos, as como en la salida de la informacin;

b.

Verificar peridicamente que la informacin procesada por los sistemas de informacin sea
integra, vlida, confiable y razonable;

c.

Establecer controles que limiten la modificacin y la eliminacin de datos en cuanto a


movimientos, saldos y operaciones efectuadas por los clientes y otros.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 1/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 6 - (Controles criptogrficos) En el desarrollo de los sistemas de informacin, la


Entidad Supervisada debe implementar mtodos de cifrado estndar que garanticen la
confidencialidad e integridad de la informacin.
Artculo 7 - (Control de acceso al cdigo fuente de los programas) El acceso al cdigo fuente
de programas y a la informacin relacionada con diseos, especificaciones, planes de verificacin
y de validacin, debe ser estrictamente controlado para prevenir la introduccin de funcionalidades
y/o cambios no autorizados.
Artculo 8 - (Procedimientos de control de cambios) La Entidad Supervisada debe establecer
procedimientos formales para el control de cambios en los sistemas de informacin que contemplen
documentacin, especificacin, prueba, control de calidad e implementacin. Se debe documentar
y resguardar cada versin del cdigo fuente de los sistemas de informacin.
Artculo 9 - (Ambientes de desarrollo, prueba y produccin) Se deben implementar
controles y mecanismos que garanticen la separacin fsica o lgica de los ambientes de desarrollo,
prueba y produccin, acordes con la criticidad del (los) sistema(s) involucrado(s) y la segregacin
de funciones que debe existir en cada caso, asegurando que los encargados del desarrollo y/o
mantenimiento de sistemas no tengan acceso a los sistemas y datos en produccin; as como, que
las pruebas a los sistemas, previo a su uso oficial, se realicen en un entorno controlado.
Cuando las caractersticas de la Entidad Supervisada, determinen que no se pueda aplicar la
segregacin de funciones citada en el prrafo precedente, la Gerencia General debe autorizar de
manera expresa, el acceso de los funcionarios del rea de TI a los datos en produccin, dicha
autorizacin permanecer en la Entidad Supervisada a disposicin de ASFI.
La instancia responsable de la seguridad de la informacin de la Entidad Supervisada, a efectos de
garantizar que el acceso citado en el prrafo precedente, no es utilizado para fines diferentes a los
autorizados, debe realizar el seguimiento correspondiente.
Artculo 10 - (Datos de prueba en ambientes de desarrollo) Para utilizar informacin de
produccin en los ambientes de desarrollo y prueba se debe aplicar un procedimiento de
enmascaramiento de datos a efectos de preservar la confidencialidad de dicha informacin.
Artculo 11 - (Migracin de sistemas de informacin) El proceso de migracin de un sistema
de informacin, debe estar basado en un plan de accin y procedimientos especficos que garanticen
la disponibilidad, integridad y confidencialidad de la informacin.
Es responsabilidad de la Gerencia General designar a la instancia que realizar el control de calidad
durante el proceso de migracin, el cual debe estar debidamente documentado y a disposicin de
ASFI.
El Auditor Interno o la Unidad de Auditora Interna, segn corresponda, deben evaluar los
resultados obtenidos en el proceso de migracin, cuyo informe permanecer en la Entidad
Supervisada a disposicin de ASFI.
Artculo 12 - (Parches de seguridad) La actualizacin del software o la aplicacin de un parche
de seguridad, debe ser previamente autorizada en funcin a un procedimiento formalmente
establecido. Esta autorizacin debe ser otorgada o no, segn corresponda, considerando la
estabilidad del sistema, las necesidades funcionales de la organizacin y los criterios de seguridad
Circular SB/436/03 (07/03) Inicial
SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 2/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

de la informacin establecidos en las polticas de la Entidad Supervisada. Adicionalmente, todo el


software debe mantenerse actualizado con las mejoras de seguridad distribuidas o liberadas por el
proveedor, previa realizacin de pruebas en ambientes controlados.

Circular SB/436/03 (07/03) Inicial


SB/443/03 (08/03) Modificacin 1
SB/466/04 (04/04) Modificacin 2
ASFI/193/13 (09/13) Modificacin 3
ASFI/395/16 (06/16) Modificacin 4

Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 6: GESTIN DE OPERACIONES DE TECNOLOGA DE INFORMACIN


Artculo 1 - (Gestin de operaciones) La gestin de operaciones de tecnologa de la
informacin, debe estar basada en polticas y procedimientos establecidos por la Entidad
Supervisada, en las cuales se consideren al menos:
a.

La planificacin y documentacin de los procesos y actividades que se desarrollen dentro del


Centro de Procesamiento de Datos;

b.

La revisin peridica de los procedimientos relacionados a la gestin de operaciones en


funcin a los cambios operativos y/o tecnolgicos.

Artculo 2 - (Administracin de las bases de datos) La Entidad Supervisada debe realizar la


administracin de bases de datos, en funcin a procedimientos formalmente establecidos para este
propsito, los cuales consideren mnimamente lo siguiente:
a.

Instalacin, administracin, migracin y mantenimiento de las bases de datos;

b.

Definicin de la arquitectura de informacin para organizar y aprovechar de la mejor forma


los sistemas de informacin;

c.

Establecimiento de mecanismos de control de acceso a las bases de datos;

d.

Documentacin que respalde las actividades de administracin de las bases de datos;

e.

Realizacin de estudios de capacidad y desempeo de las bases de datos que permitan


determinar las necesidades de expansin de capacidades y/o la afinacin en forma oportuna.

Artculo 3 - (Respaldo o copia de seguridad) La Entidad Supervisada debe efectuar copias de


seguridad de todos los datos e informacin, necesarios para el continuo funcionamiento de la
misma, cumpliendo al menos con las siguientes disposiciones:
a.

Contar con polticas y procedimientos que aseguren la realizacin de copias de seguridad;

b.

La informacin respaldada debe poseer un nivel adecuado de proteccin lgica, fsica y


ambiental, en funcin a la criticidad de la misma;

c.

Los medios de respaldo deben probarse peridicamente, a fin de garantizar la confiabilidad de


los mismos con relacin a su eventual uso en casos de emergencia;

d.

El ambiente fsico destinado al resguardo de la informacin crtica, debe contar con


condiciones fsicas y ambientales suficientes para garantizar mnimamente la proteccin
contra daos, deterioro y hurto;

e.

El sitio externo de respaldo donde se almacenan las copias de seguridad debe mantener al
menos diez (10) aos de informacin crtica de la Entidad Supervisada;

f.

Cualquier traslado fsico de los medios digitales de respaldo, debe realizarse con controles de
seguridad adecuados, que eviten una exposicin no autorizada de la informacin contenida en
los mismos;

g.

Se debe realizar el etiquetado de todos los medios de respaldo y mantener un inventario


actualizado de los mismos.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 4 - (Mantenimiento preventivo de los recursos tecnolgicos) La Entidad


Supervisada debe realizar peridicamente el mantenimiento preventivo de los recursos
tecnolgicos que soportan los sistemas de informacin y de los recursos relacionados, mediante el
establecimiento formal y documentado de un procedimiento que incluya el cronograma
correspondiente.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 2

Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 7: GESTIN DE SEGURIDAD EN REDES Y COMUNICACIONES


Artculo 1 - (Polticas y procedimientos) La Entidad Supervisada debe contar con polticas y
procedimientos para la instalacin y mantenimiento del hardware y su configuracin base, con el
propsito de asegurar que proporcionen la plataforma tecnolgica que permita soportar las
aplicaciones relacionadas con las redes y telecomunicaciones y minimicen la frecuencia e impacto
de las fallas de desempeo de las mismas.
Asimismo, debe desarrollar polticas y procedimientos para la correcta administracin de la
infraestructura de redes y telecomunicaciones. Para este efecto, la Entidad Supervisada debe
considerar lo siguiente:
a.

Garantizar que los planes de adquisicin de hardware y software reflejen las necesidades
identificadas en el plan Estratgico de TI;

b.

Garantizar la proteccin de los datos que se trasmiten a travs de la red de telecomunicaciones,


mediante tcnicas de cifrado estndar a travs de equipos o aplicaciones definidas para tal fin;

c.

Asegurar que las redes de voz y/o datos cumplan con estndares de cableado estructurado;

d.

Definir los niveles de acceso de los usuarios del sistema de informacin a las redes y servicios
de red, en funcin de las autorizaciones predefinidas;

e.

Controlar el acceso a los puertos de diagnstico;

f.

Establecer controles de acceso para redes compartidas, particularmente respecto a aquellas que
se extienden a usuarios fuera de la Entidad Supervisada.

Artculo 2 - (Estudio de capacidad y desempeo) La Entidad Supervisada debe realizar


estudios peridicos de capacidad y desempeo del hardware y de las lneas de comunicacin que
permitan determinar las necesidades de expansin de capacidades y/o actualizacin de equipos en
forma oportuna.
Artculo 3 - (Exclusividad del rea de telecomunicaciones) El ambiente fsico en el que se
encuentran instalados los equipos de telecomunicaciones debe ser de uso exclusivo para el fin
sealado, con excepcin del destinado a los equipos de seguridad o procesamiento de informacin.
Artculo 4 - (Activos de informacin componentes de la red) Los equipos como
concentradores, multiplexores, puentes, cortafuegos (firewall), enrutadores, conmutadores y
componentes del cableado estructurado de la red, deben instalarse sobre estructuras dedicadas para
equipos de telecomunicacin.
Artculo 5 - (Configuracin de hardware y software) La Entidad Supervisada, debe
establecer un registro formal que contenga toda la informacin referente a los elementos de
configuracin del hardware, software, parmetros, documentacin, procedimientos y herramientas
para operar, acceder y utilizar los sistemas de informacin. Asimismo, debe considerar los
siguientes aspectos:
a.

Contar con procedimientos formalmente establecidos para: Identificar, registrar y actualizar


los elementos de configuracin existentes en el repositorio de configuraciones;

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

b.

Revisar y verificar por lo menos una (1) vez al ao, el estado de los elementos de configuracin
para confirmar la integridad de la configuracin de datos actual e histrica;

c.

Revisar mnimamente una (1) vez al ao, la existencia de cualquier software de uso personal
o no autorizado, que no se encuentre incluido en los acuerdos de licenciamiento vigentes de la
Entidad Supervisada.

Artculo 6 - (Documentacin tcnica) La documentacin tcnica asociada a la infraestructura


de redes y telecomunicaciones debe conservarse actualizada, resguardada y contener como mnimo
lo siguiente:
a.

Caractersticas, topologa y diagrama de red;

b.

Descripcin de los elementos de cableado;

c.

Planos de trayectoria del cableado y ubicacin de puntos de salida;

d.

Diagrama del sistema de interconexin de cables de red, distribucin de regletas y salidas;

e.

Certificacin del cableado estructurado de la red.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 8: GESTIN DE SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES


ELECTRNICAS
Artculo 1 - (Requisitos de los sistemas de transferencias y transacciones electrnicas) Para
habilitar un sistema de transferencia electrnica de informacin o transacciones electrnicas
mediante banca electrnica o servicios de pago mvil, la Entidad Supervisada debe adquirir e
implementar los elementos de hardware y software necesarios para la proteccin y control de su
plataforma tecnolgica. Asimismo, debe cumplir con los siguientes requisitos mnimos:
a.

Seguridad del sistema: El sistema tiene que proveer un perfil de seguridad que garantice que
las operaciones slo puedan ser realizadas por personas debidamente autorizadas para ello,
resguardando adems, la confidencialidad de la informacin transmitida o procesada por ese
medio.
Dicho sistema, debe contener los mecanismos fsicos y lgicos de seguridad para controlar y
detectar cualquier alteracin o intervencin a la informacin transmitida, entre el punto en que
sta se origina y aquel en el que es recibida por el destinatario.
Los procedimientos en este mbito, deben asegurar que tanto el originador como el
destinatario, en su caso, conozcan la autora de las transacciones o mensajes y la conformidad
de su recepcin, aplicando la(s) poltica(s) de seguridad de la informacin indicada(s) en el
Artculo 2 de la Seccin 3 del presente Reglamento, incluyendo mtodos de cifrado estndar
de datos, que permitan asegurar su confiabilidad, no repudio, autenticidad e integridad.
La Entidad Supervisada, es responsable de implementar mecanismos de control de acceso y/o
contraseas adicionales para los clientes, as como de autenticacin robusta para aquellas
transacciones que sean realizadas a travs de Internet, caso contrario no se podr atribuir
ninguna responsabilidad a un usuario del sistema en el caso de que se materialice un fraude a
travs de estos sistemas de transacciones y transferencias electrnicas.
El mecanismo de acceso y/o contrasea al (los) sistema(s) va web debe ser diferente al
mecanismo que permita realizar transacciones y/o transferencias electrnicas;

b.

Canal de comunicacin: La Entidad Supervisada debe mantener permanentemente abierto y


disponible un canal de comunicacin que permita al cliente realizar consultas y solicitar el
bloqueo de cualquier operacin que intente efectuarse utilizando sus medios de acceso al
sistema de informacin o claves de autenticacin. Cada sistema que opere en lnea y en tiempo
real, debe permitir dicho bloqueo tambin en tiempo real.
Toda informacin relacionada a transferencia y transacciones electrnicas, debe contemplar
en los canales de comunicacin mecanismos de cifrado estndar durante todo el flujo operativo
de los sistemas de informacin tanto al interior como al exterior de la Entidad Supervisada;

c.

Difusin de polticas de seguridad: La Entidad Supervisada debe difundir sus polticas de


seguridad relativas al tema de transferencias y transacciones electrnicas tanto al interior de la
misma, como a los clientes externos que utilizan dichos sistemas;

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 1/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

d.

Certificacin digital: Los certificados digitales que utilice la Entidad Supervisada, as como
la existencia de sitios web de sta, tienen que estar avalados en cuanto a su propiedad y
seguridad de la informacin expuesta, por una entidad certificadora autorizada, por la
Autoridad de Regulacin y Fiscalizacin de Telecomunicaciones y Transportes (ATT);

e.

Continuidad operativa: La Entidad Supervisada, debe contar con procesos alternativos que
puedan asegurar la continuidad de todos los procesos definidos como crticos relacionados con
los servicios de transferencias y transacciones electrnicas. En este sentido, las instalaciones
y configuraciones de los equipos, sistemas y las redes de telecomunicaciones deben garantizar
la continuidad de las operaciones frente a eventos fortuitos o deliberados, para lo cual se debe
considerar lo previsto en la Seccin 10, del presente Reglamento;

f.

Disponibilidad de la informacin: Los sistemas de transaccin y transferencia electrnica


deben generar la informacin necesaria para que el cliente pueda conciliar los movimientos
efectuados en su(s) cuenta(s), a travs de terminales ATM y POS, as como de los sistemas
disponibles en la web, en un determinado perodo, reflejando las fechas en que se realizaron
las transacciones;

g.

Registro de pistas de auditora: Los sistemas utilizados, adems de permitir el registro y


seguimiento ntegro de las transferencias y/o transacciones electrnicas realizadas, deben
generar archivos que permitan respaldar los antecedentes de cada operacin electrnica,
necesarios para efectuar cualquier seguimiento, examen o certificacin posterior, tales como,
fechas y horas en que se realizaron las mismas, el contenido de los mensajes, identificacin de
los operadores, emisores y receptores, cuentas y montos involucrados, as como la
identificacin de terminales desde las cuales se realizaron.
La conservacin de esta informacin debe efectuarse, por un periodo no menor a diez (10)
aos;

h.

i.

Verificacin y control de transacciones y transferencias electrnicas: La Entidad


Supervisada debe implementar mnimamente las siguientes medidas de seguridad:
1.

Regionalizacin de las operaciones electrnicas nacionales e internacionales para los


clientes;

2.

Fijar lmites monetarios en transferencias y transacciones electrnicas;

3.

Deteccin, alerta y si corresponde, bloqueo automatizado de operaciones sospechosas de


fraude.

Acuerdos privados: Para la realizacin de transacciones y/o transferencias de informacin


entre entidades supervisadas, BCB, ASFI, usuarios y todas las que estn relacionadas con la
actividad de intermediacin financiera, deben celebrarse acuerdos privados que estn
debidamente firmados y protocolizados, que consideren las polticas de seguridad establecidas
a partir de lo dispuesto en el Artculo 2 de la Seccin 3 del presente reglamento.

Artculo 2 - (Contrato) Los derechos y responsabilidades de cada una de las partes que
intervienen en las transacciones y/o transferencias electrnicas, deben establecerse claramente en
el contrato que stas suscriban para el efecto. De manera enunciativa, dicho contrato debe
especificar mnimamente los siguientes aspectos:
Circular ASFI/193/13 (09/13) Inicial
ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 2/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

a.

Responsabilidad exclusiva del cliente, del uso y confidencialidad de la clave de acceso, que
utilizar en sus operaciones electrnicas, sealando explcitamente que la contrasea ser
bloqueada automticamente despus de tres intentos fallidos, as como el procedimiento para
solicitar su desbloqueo;

b.

Detalle de las operaciones que puede efectuar el cliente;

c.

El horario de prestacin del servicio, conjuntamente el procedimiento alternativo en caso de


que el servicio no est disponible;

d.

Las medidas de seguridad que ha tomado la Entidad Supervisada para la transferencia


electrnica de informacin y transacciones electrnicas efectuadas;

e.

Los medios o mecanismos electrnicos que permitan reconocer la validez de las transferencias
y/o transacciones electrnicas que el cliente realice, as como la implementacin de controles
internos que posibiliten establecer que los importes no superen el saldo disponible;

f.

El lmite fijado para la realizacin de las transferencias y/o transacciones electrnicas, salvo
la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo cumplir para tal
efecto con las formalidades del Cdigo de Comercio y reglamentacin vigente;

g.

Deteccin, alerta y si corresponde, bloqueo automatizado de operaciones sospechosas de


fraude;

h.

Todas las condiciones, caractersticas y cualquier otra estipulacin determinante que conlleve
el uso de este servicio.

Artculo 3 - (Cifrado de mensajes y archivos) Para que la Entidad Supervisada, efecte


transferencias y/o transacciones electrnicas de fondos, debe tener implementado un sistema de
cifrado estndar que garantice como mnimo que las operaciones realizadas por los usuarios
internos o externos de los sistemas de informacin sean efectuadas en un ambiente seguro y no
puedan ser observadas por usuarios no autorizados.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 3/3

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 9: GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN


Artculo nico - (Gestin de incidentes de seguridad de la informacin) La Entidad
Supervisada debe tener un procedimiento para la gestin de incidentes de seguridad de la
informacin formalizado, actualizado e implementado; aprobado por el Directorio u rgano
equivalente, en concordancia con el Plan de Contingencias Tecnolgicas establecido en el Artculo
1, Seccin 10 del presente Reglamento, el cual debe especificar mnimamente lo siguiente:
a.

Responsabilidades y procedimientos: La Gerencia General debe establecer formalmente las


responsabilidades y procedimientos para asegurar una rpida, efectiva y ordenada respuesta a
los incidentes de seguridad de la informacin;

b.

Registro, cuantificacin y monitoreo de incidentes de seguridad de la informacin: La


Entidad Supervisada debe establecer los mecanismos necesarios que permitan identificar la
tipologa, los volmenes y los costos de los incidentes de seguridad de la informacin, as
como las medidas asumidas para mitigarlos, garantizando que stos sean registrados,
cuantificados y monitoreados. De igual manera, debe ejecutar las acciones correctivas
oportunas;

c.

Clasificacin de incidentes de seguridad de la informacin: La Entidad Supervisada debe


considerar al menos las siguientes categoras:
1.

Prdida de servicio;

2.

Prdida de equipo o instalaciones;

3.

Sobrecargo o mal funcionamiento del sistema;

4.

Errores humanos;

5.

Incumplimiento de polticas o procedimientos;

6.

Deficiencias de controles de seguridad fsica;

7.

Cambios incontrolables en el sistema;

8.

Mal funcionamiento del software;

9.

Mal funcionamiento del hardware;

10.

Cdigo malicioso;

11.

Negacin de servicio;

12.

Errores resultantes de datos incompletos o no actualizados;

13.

Violaciones en la confidencialidad e integridad de la informacin;

14.

Mal uso de los sistemas de informacin;

15.

Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnolgicos;

16.

Intentos recurrentes y no recurrentes de acceso no autorizado.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

d.

Registro de incidentes de seguridad de la informacin: La Entidad Supervisada para efectos


de control, seguimiento y solucin, debe mantener una base de datos para el registro de los
incidentes de seguridad de la informacin que considere la clasificacin establecida en el
inciso c del presente Artculo.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 10: CONTINUIDAD DEL NEGOCIO


Artculo 1 - (Plan de contingencias tecnolgicas) La Entidad Supervisada debe contar con un
Plan de Contingencias Tecnolgicas formalizado, actualizado e implementado; aprobado por el
Directorio u rgano equivalente, que mnimamente considere:
a.

Objetivo;

b.

Metodologa para su elaboracin que al menos, contemple lo siguiente:


1.

Anlisis y evaluacin de riesgos en seguridad de la informacin;

2.

Definicin de eventos que afecten la operacin de los sistemas de informacin;

3.

Definicin de procesos crticos relacionados a los sistemas de informacin.

c.

Procedimientos de recuperacin de operaciones crticas para cada evento identificado;

d.

Descripcin de responsabilidades, funciones e identificacin del personal que ejecutar el


plan;

e.

Medidas de prevencin;

f.

Recursos mnimos asignados para la recuperacin de los servicios y sistemas;

g.

Convenios realizados para la recuperacin de los servicios y sistemas;

h.

Revisin anual y evaluaciones frecuentes del Plan de Contingencias Tecnolgicas de acuerdo


con los resultados del anlisis y evaluacin de riesgos en seguridad de la informacin realizado
y/o los incidentes de seguridad de informacin acontecidos;

i.

Pruebas al Plan de Contingencias Tecnolgicas;

j.

Situaciones no cubiertas y supuestos.

Artculo 2 - (Plan de continuidad del negocio) La Entidad Supervisada debe contar con un
Plan de Continuidad del Negocio (BCP) formalizado, actualizado e implementado; aprobado por
el Directorio u rgano equivalente, que mnimamente considere:
a.

Inicio del proyecto;

b.

Los resultados del Anlisis y evaluacin de riesgos en seguridad de la informacin, efectuado;

c.

Anlisis de impacto al negocio (BIA);

d.

Desarrollo de estrategias para el BCP;

e.

Respuesta ante emergencias;

f.

Desarrollo e implementacin del BCP;

g.

Programa de concientizacin y capacitacin;

h.

Mantenimiento y ejercicio del BCP;

i.

Comunicacin de crisis.
Circular ASFI/193/13 (09/13) Inicial
ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 1/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 3 - (Capacitacin en la aplicacin de los planes de contingencias tecnolgicas y de


continuidad del negocio) La Entidad Supervisada debe asegurarse que todas las partes
involucradas en los planes de contingencias tecnolgicas y de continuidad del negocio, asistan de
forma regular a sesiones de capacitacin respecto a los procesos, sus roles y responsabilidades en
caso de presentarse algn incidente de seguridad de la informacin.
Artculo 4 - (Pruebas de los planes de contingencias tecnolgicas y continuidad del
negocio) La Entidad Supervisada debe efectuar al menos una (1) prueba al ao de cada escenario
o evento considerado en los planes de contingencias tecnolgicas y continuidad del negocio,
debiendo los resultados de ambas pruebas ser exitosas en toda su dimensin, caso contrario se
deben ejecutar las acciones correctivas que correspondan y ejecutar las pruebas necesarias hasta
cumplir con el objetivo planteado.
La Entidad Supervisada debe documentar la realizacin de las pruebas y la implementacin de los
planes de accin correctivos o preventivos que correspondan. El cronograma de realizacin de
pruebas, conforme a los planes de contingencias tecnolgicas y de continuidad del negocio para la
gestin que se planifica, debe ser remitido a ASFI para su conocimiento, hasta el 20 de diciembre
del ao anterior a su ejecucin.
El alcance de las pruebas de contingencias tecnolgicas y de continuidad del negocio, debe
considerar aplicaciones individuales, escenarios de prueba integrados, pruebas de punta a punta y
pruebas integradas con el(los) proveedor(es). El resultado de stas debe estar disponible para ASFI.
Artculo 5 - (Control de los planes de contingencias tecnolgicas y de continuidad del
negocio) La Entidad Supervisada a travs de los funcionarios involucrados en las pruebas y
ejecucin de los planes de contingencias tecnolgicas y de continuidad del negocio, es responsable
de mantener los niveles de seguridad definidos para cada etapa del mismo.
Artculo 6 - (Establecimiento del centro de procesamiento de datos alterno) La Entidad
Supervisada debe contar con un mecanismo alterno de procesamiento de informacin que sea
consistente con su naturaleza y tamao, acorde con los resultados de su anlisis y evaluacin de
riesgos en seguridad de la informacin y con la criticidad de sus operaciones, el cual le permita dar
continuidad a los servicios que ofrece. En caso de ocurrir una contingencia que interrumpa las
operaciones del Centro de Procesamiento de Datos principal (CPD), el Centro de Procesamiento
de Datos Alterno (CPDA) deber funcionar hasta que se resuelva la contingencia.
Cuando la Entidad Supervisada por sus caractersticas, no cuente con ambientes para la instalacin
del CPDA, en una ubicacin geogrfica diferente a aquella en la que se encuentra el CPD, puede
hacerlo en un espacio donde no preste servicios, localizado en otra rea geogrfica, preservando
que cumpla con los requisitos de seguridad fsica y tecnolgica que deben tener las reas de
exclusin.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 2/2

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 11: ADMINISTRACIN DE SERVICIOS Y CONTRATOS CON TERCEROS RELACIONADOS


CON TECNOLOGA DE LA INFORMACIN
Artculo 1 - (Administracin de servicios y contratos con terceros) La Entidad Supervisada
debe contar con polticas y procedimientos para la administracin de servicios y contratos con
terceros, con el propsito de asegurar que los servicios contratados sean provistos en el marco de
un adecuado nivel de servicios que minimicen el riesgo relacionado y se enmarquen en las
disposiciones contenidas en el presente Reglamento segn corresponda.
La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para la
administracin de servicios y contratos con terceros.
Artculo 2 - (Evaluacin y seleccin de proveedores) Para la contratacin de proveedores de
tecnologa de informacin, la Entidad Supervisada debe poseer un procedimiento documentado,
formalizado, actualizado e implementado; aprobado por el Directorio u rgano equivalente, para
realizar la evaluacin y seleccin de los mismos, previo a proceder con su contratacin.
Artculo 3 - (Procesamiento de datos tercerizado o ejecucin de sistemas en lugar externo)
Para la contratacin de empresas encargadas del procesamiento de datos o ejecucin de sistemas
en lugar externo, la Entidad Supervisada debe considerar al menos los siguientes aspectos:
a.

Es deber del Directorio u rgano equivalente, Gerencia General y dems administradores


responsables, asegurarse que la empresa proveedora cuente con la experiencia y capacidad
necesarias para el procesamiento de datos relacionados al giro de la Entidad Supervisada y que
respondan a las caractersticas del servicio que se desea contratar;

b.

La infraestructura tecnolgica y los sistemas que se utilizarn para la comunicacin,


almacenamiento y procesamiento de datos, deben ofrecer la seguridad suficiente para resguardar
permanentemente la continuidad operacional, la confidencialidad, integridad, exactitud y calidad
de la informacin y los datos. Asimismo, se debe verificar que stos garanticen la obtencin
oportuna de cualquier dato o informacin necesarios para cumplir con los fines de la Entidad
Supervisada o con los requerimientos de las autoridades competentes, como es el caso de la
informacin que en cualquier momento puede solicitar ASFI;

c.

Es responsabilidad de la Entidad Supervisada, verificar y exigir al proveedor de tecnologa de


la informacin el cumplimiento de las polticas y procedimientos de seguridad de la
informacin correspondientes;

d.

Es responsabilidad de la Entidad Supervisada, asegurar la adopcin de medidas necesarias que


garanticen la continuidad operacional del procesamiento de datos, en caso de cambio de
proveedor externo u otro factor no previsto;

e.

En caso de que el procesamiento de datos se realice fuera del territorio nacional, la Entidad
Supervisada debe comunicar esta situacin a ASFI, adjuntando la siguiente documentacin:
1.

Detalle de las actividades descentralizadas;

2.

Descripcin del entorno de procesamiento;

3.

Lista de encargados del procesamiento;

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 1/5

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

4.

Responsables del control de procesamiento;

5.

Informe del Gerente General, dirigido al Directorio u rgano equivalente, que seale el
cumplimiento de lo dispuesto en los incisos precedentes.

Dicha documentacin debe permanecer actualizada en la Entidad Supervisada, a disposicin


de ASFI;
f.

El Gerente General de la Entidad Supervisada debe remitir anualmente a ASFI, hasta el 31 de


marzo de cada ao, un informe con carcter de declaracin jurada refrendado por el auditor
interno, en el que se especifique que el(los) sistema(s) externo(s) de procesamiento de datos,
cumple(n) con los elementos de seguridad de la informacin establecidos en el Artculo 4 de
la Seccin 1 del presente Reglamento.

Artculo 4 - (Contrato con proveedor de procesamiento externo) Es responsabilidad del


Directorio u rgano equivalente y de la Gerencia General de la Entidad Supervisada, la suscripcin
del (los) contrato(s) con la(s) empresa(s) proveedora(s) de los servicios de procesamiento, el (los)
que entre otros aspectos debe(n) precisar mnimamente, lo siguiente:
a.

La naturaleza y especificaciones del (los) servicio(s) de procesamiento contratado(s);

b.

La responsabilidad que asume(n) la(s) empresa(s) proveedora(s), para mantener polticas y


procedimientos que garanticen la seguridad, reserva y confidencialidad de la informacin, en
conformidad con la legislacin boliviana, as como de prever prdidas, no disponibilidad o
deterioros de la misma;

c.

La responsabilidad que asume(n) la(s) empresa(s) proveedora(s) en caso de ser vulnerados sus
sistemas, ya sea por ataques informticos internos y/o externos, deficiencias en la
parametrizacin, configuracin y/o rutinas de validacin inmersas en el cdigo fuente;

d.

La facultad de la Entidad Supervisada, para practicar evaluaciones peridicas a la(s)


empresa(s) proveedora(s) del servicio, directamente o mediante auditoras independientes.

La Entidad Supervisada debe mantener los documentos y antecedentes de los contratos suscritos
con empresas proveedoras de servicios de tecnologa(s) de informacin a disposicin de ASFI.
Artculo 5 - (Adquisicin de sistemas de informacin) La Entidad Supervisada debe evaluar
la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisicin, con
base en un anlisis que considere como mnimo lo siguiente:
a.

Fuentes alternativas para la compra;

b.

Revisin de la factibilidad tecnolgica y econmica;

c.

Anlisis y evaluacin de riesgos en seguridad de la informacin;

d.

Anlisis de costo-beneficio;

e.

Mtodo de seleccin del proveedor, que permita un nivel de dependencia aceptable;

f.

Disponibilidad del cdigo fuente;

g.

Cumplimiento de los requisitos de seguridad de la informacin establecidos por la Entidad


Supervisada.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 2/5

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Si la funcionalidad del (los) producto(s) ofrecido(s), no satisface(n) los requisitos de seguridad de


la informacin establecidos por la Entidad Supervisada, se deben reconsiderar los riesgos y
controles asociados, previo a la adquisicin del (los) producto(s).
Artculo 6 - (Desarrollo y mantenimiento de programas, sistemas o aplicaciones a travs
de terceros) La contratacin de empresas encargadas del desarrollo y mantenimiento de sistemas
de informacin, es responsabilidad de la Entidad Supervisada que al efecto, debe considerar al
menos los siguientes aspectos:
a.

Que la(s) empresa(s) contratada(s) cuente(n) con solidez financiera, personal con conocimiento y
experiencia en el desarrollo de sistemas y/o en servicios relacionados al giro de la Entidad
Supervisada. Asimismo, asegurar que sus sistemas de control interno y procedimientos de
seguridad de la informacin, responden a las caractersticas del servicio que se requiere contratar;

b.

Que la infraestructura tecnolgica, sistemas operativos y las herramientas de desarrollo, que se


utilizarn, estn debidamente licenciados por el fabricante o su representante;

c.

La adopcin de medidas que garanticen la continuidad del desarrollo y mantenimiento de


sistemas, en caso de cambio de proveedor u otro factor no previsto;

d.

Que el(los) proveedor(es) de tecnologas de informacin cumpla(n) con las directrices de


seguridad de la informacin sealados en el Artculo 1 de la presente Seccin;

e.

Requisitos de seguridad establecidos por la Entidad Supervisada.

Artculo 7 - (Contrato con empresas encargadas del desarrollo y mantenimiento de


programas, sistemas o aplicaciones) El contrato con empresas de desarrollo externo debe
contener como mnimo, clusulas destinadas a:
a.

Aclarar a quien pertenece la propiedad intelectual en el caso de desarrollo de programas, sistemas


o aplicaciones;

b.

Indicar en detalle la plataforma de desarrollo, servidores, sistemas operativos y las herramientas


de desarrollo, tales como lenguaje(s) de programacin y sistema(s) de gestin de base de datos;

c.

Especificar que el proveedor debe tener el contrato del personal que participa en el proyecto,
actualizado y con clusulas de confidencialidad para el manejo de la informacin.
Adicionalmente, debe enviar al cliente entidad supervisada el currculo de todos los
participantes en el proyecto, indicando al menos antecedentes profesionales y personales;

d.

Indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo, incluyendo
las pruebas de programas;

e.

Con la finalidad de proteger a la Entidad Supervisada, junto a las clusulas normales de


condiciones de pago se deben establecer multas por atrasos en la entrega de productos o provisin
de servicios. Al mismo tiempo, indemnizacin por daos y perjuicios atribuibles al proveedor;

f.

Establecer que en caso de que el proveedor sea autorizado a ingresar en forma remota a los
servidores de la Entidad Supervisada, debe regirse y cumplir las polticas y procedimientos de la
misma en lo referido a la seguridad de la informacin;

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 3/5

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

g.

Al trmino del proyecto, al adquirir un producto previamente desarrollado y/o cuando el


proveedor no est en disponibilidad de continuar operando en el mercado, la Entidad Supervisada
debe asegurarse el acceso oportuno al cdigo fuente de los programas;

h.

Garantizar que, en concordancia con los cambios realizados al sistema de informacin, programa
o aplicacin, el proveedor actualice y entregue mnimamente la siguiente documentacin:
1.

Diccionario de datos;

2.

Diagramas de diseo (Entidad Relacin, Flujo de datos, entre otros);

3.

Manual tcnico;

4.

Manual de usuario;

5.

Documentacin que especifique el flujo de la informacin entre los mdulos y los sistemas.

Artculo 8 - (Otros servicios) La Entidad Supervisada podr tercerizar otros servicios como el
mantenimiento de equipos, soporte de sistemas operativos, hospedaje de sitios web, a cuyo efecto
debe incluir en su(s) contrato(s) o acuerdo(s) al menos los siguientes aspectos:
a.

Tipo de servicio;

b.

Soporte y asistencia;

c.

Seguridad de datos;

d.

Garanta y tiempos de respuesta del servicio;

e.

Disponibilidad del servicio;

f.

Multas por incumplimiento.

Artculo 9 - (Acuerdo de nivel de servicio) La Entidad Supervisada, de forma previa a la


contratacin de un proveedor externo de tecnologa de informacin, debe establecer un Acuerdo de
Nivel de Servicio (SLA), documento que ser parte del contrato respectivo, acorde con los
resultados de su anlisis y evaluacin de riesgos en seguridad de la informacin y con la criticidad
de sus operaciones.
Los parmetros del SLA, deben referirse al tipo de servicio, soporte y asistencia a clientes,
provisiones para seguridad y datos, garantas del sistema y tiempos de respuesta, disponibilidad del
servicio o sistema, conectividad, multas por cada del sistema y/o lneas alternas para el servicio,
segn corresponda.
Artculo 10 - (Servicio de computacin en la nube) La Entidad Supervisada, previo a la
contratacin de servicio(s) de computacin en la nube, debe solicitar la no objecin a ASFI en
forma escrita, adjuntando para su evaluacin el Proyecto de implementacin del servicio de
computacin en la nube, el cual tiene que reflejar mnimamente, el cumplimiento de los siguientes
aspectos:
a.

Que no se vulnerar el Derecho a la Reserva y Confidencialidad, establecida en el Artculo


472 de la Ley N393 de Servicios Financieros;

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 4/5

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

b.

Que no se encuentra dentro de las Limitaciones y Prohibiciones, establecidas en los Ttulos II,
III y IV de la Ley N393 de Servicios Financieros, referidos a Servicios Financieros y
Rgimen de Autorizaciones, que pueden realizar las entidades supervisadas por ASFI;

c.

Que el proveedor del servicio cumpla con los requisitos de seguridad de la informacin
dispuestos en el presente Reglamento;

d.

Que el proveedor del servicio cumpla con la normativa y legislacin del Estado Plurinacional
de Bolivia, existiendo la posibilidad de poder ser examinado por ASFI y/o empresas de
auditora externa bolivianas;

e.

Que en su anlisis y evaluacin de riesgos en seguridad de la informacin, se justifique la


pertinencia de contratar el servicio de computacin en la nube;

f.

Que en las clusulas del contrato se contemplen los aspectos sealados en los incisos a, b, c y
d del presente Artculo.

ASFI podr objetar la implementacin del servicio de computacin en la nube, cuando el proyecto
presentado, incumpla con lo sealado en los incisos a, b, c, d y f y/o considere insuficiente el anlisis
y evaluacin de riesgos en seguridad de la informacin, en lo referido a la pertinencia de contratar
el servicio de computacin en la nube (inciso e).
A efectos de realizar la evaluacin del citado proyecto, la Entidad Supervisada debe remitir adjunto
a ste copia del borrador del contrato, as como otra documentacin que considere pertinente.
Artculo 11 - (Proteccin de datos en la nube) La Entidad Supervisada debe contar con
polticas y procedimientos a efectos de definir los criterios que garanticen el debido tratamiento,
proteccin y privacidad de datos personales cuando se utilicen los servicios de computacin en la
nube, considerando la normativa nacional en actual vigencia y los referentes internacionales en esta
materia.
Artculo 12 - (Nivel de riesgo del servicio de computacin en la nube) La entidad supervisada,
antes de contratar los servicios de computacin en la nube, debe realizar un diagnstico del nivel
de riesgo y la sensibilidad de la informacin y/o los recursos tecnolgicos a ser expuestos, el cual
debe estar contenido en el Proyecto de implementacin del servicio de computacin en la nube.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 5/5

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 12: ROL DE LA AUDITORA INTERNA


Artculo nico (Auditora Interna) El Auditor Interno o la Unidad de Auditora Interna es un
elemento clave en la gestin de seguridad de la informacin, debiendo entre otras, cumplir con las
siguientes funciones:
a.

Verificar el cumplimiento del presente Reglamento, en los doce meses precedentes, debiendo
la Entidad Supervisada remitir a ASFI hasta el 15 de enero de cada ao, el informe elaborado.
Dicha labor podr realizarse a travs, de evaluaciones internas y/o externas;

b.

Emitir un informe sobre la ejecucin de las pruebas de intrusin solicitadas en el Artculo 8


de la Seccin 3, del presente Reglamento y comunicar el resultado del anlisis de
vulnerabilidades a ASFI, hasta el 15 de noviembre de cada ao, adjuntando para el efecto,
copia del informe ejecutivo del evaluador y el plan de accin correspondiente, para subsanar
las debilidades identificadas durante el examen;

c.

Emitir un informe sobre el resultado de las pruebas realizadas a los planes de contingencias
tecnolgicas y de continuidad del negocio, mismo que debe permanecer en la Entidad
Supervisada a disposicin de ASFI;

d.

Refrendar el informe sobre procesamiento de datos o ejecucin de sistemas en lugar externo,


establecido en el inciso f, Artculo 3 de la Seccin 11 del presente Reglamento;

e.

Incluir en su Plan Anual de Trabajo la verificacin del cumplimiento de las polticas y


procedimientos relativos a la proteccin de datos en la nube, establecidos en el Artculo 11
Seccin 11 del presente Reglamento, si la Entidad Supervisada contrat dicho servicio.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 12
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 13: OTRAS DISPOSICIONES


Artculo 1 - (Responsabilidad) El cumplimiento, implementacin y difusin interna del
presente Reglamento, es responsabilidad del Directorio u rgano equivalente y de la Gerencia
General de la Entidad Supervisada.
Artculo 2 - (Normas y estndares internacionales aplicables) En caso de existir situaciones
no previstas en el presente Reglamento, la Entidad Supervisada, tiene que aplicar normas y/o
estndares internacionales de tecnologas de informacin y seguridad de la informacin, debiendo
identificar la referencia de la(s) norma(s) y/o estndares utilizados en sus polticas.
Artculo 3 - (Herramientas informticas) Para realizar evaluaciones de seguridad de la
informacin y auditora de sistemas a entidades supervisadas, ASFI podr utilizar herramientas
informticas cuando lo considere pertinente.
Asimismo, ASFI evaluar a cada Entidad Supervisada de acuerdo a su naturaleza, tamao y
complejidad de sus operaciones, aplicando normas y/o estndares internacionales de tecnologas de
informacin y seguridad de la informacin.
Artculo 4 - (Rgimen de sanciones) La inobservancia del presente Reglamento, dar lugar al
inicio del proceso administrativo sancionatorio.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 13
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 14: DISPOSICIONES TRANSITORIAS


Artculo 1 - (Adecuacin y cronograma) La Entidad Supervisada debe cumplir con las
disposiciones establecidas en el presente Reglamento hasta el 31 de diciembre de 2014.
La Entidad Supervisada debe elaborar un cronograma para el cumplimiento y adecuacin a la
presente normativa, el cual debe ser aprobado por su Directorio u rgano equivalente y permanecer
a disposicin de ASFI.
Artculo 2 - (Plazo de adecuacin) Las modificaciones e incorporaciones al presente
Reglamento, aprobadas en el mes de mayo de 2016, entran en vigencia a partir del 3 de octubre de
2016.

Circular ASFI/193/13 (09/13) Inicial


ASFI/395/16 (06/16) Modificacin 1

Libro 3
Ttulo VII
Captulo II
Seccin 14
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

CAPTULO III: REGLAMENTO PARA LA GESTIN DE SEGURIDAD FSICA


SECCIN 1:

ASPECTOS GENERALES

Artculo 1 (Objeto) El presente Reglamento tiene por objeto establecer lineamientos y


condiciones para la Gestin de Seguridad Fsica, que deben implementar las Entidades de
Intermediacin Financiera (EIF) y las Empresas de Servicios Financieros Complementarios para
la prestacin de servicios a sus clientes y usuarios.
Artculo 2 (mbito de aplicacin) Se encuentran sujetos al mbito de aplicacin del
presente Reglamento, los Bancos, Entidades Financieras de Vivienda, Cooperativas de Ahorro y
Crdito Abiertas, Cooperativas de Ahorro y Crdito Societarias, Instituciones Financieras de
Desarrollo, Empresas de Arrendamiento Financiero, Empresas de Servicios de Pago Mvil, Casas
de Cambio, Empresas de Giro y Remesas de Dinero, Empresas Administradoras de Tarjetas
Electrnicas y Empresas de Transporte de Material Monetario y Valores, que cuenten con
licencia de funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero
(ASFI), denominadas en adelante entidades supervisadas.
Artculo 3 (Definiciones) Para efectos de las disposiciones, contenidas en el presente
Reglamento, se considerarn las siguientes definiciones:
a. rea de exclusin: rea de acceso restringido identificada en las instalaciones de la
entidad supervisada;
b. Botn de pnico: Dispositivo electrnico que genera una seal de auxilio no audible que
comunica la ocurrencia de un incidente de seguridad fsica a la central de monitoreo;
c. Bveda principal: rea destinada a la custodia y atesoramiento del material monetario
y/o valores;
d. Bveda auxiliar: rea destinada a la custodia y atesoramiento transitorio del material
monetario y/o valores, durante la atencin de las operaciones y/o al cierre del da;
e. Caja fuerte bveda: Equipo fsico destinado a la custodia y atesoramiento del material
monetario y/o valores;
f.

Caja fuerte auxiliar: Equipo fsico destinado a la custodia y atesoramiento transitorio de


una parte del material monetario y/o valores;

g. Caja tipo buzn: Permite el atesoramiento transitorio de material monetario y/o valores
con ubicacin en el rea de ventanillas de atencin al pblico;
h. Camino de ronda: Recorrido que el guardia privado o polica de seguridad, realiza a lo
largo de los pasillos, salidas de emergencia, gradas, reas de carga o descarga, garajes,
reas comunes y otras reas, con el objeto de velar por la integridad fsica de las personas
y la seguridad de los activos de la entidad;

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/353/15 (11/15) Modificacin 3
Circular ASFI/381/16 (03/16) Modificacin 4

Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

i.

Circuito cerrado de televisin: Sistema de transmisin de imgenes compuesto por un


nmero determinado de cmaras que transmiten las seales capturadas a uno o ms
monitores, que forman un conjunto cerrado y limitado, en adelante CCTV;

j.

Central de monitoreo: rea de exclusin donde estn instaladas las centrales para la
recepcin de seales provenientes de los sistemas de alarma y almacenamiento de las
grabaciones de las cmaras de Circuito Cerrado de TV (CCTV);

k. Corresponsal financiero: Puede ser corresponsal financiero:


1. La Entidad de Intermediacin Financiera con Licencia de Funcionamiento;
2. La Cooperativa de Ahorro y Crdito Societaria con Certificado de Adecuacin y
previa autorizacin de ASFI;
3. La Institucin Financiera de Desarrollo con Certificado de Adecuacin;
4. La Empresa de Transporte de Material Monetario y/o Valores y la Casa de Cambio
con Personalidad Jurdica, que cuenten con Licencia de Funcionamiento.
l.

Corresponsal no financiero: Es la persona natural o jurdica legalmente constituida que


no realiza actividades de intermediacin financiera o de servicios financieros
complementarios;

m. Contacto magntico: Dispositivo electrnico que se activa al separar un contacto


elctrico de un imn, rompiendo el campo magntico y activando el sistema de alarma,
utilizado para el control de apertura de puertas y ventanas;
n. Detector inercial: Dispositivo electrnico que activa el sistema de alarma ante la
deteccin de vibraciones en el suelo o paredes;
o. Diagnstico de seguridad fsica: Resultado del anlisis que se realiza a la
infraestructura, entorno y medidas de seguridad fsica de una entidad supervisada, que
tiene como fin conocer las caractersticas especficas, vulnerabilidades y amenazas a las
que estn expuestas las instalaciones, operaciones y/o servicios de la entidad supervisada;
p. Empresa privada de vigilancia: Empresa privada autorizada por la instancia competente
para prestar servicios remunerados de seguridad fsica a entidades financieras y empresas
de servicios financieros complementarios, que incluyen la provisin de guardias, sistemas
de alarma, monitoreo y/o vigilancia motorizada entre otros;
q. Equipo anti-skimming: Equipo instalado en el cajero automtico que previene el robo
de identidad y reduce el fraude;
r. Gestin de seguridad fsica: Conjunto de objetivos, polticas, procedimientos, planes y
acciones que implementa la entidad supervisada con el objeto de proteger la integridad
fsica de las personas, as como los activos que se encuentren bajo su custodia, en el
interior o fuera de sus instalaciones, asimismo, la seguridad de su personal cuando estos
realicen operaciones y servicios fuera de las dependencias de la entidad;
Circular ASFI/146/12 (10/12) Inicial
Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/353/15 (11/15) Modificacin 3
Circular ASFI/381/16 (03/16) Modificacin 4

Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

s. Guardia privado: Personal dependiente de una empresa privada de vigilancia,


autorizada por la instancia competente, que vigila, protege y custodia la integridad fsica
de las personas y/o activos asignados;
t.

Grupo electrgeno: Equipo generador de electricidad por medio de un motor de


combustin interna, que garantiza el suministro ininterrumpido de energa para los
sistemas elctricos de seguridad fsica;

u. Incidente de seguridad fsica: Cualquier evento o acontecimiento que causa daos o


prdidas de vidas humanas, activos e imagen institucional de la entidad supervisada;
v. Medidas de seguridad fsica: Son los procesos fsicos, humanos y tecnolgicos
adoptados por la entidad supervisada que en forma aislada o combinada, minimizan,
retardan, impiden y/o neutralizan riesgos de incidentes de seguridad fsica y sus
consecuencias;
w. Nivel de riesgo ante incidentes de seguridad fsica: Es el grado de exposicin a daos o
prdidas ocasionadas por incidentes de seguridad fsica;
x. Particionado: Es el procedimiento por el cual se divide un sistema de alarma en dos o
ms reas de forma que puedan activarse o desactivarse en forma independiente;
y. Personal de Vigilancia: Personal de la Polica Boliviana o de Empresas Privadas de
Vigilancia autorizadas por la instancia competente, que brinda seguridad a las personas
en las instalaciones y los activos de la entidad;
z. Plan de seguridad fsica: Documento aprobado por la instancia competente, que
establece los cursos de accin, medios y recursos que sern implementados para
proporcionar seguridad fsica en las instalaciones de la entidad supervisada, as como a
las operaciones y servicios que realice;
aa. Polica de seguridad: Personal de la Polica Boliviana provisto de armas de fuego, que
presta servicios de proteccin y/o custodia de la integridad fsica de las personas y/o
activos asignados;
bb. Punto de Atencin Financiero (PAF): Espacio fsico habilitado por una entidad
supervisada, que cuenta con las condiciones necesarias para realizar operaciones de
intermediacin financiera o servicios financieros complementarios, segn corresponda,
en el marco de la Ley N 393 de Servicios Financieros (LSF), de acuerdo a lo establecido
en la Recopilacin de Normas para Servicios Financieros (RNSF);
cc. Sensor infrarrojo: Dispositivo electrnico que emite un rayo infrarrojo continuo, cuya
interferencia por elementos extraos, activa el sistema de alarma;
dd. Sensor de ruptura de cristal: Dispositivo electrnico que detecta las frecuencias del
sonido que producen los vidrios al astillarse, a travs de un micrfono instalado en su
interior;

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/353/15 (11/15) Modificacin 3
Circular ASFI/381/16 (03/16) Modificacin 4

Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

ee. Sensor ssmico: Dispositivo electrnico que detecta golpes o vibraciones, instalados en
el suelo o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda;
ff. Sirenas de Alarma: Dispositivo que emite sonidos y luces de alarma u otros elementos
disuasivos que alerten a los transentes o personal de vigilancia de un incidente de
seguridad fsica;
gg. Skimming: Robo de informacin de tarjetas de dbito o crdito al momento de efectuar
una transaccin, con la finalidad de reproducir o clonar la tarjeta de crdito o dbito para
su posterior uso fraudulento;
hh. Vigilancia motorizada: Patrullaje disuasivo realizado por unidades motorizadas a las
instalaciones de la entidad supervisada;
ii. Transporte de material monetario y/o ttulos valores: Traslado fsico de material
monetario y/o valores, de un PAF a otro;
jj. Unidad de Seguridad Fsica: Unidad organizacional dependiente de la instancia
ejecutiva que corresponda, responsable de operativizar e informar sobre la gestin de
seguridad fsica en la entidad supervisada. Su tamao y estructura interna debe estar en
relacin con el nivel de riesgo, incidentes de seguridad fsica y volumen de operaciones
de los PAF.

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/353/15 (11/15) Modificacin 3
Circular ASFI/381/16 (03/16) Modificacin 4

Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 2:

GESTIN DE SEGURIDAD FSICA

Artculo 1 - (Gestin de Seguridad Fsica) La entidad supervisada, debe constituir un


sistema para la Gestin de Seguridad Fsica, que permita identificar, monitorear, controlar y
mitigar en forma preventiva o correctiva, impidiendo y/o neutralizando los riesgos a incidentes de
seguridad fsica y sus consecuencias.
Artculo 2 - (Nivel de riesgo) La entidad supervisada, debe realizar un diagnstico de
seguridad fsica que identifique el nivel de riesgo ante incidentes de seguridad fsica al que se
encuentran expuestas sus instalaciones, considerando mnimamente las zonas geogrficas de
riesgo identificadas por la autoridad competente en temas de seguridad ciudadana y el valor
monetario de los activos que se encuentran bajo su resguardo.
Para la aplicacin de las medidas especficas de seguridad fsica establecidas en la Seccin 4 del
presente Reglamento, la entidad supervisada, debe clasificar el nivel de riesgo de sus PAF en las
categoras de riesgo alto, medio o bajo, considerando mnimamente los aspectos mencionados en
el prrafo anterior.
ASFI podr instruir, a la entidad supervisada, modificar el nivel de riesgo determinado para sus
PAF en funcin a la ocurrencia de incidentes de seguridad fsica reportados en cumplimiento al
Artculo 490 de la Ley N 393 de Servicios Financieros o como producto de la supervisin
realizada por las Direcciones correspondientes.
Artculo 3 - (Polticas) La entidad supervisada debe contar con polticas de seguridad fsica
aprobadas por el Directorio u rgano equivalente, orientadas a priorizar el fortalecimiento de la
seguridad fsica en sus instalaciones, operaciones y/o servicios, las mismas que deben incluir
referencias de la(s) Norma(s) Internacional(es) de seguridad fsica adoptada(s) por la entidad.
Dichas polticas deben considerar los siguientes principios, segn se enuncian en orden de
prioridad:
a. Proteccin a la vida de las personas que se encuentren dentro de las instalaciones de las
Entidades Supervisadas y de su personal cuando estos realicen operaciones y/o servicios
fuera de las mismas;
b. Proteccin de los activos propios y en custodia, incluida la documentacin e informacin
en medios impresos o electrnicos;
c. Proteccin de la imagen institucional.
La entidad supervisada debe implementar polticas de capacitacin en seguridad fsica para todo
su personal, sin exclusiones.
Artculo 4 - (Manuales de funciones y procedimientos) La entidad supervisada debe contar
con manuales de funciones y de procedimientos de seguridad fsica, que establezcan
mnimamente el personal responsable y la periodicidad para su realizacin. Los manuales de
funciones y procedimientos mnimos que debe considerar la entidad supervisada son:

Circular ASFI/146/12 (10/12)


Circular ASFI/178/13 (05/13)
Circular ASFI/251/14 (07/14)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2
Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

a. Manuales de funciones para:


1.

Personal de vigilancia y vigilancia motorizada, que incluya la prohibicin de que el


mencionado personal realice actividades no relativas a la seguridad fsica;

2.

Miembros del Comit de Seguridad Fsica y Personal de la Unidad de Seguridad


Fsica, que establezca la interaccin con reas relacionadas;

3.

Personal de la entidad supervisada y personal de vigilancia, que interacta en la


recepcin, envo y transporte del material monetario y/o valores.

b. Manuales de procedimientos para:


1.

Asistencia a personas afectadas por incidentes de seguridad fsica ocurridos en


instalaciones de la entidad supervisada que debe ser inmediata, adecuada y en base a
capacitacin previa;

2.

Resguardo de la privacidad en las transacciones financieras realizadas por clientes y


usuarios en ventanillas de atencin al pblico;

3.

Administracin de llaves de ingreso a las instalaciones de la entidad supervisada,


acceso a las reas de exclusin, claves de sistemas de alarma y claves de equipos de
atesoramiento segn corresponda. Las claves sealadas deben ser modificadas al
menos cada seis (6) meses o cuando se realice el cambio del personal encargado;
Pruebas de funcionamiento de los sistemas de seguridad, que incluya el inventario de
equipos e instalaciones sujetos a revisin;

4.

Mantenimiento preventivo y correctivo de los sistemas de atesoramiento,


dispositivos de proteccin, sistemas de monitoreo y alarmas, al menos una vez al
ao;

5.

Transporte de material monetario y/o valores por parte del personal de la entidad
supervisada y personal de vigilancia, cuando corresponda;

6.

Abastecimiento de material monetario en los cajeros automticos u otros Puntos de


Atencin Financiero, cuando corresponda;

7.

Ubicacin, construccin, instalacin y manejo de bveda(s) y caja(s) fuerte(s)


bveda;

8.

Instalacin de medidas de seguridad fsica en los ambientes destinados a cajeros


automticos;

9.

Funcionamiento de centrales de monitoreo que incluya tiempo de almacenamiento,


modalidad y resguardo de las grabaciones de monitoreo, para atencin de denuncias
y reclamos de los usuarios o clientes;

10. Activacin y atencin de sistemas de alarma.


Artculo 5 - (Estructura organizacional) La entidad supervisada, debe establecer una
estructura organizacional adecuada al nivel de riesgo y nmero de PAF en funcionamiento, que
delimite las funciones y responsabilidades relativas a la gestin de seguridad fsica.

Circular ASFI/146/12 (10/12)


Circular ASFI/178/13 (05/13)
Circular ASFI/251/14 (07/14)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2
Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 6 - (Unidad de Seguridad Fsica) La entidad supervisada que cuente con un


patrimonio contable igual o mayor a UFV30.000.000,00 (Treinta Millones de Unidades de
Fomento a la Vivienda) o su equivalente, debe contar con una Unidad de Seguridad Fsica, que
ser responsable de operativizar y monitorear la gestin de seguridad fsica, emitir reportes e
informes para las instancias de decisin, proponer medidas preventivas o correctivas que se
requieran para fortalecer la seguridad fsica en las instalaciones de la entidad supervisada, entre
otras tareas operativas.
Cuando corresponda, las tareas de la Unidad de Seguridad Fsica sern asignadas por el Comit
de Seguridad Fsica a otra unidad organizacional de la entidad supervisada.
Cuando la Entidad Supervisada sea una ETM, debe contar con un Jefe de Operaciones,
independientemente del patrimonio contable, conforme a lo establecido en el Reglamento
Operativo para Empresas Privadas de Vigilancia aprobado mediante Resolucin Ministerial N
21 de 4 de febrero de 2013 y modificado mediante la Resolucin Ministerial N 168 de 16 de
agosto de 2013, ambas emitidas por el Ministerio de Gobierno.
Artculo 7 - (Comit de Seguridad Fsica) La entidad supervisada debe conformar un
Comit de Seguridad Fsica, que ser responsable de analizar y evaluar las situaciones de riesgo
de vulneracin a los sistemas de seguridad fsica, as como las medidas preventivas y correctivas
que debe poner en consideracin del Directorio u rgano equivalente para su aprobacin.
El Comit estar conformado mnimamente por un Director, el Gerente General y un Gerente del
rea relacionada o instancia equivalente (con derecho a voz y voto) y el responsable de la Unidad
de Seguridad Fsica u rgano equivalente con derecho a voz, cuando corresponda.
El Comit debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones.
Artculo 8 - (Responsabilidades y funciones del Directorio) El Directorio u rgano
equivalente es responsable de la gestin de seguridad fsica en la entidad supervisada, debiendo
cumplir, entre otras, las siguientes funciones:
a. Aprobar, revisar, actualizar y realizar el seguimiento a las estrategias, polticas,
procedimientos y planes de seguridad fsica, mnimamente una vez al ao y cuando
corresponda;
b. Aprobar los manuales de funciones y procedimientos relativos a la gestin de seguridad
fsica, as como asegurar que se encuentren debidamente actualizados;
c. Designar a los miembros del Comit de seguridad fsica;
d. Disponer la conformacin de una Unidad de Seguridad Fsica y designar al responsable
de la misma, cuando corresponda.
Artculo 9 (Responsabilidades y funciones de la Gerencia General) La Gerencia
General es responsable de la implementacin y cumplimiento de las polticas, estrategias, planes,
manuales y procedimientos, aprobados por el Directorio u rgano equivalente para la gestin de
seguridad fsica, as como de implementar las acciones correctivas o preventivas que se requieran.

Circular ASFI/146/12 (10/12)


Circular ASFI/178/13 (05/13)
Circular ASFI/251/14 (07/14)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2
Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Tambin es responsable del cumplimiento estricto de las disposiciones contenidas en el presente


Reglamento.
Artculo 10 - (Brigada de auxilio) La entidad supervisada, debe capacitar un grupo de
funcionarios por cada PAF identificado con riesgo alto, para ejecutar procedimientos de
asistencia orientados a proteger la vida de las personas afectadas por incidentes de seguridad
fsica. Dichos funcionarios deben interactuar con el personal de vigilancia segn procedimiento
predefinido.
Artculo 11 - (Gestin de seguridad fsica para las Casas de Cambio Unipersonales) Las
casas de cambio unipersonales deben contar mnimamente con procedimientos destinados a
afrontar incidentes de seguridad fsica, considerando al menos los sealados en los numerales 1 al
6, y 8 del inciso b, Artculo 4, Seccin 2 del presente Reglamento (en lo que corresponda).
Los procedimientos establecidos por las casas de cambio unipersonales deben considerar en orden
de prioridad, los principios descritos en el Artculo 3 de la presente Seccin. Las disposiciones
restantes contenidas en la misma, no son de aplicacin obligatoria para las casas de cambio
unipersonales, sin embargo no se restringe su aplicacin voluntaria.
Artculo 12 - (Transporte de material monetario y valores por cuenta propia) Las
Entidades de Intermediacin Financiera que ante la ausencia de una ETM con Licencia de
Funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero, realicen el
transporte de material monetario y valores, por cuenta propia, en el marco de lo establecido en el
segundo prrafo del Artculo 4, Seccin 1 del Reglamento para Empresas de Transporte de
Material Monetario y Valores, deben realizar una evaluacin de riesgos inherentes a dicho
transporte, cuyos resultados deben estar plasmados en un informe, el cual debe estar a disposicin
de ASFI.
Artculo 13 - (Gestin de seguridad fsica para las Empresas Administradoras de
Tarjetas Electrnicas) Las Empresas Administradoras de Tarjetas Electrnicas deben contar
mnimamente con procedimientos destinados a afrontar incidentes de seguridad fsica,
considerando al menos los sealados en los numerales 1 y 2 del inciso a y numerales 1, 3, 4, 5, 9
y 10 del inciso b, Artculo 4, Seccin 2 del presente Reglamento.

Circular ASFI/146/12 (10/12)


Circular ASFI/178/13 (05/13)
Circular ASFI/251/14 (07/14)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2
Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 3:

MEDIDAS GENERALES DE SEGURIDAD FSICA

Artculo 1 - (Clasificacin de reas de exclusin) Con base en un anlisis de riesgo ante


incidentes de seguridad fsica, la entidad supervisada debe identificar las reas de exclusin que
requieran medidas de mxima seguridad. El citado anlisis, debe estar plasmado en un informe, el
cual estar a disposicin de ASFI.
Artculo 2 - (Equipos de atesoramiento) La entidad supervisada, en funcin al nivel de
riesgo al que se encuentran expuestos sus PAF, debe contar con equipos de atesoramiento que
cumplan con estndares de calidad establecidos en la Norma Internacional, definida en sus
polticas, respecto a la resistencia contra ataques por medios mecnicos, elctricos, explosivos u
otros.
A continuacin se detalla la lista referencial de equipos de atesoramiento que pueden ser
utilizados por la entidad supervisada:
a. Bveda principal: Construida de hormign reforzado, provista de puerta de bveda con
cerraduras de retardo y control horario;
b. Bveda auxiliar: Construida de hormign armado reforzado, provista de puerta de
bveda con cerraduras de retardo y control horario, con ubicacin diferente a la bveda
principal, sin embargo ambas se encuentran instaladas en el mismo PAF;
c. Caja fuerte bveda: Equipo con estructura blindada, anclada al piso y provista de
cerradura de retardo;
d. Caja fuerte auxiliar: Equipo con estructura blindada, anclada al piso, y provista de
cerradura de retardo, con ubicacin diferente a la caja fuerte bveda, sin embargo ambas
se encuentran instaladas en el mismo PAF;
e. Caja tipo buzn: Equipo, con estructura blindada, con cerradura de retardo y anclada al
piso, ubicada en el rea de ventanillas de atencin al pblico.
Artculo 3 - (Ventanillas de atencin al pblico) El rea de ventanillas de atencin al
pblico debe contar con dispositivos de control que permitan el acceso solo a personas
autorizadas.
En los PAF identificados con nivel de riesgo alto, ubicados en ciudades capitales de departamento
y adicionalmente en las ciudades que tengan una poblacin mayor a 100.000 habitantes y
localidades fronterizas, las ventanillas de atencin al pblico deben contar con vidrios con
resistencia balstica u otro material de igual consistencia que cumpla estndares de calidad
internacional, definidos en las polticas de seguridad fsica de cada entidad supervisada.
Artculo 4 - (Condiciones para el personal de vigilancia) La entidad supervisada es la
responsable de que el personal de vigilancia contratado, cuente mnimamente con el siguiente
equipamiento para la prestacin de sus servicios:

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/188/13 (07/13) Modificacin 2
Circular ASFI/251/14 (07/14) Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 1/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

a. Polica de seguridad: arma de fuego, chaleco antibalas con una resistencia balstica
mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante,
as como otros implementos adecuados a las funciones asignadas segn se establece en
el Anexo 1.
b. Guardia privado: mnimamente arma(s) de defensa, chaleco antibalas con una
resistencia mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el
fabricante, as como otros implementos adecuados a las funciones segn se establece en
el Anexo 1.
Artculo 5 - (Dotacin de personal de vigilancia) En los PAF ubicados en localidades que no
cuenten con suficiente disponibilidad de personal de vigilancia en los Batallones de Seguridad
Fsica, Comandos Departamentales de la Polica Boliviana o Empresas Privadas de Vigilancia,
autorizadas por la instancia competente, la entidad supervisada debe contar como mnimo con un
(1) polica de seguridad o un (1) guardia privado. Adicionalmente, en caso de que no exista
personal de vigilancia en la localidad, la entidad debe adoptar medidas de seguridad que suplan la
carencia del personal de vigilancia, segn lo establecido en sus polticas de seguridad fsica.
Los recintos para cajeros automticos que cuenten con ms de dos (2) equipos sean estos de una o
de diferentes entidades supervisadas, deben contar al menos con un (1) guardia privado. Las
entidades supervisadas podrn suscribir, entre s, convenios para que el personal de vigilancia
brinde proteccin a todos los cajeros automticos ubicados en el recinto. El personal de vigilancia
que preste el servicio en los recintos de cajeros automticos debe realizarlo las veinticuatro (24)
horas del da, siete (7) das a la semana de forma ininterrumpida.
De acuerdo a la ubicacin fsica del cajero automtico, la entidad supervisada debe habilitar
casetas para la permanencia del personal de vigilancia instaladas a una distancia no menor de dos
(2) metros ni mayor a diez (10) metros de ste. Las casetas podrn ser fijas o plegables segn se
establece en el Anexo 2.
La entidad supervisada debe asegurarse que el personal de vigilancia cuente con la capacitacin y
los conocimientos bsicos, segn se establece en el Anexo 3.
Artculo 6 - (Dotacin adicional de personal de vigilancia) Respecto a los PAF donde se
verifique la necesidad de brindar mayor seguridad para la atencin a los clientes y usuarios, ASFI
se reserva el derecho de exigir personal de vigilancia adicional al establecido por la entidad
supervisada.
Artculo 7 (Horarios) El personal de vigilancia debe permanecer en ejercicio de sus
funciones en el PAF, durante el tiempo que disponga el manual de funciones del personal de
vigilancia definido por la entidad supervisada, el mismo que al menos debe abarcar el tiempo de
atencin al pblico o de permanencia de funcionarios en las instalaciones del PAF.
Artculo 8 (Sistema de alarma) La entidad supervisada debe contar con un sistema de
alarma debidamente particionado, zonificado, interconectado a una central de monitoreo de
alarma y habilitados para detectar incidentes de seguridad fsica en reas de atencin al pblico y

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/188/13 (07/13) Modificacin 2
Circular ASFI/251/14 (07/14) Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 2/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

reas de exclusin que hubieran sido identificadas, de acuerdo a lo sealado en el Artculo 1 de


la presente Seccin.
Artculo 9 (Dispositivos para la seguridad fsica) En funcin al nivel de riesgo y la
clasificacin de las reas de exclusin, la entidad supervisada debe implementar dispositivos para
la seguridad fsica entre los cuales podr considerar, en relacin a su funcionalidad, los
siguientes:
a. Sistemas para control de accesos biomtricos;
b. Sensores infrarrojos;
c. Contactos magnticos;
d. Sensores de ruptura de cristal;
e. Detectores inerciales;
f.

Sensores ssmicos;

g. Detectores de humo;
h. Botones de pnico;
i.

Sirenas de alarmas;

j.

Grupo electrgeno;

k. Extintores de incendio (porttiles).


Artculo 10 - (Central de monitoreo) La entidad supervisada, debe controlar desde una
Central de Monitoreo propia o tercerizada, en forma permanente e ininterrumpida los sistemas de
alarma instalados en los PAF, debiendo reportar a las autoridades competentes la ocurrencia de
incidentes de seguridad fsica de forma oportuna, as como resguardar la informacin de
monitoreo de los sistemas de CCTV en medios de grabacin adecuados para su almacenamiento.
La entidad supervisada es responsable de velar por la adecuada prestacin del servicio tercerizado
y el resguardo de la informacin que se genere, dando cumplimiento a los requisitos establecidos
por el Reglamento Operativo para Empresas Privadas de Vigilancia.
Adicionalmente, la entidad supervisada que cuente con ms del 50% de sus PAF identificados
con nivel de riesgo alto, debe contar con una Central de Monitoreo de respaldo funcionando en
una ubicacin geogrfica diferente.
La Central de Monitoreo debe funcionar de forma ininterrumpida durante veinticuatro (24) horas
al da, siete (7) das a la semana.
Artculo 11 - (Sistema de circuito cerrado de televisin) La entidad supervisada, debe
contar con sistemas de CCTV propios o tercerizados, acorde a la distribucin y cantidad de
Circular ASFI/146/12 (10/12) Inicial
Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/188/13 (07/13) Modificacin 2
Circular ASFI/251/14 (07/14) Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 3/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

cmaras instaladas en sus PAF. Las grabaciones de las cmaras de seguridad, deben permitir la
identificacin de personas, actividades u otros, ocurridos en incidentes de seguridad fsica.
La entidad supervisada debe priorizar la ubicacin de cmaras de seguridad en las reas de
ventanillas de atencin al pblico, cajeros automticos y accesos al PAF, bvedas, camino de
ronda y reas de exclusin, segn corresponda.
La entidad supervisada debe mantener el registro efectuado por el sistema de vigilancia y
monitoreo, por un perodo no menor a ciento ochenta (180) das.
Artculo 12 (Vigilancia motorizada) La entidad supervisada debe contar con unidades
motorizadas a cargo de personal que realice la vigilancia de los PAF in situ, de acuerdo a planes
definidos para el efecto, los cuales deben incluir al menos la ruta de recorrido y rol de turnos,
dando prioridad a los PAF con niveles de riesgo alto ubicados en ciudades capitales de
departamento y adicionalmente en las ciudades con una poblacin mayor a 100.000 habitantes.
Artculo 13 - (Medidas generales de seguridad fsica para las Casas de Cambio
Unipersonales) Las disposiciones contenidas en la presente Seccin, no son de aplicacin
obligatoria para las Casas de Cambio unipersonales, excepto por el Artculo 3 y el inciso k) del
Artculo 9 de la presente Seccin, sin embargo, no se restringe la aplicacin voluntaria de las
mencionadas disposiciones.

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/188/13 (07/13) Modificacin 2
Circular ASFI/251/14 (07/14) Modificacin 3

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 4/4

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 4:

MEDIDAS ESPECFICAS DE SEGURIDAD FSICA

Artculo 1 - (Medidas especficas) La entidad supervisada, adicionalmente a lo establecido


en la Seccin 3 del presente Reglamento, debe implementar las medidas de seguridad especficas
contenidas en la presente Seccin.
Las oficinas externas y feriales, se regirn por lo establecido en el Artculo 5 de la presente
Seccin.
Artculo 2 - (Oficinas centrales o sucursales) La entidad supervisada en funcin al nivel de
riesgo al que se encuentran expuestas su oficina central y sucursales, debe implementar
mnimamente las siguientes medidas especficas de seguridad fsica:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Bveda Principal
Bveda Auxiliar
Caja Fuerte Bveda
Caja Fuerte Auxiliar
Puertas de Acceso reas de Exclusin
1 Caja fuerte tipo buzn anclada por ventanilla
1 Caja fuerte tipo buzn anclada por rea de ventanillas
Personal de Vigilancia
Un (1) Polica de Seguridad o un (1) Guardia Privado
Dos (2) Policas de Seguridad
= Indispensable

Riesgo
Bajo

Niveles de Seguridad
Riesgo
Medio

Riesgo
Alto

-= No indispensable

Adicionalmente, la entidad supervisada debe contar al menos con un (1) polica de seguridad o un
(1) guardia privado por cada puerta de acceso a la oficina central o sucursal, en correlacin a lo
dispuesto en el Artculo 5 de la Seccin 3 del presente Reglamento.
Las oficinas centrales o sucursales que no manipulen material monetario y/o valores en sus
instalaciones, no estn obligadas a contar con equipos de atesoramiento.
Artculo 3 - (Agencias fijas) La entidad supervisada en funcin al nivel de riesgo al que se
encuentran expuestas sus agencias fijas debe implementar mnimamente las siguientes medidas
especficas de seguridad fsica:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Caja Fuerte Bveda
Caja Fuerte Auxiliar
Puerta de Acceso reas de Exclusin
1 Caja fuerte tipo buzn anclada por ventanilla
1 Caja fuerte tipo buzn anclada por rea de ventanillas
Personal de Vigilancia
Un (1) Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable

Riesgo
Bajo

Niveles de Seguridad
Riesgo
Medio

Riesgo
Alto

-= No indispensable

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 1/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Artculo 4 - (Agencia mvil) La entidad supervisada debe implementar en sus agencias


mviles, las medidas de seguridad fsica sealadas en el Reglamento Operativo para las Empresas
Privadas de Vigilancia, en lo referido a Banca Mvil.
Artculo 5 - (Oficina externa y oficina ferial) En funcin al tipo de operaciones que realizan
y el nivel de riesgo al que se encuentran expuestas las oficinas externas y feriales, la entidad
supervisada determinar la implementacin de sistemas de alarma, monitoreo y condiciones para
la instalacin de ventanillas, segn corresponda, a lo sealado en la Seccin 3 del presente
Reglamento.
Adicionalmente, de acuerdo al volumen del material monetario que circule en los PAF, la entidad
supervisada debe contar con equipos de atesoramiento para el adecuado resguardo de los activos,
as como con personal de vigilancia, para la proteccin de la integridad fsica de las personas que
se encuentran en sus instalaciones.
Artculo 6 - (Ventanilla de cobranza) La entidad supervisada en funcin al nivel de riesgo al
que se encuentran expuestas sus ventanillas de cobranza, debe contar al menos con el siguiente
personal de vigilancia:
a. Un (1) polica de seguridad, cuando la ventanilla de cobranza sea identificada con un
nivel de riesgo alto en correlacin al Artculo 5 de la Seccin 3 del presente Reglamento;
b. Un (1) polica de seguridad o un (1) guardia privado cuando la ventanilla de cobranza sea
identificada con un nivel de riesgo medio o bajo.
Cuando la ventanilla de cobranza se encuentre instalada en instituciones pblicas o privadas que
cuenten con personal de vigilancia, la entidad supervisada podr suscribir convenios para
compartir el servicio de vigilancia, siendo responsabilidad de la entidad supervisada velar por el
cumplimiento de las tareas establecidas en el manual de funciones del personal de vigilancia
aprobado por las instancias correspondientes.
Artculo 7 - (Corresponsales financieros y no financieros) La entidad financiera contratante
de la Corresponsala, es responsable de velar por el cumplimiento de las medidas de seguridad
fsica generales y especificas contenidas en el presente Reglamento, segn corresponda al tipo de
corresponsal y en funcin al nivel de riesgo y tipo de operaciones realizadas en los puntos de
atencin contratados.
Artculo 8 - (Cajero automtico) Para la instalacin y funcionamiento de cajeros
automticos, independientemente si estos son internos o externos, la entidad de intermediacin
financiera debe cumplir con los siguientes requerimientos mnimos:
a. Medidas de seguridad fsica del cajero automtico externo: Los cajeros automticos
externos deben contar con una de las siguientes medidas de seguridad:
1. Ser instalado en recinto;
2. Contar con personal de vigilancia si no cuenta con recinto.

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 2/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

a.1 Cajero automtico con recinto: Los recintos en los que se encuentran
instalados los cajeros automticos, debe contar con:
i. Vidrios templados y/o laminados que permitan observar el interior del
recinto, desde el exterior y viceversa, para detectar eventuales amenazas,
sea contra la mquina o contra el usuario;
ii. El vidrio a utilizarse en las puertas de ingreso, as como aquel que forme
parte de la estructura del recinto de los cajeros automticos, debe ser
templado y/o laminado;
iii. La puerta de acceso debe contar con un dispositivo de cierre interno, de
tipo mecnico, que impida el acceso de terceros al interior del recinto
cuando el usuario se encuentre operando el cajero automtico. De la
misma forma, los cajeros automticos con recinto ubicados en zonas con
niveles de alto riesgo debern contar con mecanismos automticos de
autenticacin que restrinjan el acceso de personas no autorizadas a dichos
ambientes o formas alternativas que impidan el acceso de personas no
autorizadas al recinto, para precautelar la seguridad de los consumidores
financieros. Estas formas alternativas deben estar fundamentadas con un
Informe del Gerente General, el cual debe estar a disposicin de ASFI
cuando as lo requiera.
a.2 Cajero automtico sin recinto: La entidad supervisada debe contratar personal
de vigilancia, ya sea un polica de seguridad o guardia privado y habilitar
casetas segn lo establecido en el Artculo 4, Seccin 3, del presente
Reglamento.
b. Circuito cerrado de televisin: La entidad supervisada debe instalar una cmara en el
interior del cajero automtico que permita captar las imgenes de los tarjetahabientes al
momento de realizar la operacin, no debiendo dirigir la cmara hacia el teclado de los
cajeros. Una vez que ingrese un cliente y durante el tiempo de permanencia en dicho
ambiente, la entidad deber contar con grabaciones continuas de las acciones realizadas
por la persona y debe mantener el registro efectuado cumpliendo las disposiciones
establecidas en el Artculo 11 de la Seccin 3 del presente Reglamento. De la misma
manera, la entidad supervisada debe instalar una cmara exterior, para la vigilancia del
permetro externo de cajeros automticos con recinto identificados con riesgo alto;
c. Dispositivos de seguridad: Los cajeros automticos internos o externos deben contar con
dispositivos que permitan privacidad en el registro de operaciones de los clientes o
usuarios de tarjetas de dbito o crdito. Los dispositivos mnimos de seguridad son los
siguientes:
1. Pantalla. Debe estar instalada en ngulos apropiados o contar con medidas
antirreflectantes, que eviten que la accin del reflejo del sol afecte la privacidad
de operacin por parte del usuario;
2. Iluminacin. El espacio donde se encuentra ubicado el cajero automtico, debe
estar adecuadamente iluminado;

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 3/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

3. Protector de teclado. Todos los cajeros automticos deben contar con


protectores de teclado para evitar que durante el marcado de la clave, esta pueda
ser vista por terceras personas;
4. Equipo anti skimming. El cajero automtico debe contar con equipos anti
skimming en la ranura de ingreso de la tarjeta para garantizar las operaciones de
los tarjetahabientes;
5. Accesorios. Los cajeros automticos deben contar con accesorios adicionales de
aseo y decoracin y deben prevenir, desde su diseo e instalacin, la comisin de
actos de vandalismo a travs de elementos de cierre y fijacin, que eviten su
retiro o la instalacin de artefactos explosivos.
d. Elementos disuasivos y telfonos de informacin: Los cajeros automticos deben
contar con carteles y seales que anuncien que el cajero automtico cuenta con medidas
de seguridad, as como con los nmeros telefnicos de emergencia para comunicarse con
la Entidad Supervisada a la que pertenecen y con la empresa de liquidacin y
compensacin de tarjetas de pago; estos nmeros deben ser de fcil identificacin tanto
en el ambiente del recinto como en la pantalla del cajero automtico;
e. Cerradura de la caja fuerte: La puerta de la caja fuerte del cajero automtico, debe
poseer un mecanismo adicional a la cerradura que permita el bloqueo automtico de sta
ante un incidente de seguridad fsica;
f.

Anclaje: El cajero automtico debe encontrarse slidamente anclado al piso;

g. Proteccin del cableado: Todo el cableado para el funcionamiento del cajero automtico
y el sistema de alarmas deben estar debidamente protegidos para evitar posibles
accidentes o actos de sabotaje, debiendo inclusive proteger los compartimientos del
sistema de comunicacin.
Artculo 9 - (Casas de cambio) Las Casas de Cambio con Personalidad Jurdica, deben
identificar el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas su
oficina central y agencias de cambio de acuerdo a lo establecido en el Artculo 2, Seccin 2 del
presente Reglamento e implementar mnimamente las medidas especficas de seguridad fsica,
sealadas a continuacin:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable

Niveles de Seguridad
Riesgo
Medio

Riesgo
Alto

-
-

Riesgo
Bajo

-= No indispensable

Artculo 10 - (Empresas de giro y remesas de dinero) Las Empresas de Giro y Remesas de


Dinero, deben identificar el nivel de riesgo ante incidentes de seguridad fsica al que se
encuentran expuestos sus puntos de atencin financiero de acuerdo a lo establecido en el Artculo

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 4/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

2, Seccin 2, del presente Reglamento e implementar mnimamente las medidas especficas de


seguridad fsica, sealadas a continuacin:
Requisitos de Seguridad Fsica

Niveles de Seguridad
Riesgo
Medio

Riesgo
Alto

-
-

Riesgo
Bajo
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable

-= No indispensable

Artculo 11 - (Empresas de transporte de material monetario y valores) La Empresa de


Transporte de Material Monetario y Valores (ETM) que brinda servicio al Sistema Financiero o la
Entidad de Intermediacin Financiera con servicio propio de transporte de material monetario y
valores (ESPT), debe cumplir con las medidas de seguridad sealadas en el Reglamento
Operativo para Empresas Privadas de Vigilancia, para la prestacin de sus servicios.
Adicionalmente, la ETM que realiza la custodia de material monetario y valores en sus oficinas,
determinar la implementacin de equipos de atesoramiento, ambientes especficos para el
procesamiento de efectivo (cuando corresponda), sistemas de alarmas, monitoreo y dotacin de
personal de vigilancia, en funcin a lo establecido en la Poltica de Seguridad Fsica aprobada por
el Directorio u rgano equivalente considerando el nivel de riesgo.
Finalmente, la entidad supervisada para realizar el transporte de material monetario y/o valores
entre localidades que no sean ciudades capitales de departamento, debe implementar las medidas
de seguridad fsica que considere necesarias en funcin a los riesgos asociados al traslado de
material monetario y/o valores a dichas reas, tomando en cuenta al menos los siguientes
aspectos:
a. Preservacin de la seguridad de la vida de las personas;
b. Accesibilidad a la localidad;
c. Zonas geogrficas de riesgo identificadas por la autoridad competente en temas de
seguridad ciudadana;
d. Montos o valor de material monetario y/o valores a ser trasladado.
Artculo 12 - (Local compartido) La entidad supervisada, en funcin al tipo de servicios que
realice y el nivel de riesgo al que se encuentra expuesto el local compartido, determinar la
implementacin de medidas de seguridad, en el marco de lo dispuesto en la Seccin 3 del
presente Reglamento, de conformidad al acuerdo establecido con la entidad financiera que le
comparte el espacio fsico.
Artculo 13 - (Empresas Administradoras de Tarjetas Electrnicas) Las Empresas
Administradoras de Tarjetas Electrnicas, deben identificar el nivel de riesgo ante incidentes de
seguridad fsica al que se encuentran expuestos sus puntos de atencin financiero de acuerdo a lo
establecido en el Artculo 2 de la Seccin 2 del presente Reglamento e implementar
mnimamente las medidas especficas de seguridad fsica, sealadas a continuacin:
Circular ASFI/146/12 (10/12) Inicial
Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 5/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Requisitos de Seguridad Fsica

Niveles de Seguridad
Riesgo
Medio

Riesgo
Alto

-
-

Riesgo
Bajo
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable

-= No indispensable

Circular ASFI/146/12 (10/12) Inicial


Circular ASFI/178/13 (05/13) Modificacin 1
Circular ASFI/251/14 (07/14) Modificacin 2
Circular ASFI/290/15 (03/15) Modificacin 3
Circular ASFI/353/15 (11/15) Modificacin 4
Circular ASFI/381/16 (03/16) Modificacin 5

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 6/6

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 5:

OTRAS DISPOSICIONES

Artculo 1 - (Registro de hechos delictivos) En el marco de lo establecido en el Artculo 490,


Captulo II, Titulo VIII de la Ley N 393 de Servicios Financieros, la entidad debe llevar un
registro de los incidentes de seguridad fsica que se presenten en sus instalaciones o durante el
desarrollo de sus operaciones, contemplando aspectos cualitativos y cuantitativos, con el fin de
establecer las medidas correctivas o preventivas que correspondan.
Artculo 2 - (Empresas de arrendamiento financiero) En funcin a la poltica de seguridad
fsica aprobada por el Directorio u rgano equivalente, la empresa de arrendamiento financiero es
responsable de velar porque las transacciones de efectivo realizadas con sus clientes, a travs de
PAF de entidades de intermediacin financiera, cuenten con las medidas de seguridad fsica
necesarias segn lo establecido en el presente Reglamento.
Artculo 3 - (Empresas de servicio de pago mvil) En funcin a la Poltica de Seguridad
Fsica aprobada por el Directorio u rgano equivalente, la Empresa de Servicio de Pago Mvil
(ESPM), es responsable de la implementacin de medidas de seguridad fsica adecuadas para la
prestacin de sus servicios en las instalaciones de los corresponsales contratados, segn lo
establecido en el Artculo 7 de la Seccin 4 del presente Reglamento.
Artculo 4 - (Reportes de informacin) La entidad supervisada debe contar con mecanismos
que permitan el flujo de informacin adecuado para la toma de decisiones oportunas, relativas a la
gestin de seguridad fsica en sus instalaciones.
Artculo 5 - (Resguardo de la informacin de seguridad fsica) La entidad supervisada
debe disponer de la custodia en la bveda o caja fuerte, de los planes de seguridad fsica, planos o
croquis que contengan referencias sobre los sistemas de seguridad implementados, estando
prohibida la obtencin de copias o fotocopias que no hubieran sido reportadas por escrito al
Comit de seguridad fsica.
Artculo 6 - (Situaciones de fuerza mayor) Por motivos fundados, razones de fuerza mayor
o situaciones de riesgo imprevistas que impidan la continuidad en la prestacin del servicio del
personal de vigilancia, la entidad supervisada podr utilizar el personal de las Fuerzas Armadas
del Estado Plurinacional de Bolivia, previa autorizacin de las instancias competentes del
Gobierno, debiendo comunicar oportunamente estas medidas a la Autoridad de Supervisin del
Sistema Financiero.
Artculo 7 - (Sanciones) El incumplimiento o inobservancia al presente Reglamento dar
lugar al inicio del proceso administrativo sancionatorio.

Circular ASFI/146/12 (10/12)


Circular ASFI/251/14 (07/14)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2

Libro 3
Ttulo VII
Captulo III
Seccin 5
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 6:

ROL DE LA UNIDAD DE AUDITORA INTERNA

Artculo nico - (Rol de auditora interna) La Unidad de Auditoria Interna debe desempear
un rol independiente en la Gestin de Seguridad Fsica, debiendo, mnimamente cumplir con las
siguientes funciones:
a. Verificar la implementacin de lo dispuesto en las polticas, procedimientos y planes
diseados para la Gestin de Seguridad Fsica;
b. Verificar que la Unidad de Seguridad Fsica cumpla con las obligaciones y
responsabilidades encomendadas;
c. Elevar informes al Directorio u rgano equivalente, a travs de su Comit de Auditora
o Consejo de Vigilancia, segn corresponda, acerca de los resultados obtenidos y las
recomendaciones sugeridas, derivadas de las revisiones;
d. Efectuar seguimiento de las observaciones y/o recomendaciones emitidas y comunicar
los resultados obtenidos al Directorio u rgano equivalente, a travs de su Comit de
Auditora o Consejo de Vigilancia, segn corresponda.

Circular ASFI/251/14 (07/14)

Inicial

Libro 3
Ttulo VII
Captulo III
Seccin 6
Pgina 1/1

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

SECCIN 7:

DISPOSICIONES TRANSITORIAS

Artculo 1 - (Plazo de implementacin) Las entidades supervisadas deben adecuarse a lo


determinado en el presente Reglamento en un plazo no mayor a dieciocho (18) meses, a partir de
su emisin.
Artculo 2 - (Plazo de implementacin de seguridad para cajeros automticos) Las
entidades supervisadas deben cumplir con lo establecido en el Artculo 8 de la Seccin 4 del
presente Reglamento, hasta el 31 de diciembre de 2016.

Circular ASFI/146/12 (10/12)


Circular ASFI/353/15 (11/15)
Circular ASFI/381/16 (03/16)

Inicial
Modificacin 1
Modificacin 2

Libro 3
Ttulo VII
Captulo III
Seccin 7
Pgina 1/1

You might also like