Professional Documents
Culture Documents
TITULO VII
REQUISITOS MNIMOS DE SEGURIDAD
TABLA DE CONTENIDO
Captulo I:
Captulo II:
Seccin 1:
Disposiciones generales
Seccin 2:
Seccin 3:
Seccin 4:
Seccin 5:
Seccin 6:
Seccin 7:
Seccin 8:
Seccin 9:
Seccin 10:
Seccin 11:
Seccin 12:
Seccin 13:
Otras disposiciones
Seccin 14:
Disposiciones transitorias
Captulo III:
Seccin 1:
Aspectos generales
Seccin 2:
Seccin 3:
Ttulo VII * 1
Seccin 4:
Seccin 5:
Otras disposiciones
Seccin 6:
Seccin 7:
Disposiciones transitorias
Ttulo VII * 2
CAPTULO I:
b)
Para efectos de un adecuado y gil registro de las remesas enviadas por los bancos, el
dinero declarado para depsito solamente deber ser verificado por lome y revisados
los marbetes de cada uno de los paquetes, es decir sin recontar el material de billetes en
detalle;
c)
Los paquetes deben estar fuertemente amarrados contando con diez lomos de cien (100)
piezas cada uno, totalizando mil (1.000) piezas en cada paquete. Asimismo los paquetes
deben estar debidamente clasificados por cortes planchados, revisados y recontados, con
marbetes impresos donde se leer claramente el nombre del banco, nombre completo y
sello del cajero, fecha y firma de ste.
Los depsitos en monedas metlicas no podrn ser inferiores a mil (1.000) piezas, y
debern estar clasificadas y en paquetes por cortes con la identificacin antes descrita.
d)
Una vez concluida la revisin del depsito en presencia de las partes que intervienen, se
proceder al cierre de la maleta de seguridad, la misma que deber contar con dos (2)
candados o chapas, por lo menos, las llaves quedarn en poder del banco depositante.
e)
f)
Los depsitos que sean iguales o inferiores a dos mil (2.000) piezas deben ser efectuados
en las cajas que habilite Tesorera del BCB. El recuento debe realizarse inmediatamente a
la vista del depositante, y en caso de que dicho depsito no haya sido recontado, cualquier
falla registrada posteriormente ser de entera responsabilidad del cajero recibidor.
g)
h)
Inicial
Libro 3
Ttulo VII
Captulo I
Pgina 1/2
1)
Banco depositante
2)
3)
4)
5)
6)
Detalle de la anormalidad
7)
Artculo 2 - (Retiros parciales). Los bancos podrn hacer retiros parciales de sus depsitos slo
en cantidades de mil (1000) piezas, con la participacin del personal de Tesorera del BCB, para
la verificacin del dinero retirado.
Artculo 3 - (Horario de atencin de bveda del BCB). El horario de atencin de la bveda y
de las cajas recibidoras habilitadas por el BCB, ser el mismo horario de atencin al pblico del
sistema bancario comercial.
Inicial
Libro 3
Ttulo VII
Captulo I
Pgina 2/2
a.
b.
c.
d.
e.
f.
g.
Cajero automtico (CA): Punto de atencin financiera que permite a los clientes y/o
usuarios de servicios financieros, mediante la operacin de una mquina dedicada al efecto,
de forma enunciativa y no limitativa, realizar retiros y/o depsitos de efectivo, consultas de
movimientos y saldos, rescate de cuotas, transferencias entre cuentas propias y a cuentas de
terceros, carga y efectivizacin de billetera mvil y/o pagos de servicios, mediante el uso de
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 1/6
tarjetas de dbito, tarjetas de crdito, tarjetas prepagadas o un dispositivo mvil, que debe
cumplir con lo establecido en el Reglamento para el Funcionamiento de Cajeros
Automticos, contenido en la Recopilacin de Normas para Servicios Financieros (RNSF).
Los cajeros automticos son tambin conocidos por su sigla en ingls: ATM (Automated
Teller Machine);
h.
i.
j.
k.
Contrasea o clave de acceso (Password): Conjunto de caracteres que una persona debe
registrar para ser reconocida como usuario autorizado, para acceder a los recursos de un
servicio, sistema, programa, equipo computacional o red;
l.
m.
n.
o.
p.
q.
r.
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 2/6
Internet: Red de redes de alcance mundial que opera bajo estndares y protocolos
internacionales;
t.
Intranet: Red informtica de una Entidad Supervisada que permite compartir informacin
o programas;
u.
v.
w.
x.
y.
Plan de continuidad del negocio (BCP: Business Continuity Planning): Documento que
contempla la logstica que debe seguir la Entidad Supervisada a objeto de restaurar los
servicios y aplicaciones crticas parcial o totalmente suspendidas dentro de un tiempo
predeterminado, despus de una interrupcin inesperada o un desastre;
z.
aa.
bb.
cc.
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 3/6
dd.
ee.
ff.
Pruebas de intrusin (Pen test): Son pruebas controladas que permiten identificar posibles
debilidades de los recursos tecnolgicos de la Entidad Supervisada, que un intruso podra
llegar a explotar para obtener el control de sus sistemas de informacin, redes de
computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las
pruebas de intrusin pueden ser realizadas a travs de la intranet, desde Internet, accesos
remotos o cualquier otro medio.
Las pruebas de intrusin se clasifican, dependiendo del origen del ataque, en:
1.
2.
gg.
Punto de venta (POS: Point Of Sale): Equipo electrnico y/o electromecnico que permite
a los usuarios de servicios financieros realizar pagos, mediante el uso de sus tarjetas
electrnicas, en empresas aceptantes afiliadas a una red de sistemas de pago;
hh.
ii.
Responsable del tratamiento: Persona natural o jurdica que contrata los servicios de
computacin en la nube;
jj.
kk.
ll.
mm. Sitio externo de resguardo: Ambiente externo a las instalaciones de la entidad supervisada
y al CPDA, donde se almacenan todos los medios de respaldo, documentacin y otros
recursos de tecnologa de informacin catalogados como crticos y/o necesarios para soportar
los planes de continuidad y contingencias tecnolgicas;
Circular SB/436/03 (07/03) Inicial
ASFI/193/13 (09/13) Modificacin 1
ASFI/395/16 (06/16) Modificacin 2
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 4/6
nn.
oo.
Tarjetas de dbito;
2.
Tarjetas de crdito;
3.
Tarjetas prepagadas.
pp.
qq.
rr.
ss.
b.
Confiabilidad: Busca proveer informacin apropiada, precisa y veraz, para el uso de las
entidades supervisadas, tanto interna como externamente, que apoye el proceso de toma de
decisiones;
c.
d.
e.
f.
Integridad: Busca mantener con exactitud la informacin completa tal cual fue generada, sin
ser manipulada o alterada por personas o procesos no autorizados;
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 5/6
g.
No repudio: Condicin que asegura que el emisor de una informacin no puede rechazar su
transmisin o su contenido y/o que el receptor no pueda negar su recepcin o su contenido.
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 6/6
Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 1/2
Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 2/2
Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 1/4
La evaluacin de vulnerabilidades tcnicas debe efectuarse por lo menos una (1) vez por ao
y ante un cambio en la infraestructura tecnolgica. La ejecucin de pruebas de seguridad debe
considerar la realizacin de pruebas de intrusin controladas internas, externas o ambas de
acuerdo con los resultados del anlisis y evaluacin de riesgos en seguridad de la informacin,
efectuado por la Entidad Supervisada;
b.
c.
La Entidad Supervisada debe exigir a la(s) empresa(s) y/o persona(s) que le preste(n) servicios
de evaluacin de seguridad de la informacin, la respectiva documentacin que acredite la
experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que
el personal que realice las pruebas de intrusin controladas sea certificado y firme un acuerdo
de confidencialidad conforme se establece en el Artculo 4 de la presente Seccin;
d.
El anlisis de vulnerabilidades tcnicas puede ser realizado por personal externo, interno o
ambos, conforme con los resultados del anlisis y evaluacin de riesgos en seguridad de la
informacin, efectuado por la Entidad Supervisada. Al efecto, el personal interno asignado
para esta tarea debe ser ajeno al (las) rea(s) de tecnologas y sistemas de informacin.
b.
c.
Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 2/4
d.
Cableado para el uso de los equipos de cmputo por medio de sistemas de ductos a travs de
piso o techo falso, de acuerdo con la necesidad de la Entidad Supervisada;
e.
No almacenar papel u otros suministros inflamables y/o equipos en desuso dentro del CPD;
f.
Operacin y mantenimiento;
b.
Administracin de accesos;
c.
b.
c.
d.
e.
f.
Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 3/4
b.
c.
d.
Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 4/4
b.
c.
d.
e.
f.
Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Modificacin 4
Libro 3
Ttulo VII
Captulo II
Seccin 4
Pgina 1/1
Diccionario de datos;
b.
c.
Manual tcnico;
d.
Manual de usuario;
e.
Documentacin que especifique el flujo de la informacin entre los mdulos y los sistemas.
b.
Verificar peridicamente que la informacin procesada por los sistemas de informacin sea
integra, vlida, confiable y razonable;
c.
Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 1/3
Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 2/3
Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 3/3
b.
b.
c.
d.
e.
b.
c.
d.
e.
El sitio externo de respaldo donde se almacenan las copias de seguridad debe mantener al
menos diez (10) aos de informacin crtica de la Entidad Supervisada;
f.
Cualquier traslado fsico de los medios digitales de respaldo, debe realizarse con controles de
seguridad adecuados, que eviten una exposicin no autorizada de la informacin contenida en
los mismos;
g.
Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 1/2
Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 2/2
Garantizar que los planes de adquisicin de hardware y software reflejen las necesidades
identificadas en el plan Estratgico de TI;
b.
c.
Asegurar que las redes de voz y/o datos cumplan con estndares de cableado estructurado;
d.
Definir los niveles de acceso de los usuarios del sistema de informacin a las redes y servicios
de red, en funcin de las autorizaciones predefinidas;
e.
f.
Establecer controles de acceso para redes compartidas, particularmente respecto a aquellas que
se extienden a usuarios fuera de la Entidad Supervisada.
Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 1/2
b.
Revisar y verificar por lo menos una (1) vez al ao, el estado de los elementos de configuracin
para confirmar la integridad de la configuracin de datos actual e histrica;
c.
Revisar mnimamente una (1) vez al ao, la existencia de cualquier software de uso personal
o no autorizado, que no se encuentre incluido en los acuerdos de licenciamiento vigentes de la
Entidad Supervisada.
b.
c.
d.
e.
Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 2/2
Seguridad del sistema: El sistema tiene que proveer un perfil de seguridad que garantice que
las operaciones slo puedan ser realizadas por personas debidamente autorizadas para ello,
resguardando adems, la confidencialidad de la informacin transmitida o procesada por ese
medio.
Dicho sistema, debe contener los mecanismos fsicos y lgicos de seguridad para controlar y
detectar cualquier alteracin o intervencin a la informacin transmitida, entre el punto en que
sta se origina y aquel en el que es recibida por el destinatario.
Los procedimientos en este mbito, deben asegurar que tanto el originador como el
destinatario, en su caso, conozcan la autora de las transacciones o mensajes y la conformidad
de su recepcin, aplicando la(s) poltica(s) de seguridad de la informacin indicada(s) en el
Artculo 2 de la Seccin 3 del presente Reglamento, incluyendo mtodos de cifrado estndar
de datos, que permitan asegurar su confiabilidad, no repudio, autenticidad e integridad.
La Entidad Supervisada, es responsable de implementar mecanismos de control de acceso y/o
contraseas adicionales para los clientes, as como de autenticacin robusta para aquellas
transacciones que sean realizadas a travs de Internet, caso contrario no se podr atribuir
ninguna responsabilidad a un usuario del sistema en el caso de que se materialice un fraude a
travs de estos sistemas de transacciones y transferencias electrnicas.
El mecanismo de acceso y/o contrasea al (los) sistema(s) va web debe ser diferente al
mecanismo que permita realizar transacciones y/o transferencias electrnicas;
b.
c.
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 1/3
d.
Certificacin digital: Los certificados digitales que utilice la Entidad Supervisada, as como
la existencia de sitios web de sta, tienen que estar avalados en cuanto a su propiedad y
seguridad de la informacin expuesta, por una entidad certificadora autorizada, por la
Autoridad de Regulacin y Fiscalizacin de Telecomunicaciones y Transportes (ATT);
e.
Continuidad operativa: La Entidad Supervisada, debe contar con procesos alternativos que
puedan asegurar la continuidad de todos los procesos definidos como crticos relacionados con
los servicios de transferencias y transacciones electrnicas. En este sentido, las instalaciones
y configuraciones de los equipos, sistemas y las redes de telecomunicaciones deben garantizar
la continuidad de las operaciones frente a eventos fortuitos o deliberados, para lo cual se debe
considerar lo previsto en la Seccin 10, del presente Reglamento;
f.
g.
h.
i.
2.
3.
Artculo 2 - (Contrato) Los derechos y responsabilidades de cada una de las partes que
intervienen en las transacciones y/o transferencias electrnicas, deben establecerse claramente en
el contrato que stas suscriban para el efecto. De manera enunciativa, dicho contrato debe
especificar mnimamente los siguientes aspectos:
Circular ASFI/193/13 (09/13) Inicial
ASFI/395/16 (06/16) Modificacin 1
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 2/3
a.
Responsabilidad exclusiva del cliente, del uso y confidencialidad de la clave de acceso, que
utilizar en sus operaciones electrnicas, sealando explcitamente que la contrasea ser
bloqueada automticamente despus de tres intentos fallidos, as como el procedimiento para
solicitar su desbloqueo;
b.
c.
d.
e.
Los medios o mecanismos electrnicos que permitan reconocer la validez de las transferencias
y/o transacciones electrnicas que el cliente realice, as como la implementacin de controles
internos que posibiliten establecer que los importes no superen el saldo disponible;
f.
El lmite fijado para la realizacin de las transferencias y/o transacciones electrnicas, salvo
la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo cumplir para tal
efecto con las formalidades del Cdigo de Comercio y reglamentacin vigente;
g.
h.
Todas las condiciones, caractersticas y cualquier otra estipulacin determinante que conlleve
el uso de este servicio.
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 3/3
b.
c.
Prdida de servicio;
2.
3.
4.
Errores humanos;
5.
6.
7.
8.
9.
10.
Cdigo malicioso;
11.
Negacin de servicio;
12.
13.
14.
15.
16.
Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 1/2
d.
Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 2/2
Objetivo;
b.
2.
3.
c.
d.
e.
Medidas de prevencin;
f.
g.
h.
i.
j.
Artculo 2 - (Plan de continuidad del negocio) La Entidad Supervisada debe contar con un
Plan de Continuidad del Negocio (BCP) formalizado, actualizado e implementado; aprobado por
el Directorio u rgano equivalente, que mnimamente considere:
a.
b.
c.
d.
e.
f.
g.
h.
i.
Comunicacin de crisis.
Circular ASFI/193/13 (09/13) Inicial
ASFI/395/16 (06/16) Modificacin 1
Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 1/2
Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 2/2
b.
c.
d.
e.
En caso de que el procesamiento de datos se realice fuera del territorio nacional, la Entidad
Supervisada debe comunicar esta situacin a ASFI, adjuntando la siguiente documentacin:
1.
2.
3.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 1/5
4.
5.
Informe del Gerente General, dirigido al Directorio u rgano equivalente, que seale el
cumplimiento de lo dispuesto en los incisos precedentes.
b.
c.
La responsabilidad que asume(n) la(s) empresa(s) proveedora(s) en caso de ser vulnerados sus
sistemas, ya sea por ataques informticos internos y/o externos, deficiencias en la
parametrizacin, configuracin y/o rutinas de validacin inmersas en el cdigo fuente;
d.
La Entidad Supervisada debe mantener los documentos y antecedentes de los contratos suscritos
con empresas proveedoras de servicios de tecnologa(s) de informacin a disposicin de ASFI.
Artculo 5 - (Adquisicin de sistemas de informacin) La Entidad Supervisada debe evaluar
la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisicin, con
base en un anlisis que considere como mnimo lo siguiente:
a.
b.
c.
d.
Anlisis de costo-beneficio;
e.
f.
g.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 2/5
Que la(s) empresa(s) contratada(s) cuente(n) con solidez financiera, personal con conocimiento y
experiencia en el desarrollo de sistemas y/o en servicios relacionados al giro de la Entidad
Supervisada. Asimismo, asegurar que sus sistemas de control interno y procedimientos de
seguridad de la informacin, responden a las caractersticas del servicio que se requiere contratar;
b.
c.
d.
e.
b.
c.
Especificar que el proveedor debe tener el contrato del personal que participa en el proyecto,
actualizado y con clusulas de confidencialidad para el manejo de la informacin.
Adicionalmente, debe enviar al cliente entidad supervisada el currculo de todos los
participantes en el proyecto, indicando al menos antecedentes profesionales y personales;
d.
Indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo, incluyendo
las pruebas de programas;
e.
f.
Establecer que en caso de que el proveedor sea autorizado a ingresar en forma remota a los
servidores de la Entidad Supervisada, debe regirse y cumplir las polticas y procedimientos de la
misma en lo referido a la seguridad de la informacin;
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 3/5
g.
h.
Garantizar que, en concordancia con los cambios realizados al sistema de informacin, programa
o aplicacin, el proveedor actualice y entregue mnimamente la siguiente documentacin:
1.
Diccionario de datos;
2.
3.
Manual tcnico;
4.
Manual de usuario;
5.
Documentacin que especifique el flujo de la informacin entre los mdulos y los sistemas.
Artculo 8 - (Otros servicios) La Entidad Supervisada podr tercerizar otros servicios como el
mantenimiento de equipos, soporte de sistemas operativos, hospedaje de sitios web, a cuyo efecto
debe incluir en su(s) contrato(s) o acuerdo(s) al menos los siguientes aspectos:
a.
Tipo de servicio;
b.
Soporte y asistencia;
c.
Seguridad de datos;
d.
e.
f.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 4/5
b.
Que no se encuentra dentro de las Limitaciones y Prohibiciones, establecidas en los Ttulos II,
III y IV de la Ley N393 de Servicios Financieros, referidos a Servicios Financieros y
Rgimen de Autorizaciones, que pueden realizar las entidades supervisadas por ASFI;
c.
Que el proveedor del servicio cumpla con los requisitos de seguridad de la informacin
dispuestos en el presente Reglamento;
d.
Que el proveedor del servicio cumpla con la normativa y legislacin del Estado Plurinacional
de Bolivia, existiendo la posibilidad de poder ser examinado por ASFI y/o empresas de
auditora externa bolivianas;
e.
f.
Que en las clusulas del contrato se contemplen los aspectos sealados en los incisos a, b, c y
d del presente Artculo.
ASFI podr objetar la implementacin del servicio de computacin en la nube, cuando el proyecto
presentado, incumpla con lo sealado en los incisos a, b, c, d y f y/o considere insuficiente el anlisis
y evaluacin de riesgos en seguridad de la informacin, en lo referido a la pertinencia de contratar
el servicio de computacin en la nube (inciso e).
A efectos de realizar la evaluacin del citado proyecto, la Entidad Supervisada debe remitir adjunto
a ste copia del borrador del contrato, as como otra documentacin que considere pertinente.
Artculo 11 - (Proteccin de datos en la nube) La Entidad Supervisada debe contar con
polticas y procedimientos a efectos de definir los criterios que garanticen el debido tratamiento,
proteccin y privacidad de datos personales cuando se utilicen los servicios de computacin en la
nube, considerando la normativa nacional en actual vigencia y los referentes internacionales en esta
materia.
Artculo 12 - (Nivel de riesgo del servicio de computacin en la nube) La entidad supervisada,
antes de contratar los servicios de computacin en la nube, debe realizar un diagnstico del nivel
de riesgo y la sensibilidad de la informacin y/o los recursos tecnolgicos a ser expuestos, el cual
debe estar contenido en el Proyecto de implementacin del servicio de computacin en la nube.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 5/5
Verificar el cumplimiento del presente Reglamento, en los doce meses precedentes, debiendo
la Entidad Supervisada remitir a ASFI hasta el 15 de enero de cada ao, el informe elaborado.
Dicha labor podr realizarse a travs, de evaluaciones internas y/o externas;
b.
c.
Emitir un informe sobre el resultado de las pruebas realizadas a los planes de contingencias
tecnolgicas y de continuidad del negocio, mismo que debe permanecer en la Entidad
Supervisada a disposicin de ASFI;
d.
e.
Libro 3
Ttulo VII
Captulo II
Seccin 12
Pgina 1/1
Libro 3
Ttulo VII
Captulo II
Seccin 13
Pgina 1/1
Libro 3
Ttulo VII
Captulo II
Seccin 14
Pgina 1/1
ASPECTOS GENERALES
g. Caja tipo buzn: Permite el atesoramiento transitorio de material monetario y/o valores
con ubicacin en el rea de ventanillas de atencin al pblico;
h. Camino de ronda: Recorrido que el guardia privado o polica de seguridad, realiza a lo
largo de los pasillos, salidas de emergencia, gradas, reas de carga o descarga, garajes,
reas comunes y otras reas, con el objeto de velar por la integridad fsica de las personas
y la seguridad de los activos de la entidad;
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 1/4
i.
j.
Central de monitoreo: rea de exclusin donde estn instaladas las centrales para la
recepcin de seales provenientes de los sistemas de alarma y almacenamiento de las
grabaciones de las cmaras de Circuito Cerrado de TV (CCTV);
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 2/4
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 3/4
ee. Sensor ssmico: Dispositivo electrnico que detecta golpes o vibraciones, instalados en
el suelo o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda;
ff. Sirenas de Alarma: Dispositivo que emite sonidos y luces de alarma u otros elementos
disuasivos que alerten a los transentes o personal de vigilancia de un incidente de
seguridad fsica;
gg. Skimming: Robo de informacin de tarjetas de dbito o crdito al momento de efectuar
una transaccin, con la finalidad de reproducir o clonar la tarjeta de crdito o dbito para
su posterior uso fraudulento;
hh. Vigilancia motorizada: Patrullaje disuasivo realizado por unidades motorizadas a las
instalaciones de la entidad supervisada;
ii. Transporte de material monetario y/o ttulos valores: Traslado fsico de material
monetario y/o valores, de un PAF a otro;
jj. Unidad de Seguridad Fsica: Unidad organizacional dependiente de la instancia
ejecutiva que corresponda, responsable de operativizar e informar sobre la gestin de
seguridad fsica en la entidad supervisada. Su tamao y estructura interna debe estar en
relacin con el nivel de riesgo, incidentes de seguridad fsica y volumen de operaciones
de los PAF.
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 4/4
SECCIN 2:
Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 1/4
2.
3.
2.
3.
4.
5.
Transporte de material monetario y/o valores por parte del personal de la entidad
supervisada y personal de vigilancia, cuando corresponda;
6.
7.
8.
9.
Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 2/4
Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 3/4
Inicial
Modificacin 1
Modificacin 2
Modificacin 3
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 4/4
SECCIN 3:
Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 1/4
a. Polica de seguridad: arma de fuego, chaleco antibalas con una resistencia balstica
mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante,
as como otros implementos adecuados a las funciones asignadas segn se establece en
el Anexo 1.
b. Guardia privado: mnimamente arma(s) de defensa, chaleco antibalas con una
resistencia mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el
fabricante, as como otros implementos adecuados a las funciones segn se establece en
el Anexo 1.
Artculo 5 - (Dotacin de personal de vigilancia) En los PAF ubicados en localidades que no
cuenten con suficiente disponibilidad de personal de vigilancia en los Batallones de Seguridad
Fsica, Comandos Departamentales de la Polica Boliviana o Empresas Privadas de Vigilancia,
autorizadas por la instancia competente, la entidad supervisada debe contar como mnimo con un
(1) polica de seguridad o un (1) guardia privado. Adicionalmente, en caso de que no exista
personal de vigilancia en la localidad, la entidad debe adoptar medidas de seguridad que suplan la
carencia del personal de vigilancia, segn lo establecido en sus polticas de seguridad fsica.
Los recintos para cajeros automticos que cuenten con ms de dos (2) equipos sean estos de una o
de diferentes entidades supervisadas, deben contar al menos con un (1) guardia privado. Las
entidades supervisadas podrn suscribir, entre s, convenios para que el personal de vigilancia
brinde proteccin a todos los cajeros automticos ubicados en el recinto. El personal de vigilancia
que preste el servicio en los recintos de cajeros automticos debe realizarlo las veinticuatro (24)
horas del da, siete (7) das a la semana de forma ininterrumpida.
De acuerdo a la ubicacin fsica del cajero automtico, la entidad supervisada debe habilitar
casetas para la permanencia del personal de vigilancia instaladas a una distancia no menor de dos
(2) metros ni mayor a diez (10) metros de ste. Las casetas podrn ser fijas o plegables segn se
establece en el Anexo 2.
La entidad supervisada debe asegurarse que el personal de vigilancia cuente con la capacitacin y
los conocimientos bsicos, segn se establece en el Anexo 3.
Artculo 6 - (Dotacin adicional de personal de vigilancia) Respecto a los PAF donde se
verifique la necesidad de brindar mayor seguridad para la atencin a los clientes y usuarios, ASFI
se reserva el derecho de exigir personal de vigilancia adicional al establecido por la entidad
supervisada.
Artculo 7 (Horarios) El personal de vigilancia debe permanecer en ejercicio de sus
funciones en el PAF, durante el tiempo que disponga el manual de funciones del personal de
vigilancia definido por la entidad supervisada, el mismo que al menos debe abarcar el tiempo de
atencin al pblico o de permanencia de funcionarios en las instalaciones del PAF.
Artculo 8 (Sistema de alarma) La entidad supervisada debe contar con un sistema de
alarma debidamente particionado, zonificado, interconectado a una central de monitoreo de
alarma y habilitados para detectar incidentes de seguridad fsica en reas de atencin al pblico y
Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 2/4
Sensores ssmicos;
g. Detectores de humo;
h. Botones de pnico;
i.
Sirenas de alarmas;
j.
Grupo electrgeno;
Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 3/4
cmaras instaladas en sus PAF. Las grabaciones de las cmaras de seguridad, deben permitir la
identificacin de personas, actividades u otros, ocurridos en incidentes de seguridad fsica.
La entidad supervisada debe priorizar la ubicacin de cmaras de seguridad en las reas de
ventanillas de atencin al pblico, cajeros automticos y accesos al PAF, bvedas, camino de
ronda y reas de exclusin, segn corresponda.
La entidad supervisada debe mantener el registro efectuado por el sistema de vigilancia y
monitoreo, por un perodo no menor a ciento ochenta (180) das.
Artculo 12 (Vigilancia motorizada) La entidad supervisada debe contar con unidades
motorizadas a cargo de personal que realice la vigilancia de los PAF in situ, de acuerdo a planes
definidos para el efecto, los cuales deben incluir al menos la ruta de recorrido y rol de turnos,
dando prioridad a los PAF con niveles de riesgo alto ubicados en ciudades capitales de
departamento y adicionalmente en las ciudades con una poblacin mayor a 100.000 habitantes.
Artculo 13 - (Medidas generales de seguridad fsica para las Casas de Cambio
Unipersonales) Las disposiciones contenidas en la presente Seccin, no son de aplicacin
obligatoria para las Casas de Cambio unipersonales, excepto por el Artculo 3 y el inciso k) del
Artculo 9 de la presente Seccin, sin embargo, no se restringe la aplicacin voluntaria de las
mencionadas disposiciones.
Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 4/4
SECCIN 4:
Riesgo
Bajo
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-= No indispensable
Adicionalmente, la entidad supervisada debe contar al menos con un (1) polica de seguridad o un
(1) guardia privado por cada puerta de acceso a la oficina central o sucursal, en correlacin a lo
dispuesto en el Artculo 5 de la Seccin 3 del presente Reglamento.
Las oficinas centrales o sucursales que no manipulen material monetario y/o valores en sus
instalaciones, no estn obligadas a contar con equipos de atesoramiento.
Artculo 3 - (Agencias fijas) La entidad supervisada en funcin al nivel de riesgo al que se
encuentran expuestas sus agencias fijas debe implementar mnimamente las siguientes medidas
especficas de seguridad fsica:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Caja Fuerte Bveda
Caja Fuerte Auxiliar
Puerta de Acceso reas de Exclusin
1 Caja fuerte tipo buzn anclada por ventanilla
1 Caja fuerte tipo buzn anclada por rea de ventanillas
Personal de Vigilancia
Un (1) Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable
Riesgo
Bajo
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-= No indispensable
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 1/6
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 2/6
a.1 Cajero automtico con recinto: Los recintos en los que se encuentran
instalados los cajeros automticos, debe contar con:
i. Vidrios templados y/o laminados que permitan observar el interior del
recinto, desde el exterior y viceversa, para detectar eventuales amenazas,
sea contra la mquina o contra el usuario;
ii. El vidrio a utilizarse en las puertas de ingreso, as como aquel que forme
parte de la estructura del recinto de los cajeros automticos, debe ser
templado y/o laminado;
iii. La puerta de acceso debe contar con un dispositivo de cierre interno, de
tipo mecnico, que impida el acceso de terceros al interior del recinto
cuando el usuario se encuentre operando el cajero automtico. De la
misma forma, los cajeros automticos con recinto ubicados en zonas con
niveles de alto riesgo debern contar con mecanismos automticos de
autenticacin que restrinjan el acceso de personas no autorizadas a dichos
ambientes o formas alternativas que impidan el acceso de personas no
autorizadas al recinto, para precautelar la seguridad de los consumidores
financieros. Estas formas alternativas deben estar fundamentadas con un
Informe del Gerente General, el cual debe estar a disposicin de ASFI
cuando as lo requiera.
a.2 Cajero automtico sin recinto: La entidad supervisada debe contratar personal
de vigilancia, ya sea un polica de seguridad o guardia privado y habilitar
casetas segn lo establecido en el Artculo 4, Seccin 3, del presente
Reglamento.
b. Circuito cerrado de televisin: La entidad supervisada debe instalar una cmara en el
interior del cajero automtico que permita captar las imgenes de los tarjetahabientes al
momento de realizar la operacin, no debiendo dirigir la cmara hacia el teclado de los
cajeros. Una vez que ingrese un cliente y durante el tiempo de permanencia en dicho
ambiente, la entidad deber contar con grabaciones continuas de las acciones realizadas
por la persona y debe mantener el registro efectuado cumpliendo las disposiciones
establecidas en el Artculo 11 de la Seccin 3 del presente Reglamento. De la misma
manera, la entidad supervisada debe instalar una cmara exterior, para la vigilancia del
permetro externo de cajeros automticos con recinto identificados con riesgo alto;
c. Dispositivos de seguridad: Los cajeros automticos internos o externos deben contar con
dispositivos que permitan privacidad en el registro de operaciones de los clientes o
usuarios de tarjetas de dbito o crdito. Los dispositivos mnimos de seguridad son los
siguientes:
1. Pantalla. Debe estar instalada en ngulos apropiados o contar con medidas
antirreflectantes, que eviten que la accin del reflejo del sol afecte la privacidad
de operacin por parte del usuario;
2. Iluminacin. El espacio donde se encuentra ubicado el cajero automtico, debe
estar adecuadamente iluminado;
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 3/6
g. Proteccin del cableado: Todo el cableado para el funcionamiento del cajero automtico
y el sistema de alarmas deben estar debidamente protegidos para evitar posibles
accidentes o actos de sabotaje, debiendo inclusive proteger los compartimientos del
sistema de comunicacin.
Artculo 9 - (Casas de cambio) Las Casas de Cambio con Personalidad Jurdica, deben
identificar el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas su
oficina central y agencias de cambio de acuerdo a lo establecido en el Artculo 2, Seccin 2 del
presente Reglamento e implementar mnimamente las medidas especficas de seguridad fsica,
sealadas a continuacin:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-
-
Riesgo
Bajo
-= No indispensable
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 4/6
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-
-
Riesgo
Bajo
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable
-= No indispensable
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 5/6
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-
-
Riesgo
Bajo
Equipos de Atesoramiento
Caja Fuerte Bveda
Personal de Vigilancia
Un (1)Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado
Un (1) Guardia Privado
= Indispensable
-= No indispensable
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 6/6
SECCIN 5:
OTRAS DISPOSICIONES
Inicial
Modificacin 1
Modificacin 2
Libro 3
Ttulo VII
Captulo III
Seccin 5
Pgina 1/1
SECCIN 6:
Artculo nico - (Rol de auditora interna) La Unidad de Auditoria Interna debe desempear
un rol independiente en la Gestin de Seguridad Fsica, debiendo, mnimamente cumplir con las
siguientes funciones:
a. Verificar la implementacin de lo dispuesto en las polticas, procedimientos y planes
diseados para la Gestin de Seguridad Fsica;
b. Verificar que la Unidad de Seguridad Fsica cumpla con las obligaciones y
responsabilidades encomendadas;
c. Elevar informes al Directorio u rgano equivalente, a travs de su Comit de Auditora
o Consejo de Vigilancia, segn corresponda, acerca de los resultados obtenidos y las
recomendaciones sugeridas, derivadas de las revisiones;
d. Efectuar seguimiento de las observaciones y/o recomendaciones emitidas y comunicar
los resultados obtenidos al Directorio u rgano equivalente, a travs de su Comit de
Auditora o Consejo de Vigilancia, segn corresponda.
Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 6
Pgina 1/1
SECCIN 7:
DISPOSICIONES TRANSITORIAS
Inicial
Modificacin 1
Modificacin 2
Libro 3
Ttulo VII
Captulo III
Seccin 7
Pgina 1/1