Normas para regular la administración de las

22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

CIRCULAR sistema financiero; asimismo, regular los servicios

financieros y operaciones realizadas por medio de
CNBS No.119/2005 redes electrónicas de uso externo e interno.
La Junta Directiva o Consejo de Administración de las
SISTEMA FINANCIERO instituciones del sistema financiero, en adelante Junta
Toda la República o Consejo, deberán prestar la debida importancia a la
administración del riesgo derivado de los sistemas de
información, tomando en cuenta que su continuidad,
Señores: desarrollo y funcionamiento constituyen el elemento
central para su operatividad y su manejo administrativo
y financiero.
Nos permitimos transcribir a ustedes, la Resolución aprobada ARTÍCULO 2.- Alcance
por la Comisión Nacional de Bancos y Seguros, que

A
literalmente dice: Las presentes normas están en concordancia con los
principios del Comité de Basilea y el estándar
“RESOLUCIÓN No.1301/22-11-2005.- La Comisión Nacional internacional ISO/IEC 17799:2000, emitidos en materia
de Bancos y Seguros,

D
de banca electrónica y administración de la Seguridad
CONSIDERANDO: Que de conformidad con las Informática y constituyen una guía general para la
facultades legales concedidas a la Comisión Nacional de documentación formal e implementación de la

A
Bancos y Seguros, respecto a las instituciones del sistema seguridad en las tecnologías de información y
financiero y demás instituciones supervisadas, ésta emitirá comunicaciones de las instituciones del sistema
las normas prudenciales que deberán cumplir las mismas, financiero.
basándose en la legislación vigente y en los acuerdos y

G
Estas disposiciones son de obligatorio cumplimiento
prácticas internacionales. para las demás instituciones supervisadas por la
CONSIDERANDO: Que conforme a lo establecido en el Comisión, en lo que les sea aplicable, en función de su
Artículo 50 de la Ley del Sistema Financiero, las instituciones tamaño y complejidad.

R O
del sistema financiero podrán ofrecer y prestar todos los
productos y servicios los mencionados en el Artículo 46 de
dicha Ley por medios electrónicos; así como que la Comisión
emitirá normas de carácter general para regular las
operaciones que efectúen y servicios que presten las
instituciones por medios electrónicos.
ARTÍCULO 3.- Definiciones
Para los efectos de aplicación de la presente normativa
y bajo la perspectiva de la tecnología de información,
deberán considerarse las siguientes definiciones:

E
1) Ataques de Denegación de Servicio: Envío de
CONSIDERANDO: Que conforme lo establecido en la solicitudes a servidores o equipos de
Ley de la Comisión Nacional de Bancos y Seguros, ésta se comunicación que provoquen saturación en sus
encuentra sujeta a ciertos criterios, entre los cuales se señala memorias para que de esta forma dejen de

D
el de promover la adopción de buenas prácticas en la funcionar temporalmente y no presten los servicios
administración de los riesgos inherentes a las actividades que que tengan configurados.
realizan las instituciones supervisadas. 2) Ataques de Diccionario: Prueba de combinaciones
POR TANTO: Con fundamento en los artículos 1, 6, 13 y de todos los usuarios y contraseñas posibles
14 de la Ley de la Comisión Nacional de Bancos y Seguros; y, basados en un diccionario en español, inglés o
50 de la Ley del Sistema Financiero; en sesión del 22 de cualquier otro idioma, para ingresar de manera
noviembre de 2005, resuelve: ilegal a un sistema informático.
1. Aprobar las siguientes: 3) Ataques de Fuerza Bruta: Prueba de
combinaciones de todos los usuarios y
NORMAS PARA REGULAR LA ADMINISTRACIÓN DE contraseñas posibles basados en todos los
LAS TECNOLOGÍAS DE INFORMACIÓN Y caracteres posibles, para ingresar ilegalmente a
COMUNICACIONES EN LAS INSTITUCIONES DEL un sistema informático.
SISTEMA FINANCIERO
4) Banca Electrónica: Servicios y operaciones
CAPÍTULO I proporcionados a clientes por medios electrónicos
DISPOSICIONES GENERALES conectados al sistema de producción, utilizando
tecnologías, como: telefonía, Internet, celulares, o
ARTÍCULO 1.- Objeto una combinación entre redes de comunicaciones.
Las presentes normas, tienen por objeto regular la 5) Canal de Comunicación: Métodos tecnológicos
administración de las tecnologías de información y para la comunicación entre los usuarios de banca
comunicaciones utilizadas por las instituciones del

Compendio de Normas Emitidas - CNBS 1 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

electrónica y las instituciones del sistema para PostgreSQL, que pueden ser llamados
financiero entre otros Internet, Telefonía, etc. usando el nombre que se les haya asignado. Son
esencialmente cajas negras.
6) La Comisión o CNBS: Comisión Nacional de
Bancos y Seguros. 16) Red de Producción: Red que está compuesta por
computadoras, servidores, archivos, bases de
7) Contraseña Segura o Fuerte: Contraseñas de uso
datos, equipos de comunicación, dispositivos de
informático que deben cumplir con las
seguridad, etc., que contienen y transmiten datos
especificaciones de la política de contraseñas de
reales y oficiales de una institución.
la institución y que sean difíciles o casi imposibles
de adivinar o hurtar. 17) Servidor: Computadora que presta servicios de red
a los usuarios de la misma. Estos servicios
8) Discontinuidad de Servicio Significativo:
pueden ser bases de datos, impresión, antivirus,
Incapacidad de continuar prestando los servicios
correo electrónico, aplicaciones, etc.
definidos como críticos por la Alta Gerencia, y sin

A
los cuales se vería seriamente afectada la 18) Sesión: Es el periodo de tiempo transcurrido
continuidad en el mercado. desde que un usuario o un equipo informático
inicia conexión, con otro equipo previa
9) Hash: Cadena de caracteres generada por un

D
presentación de credenciales, hasta el momento
algoritmo de encriptación, el cual proporciona un
que la conexión finaliza.
valor estadísticamente único para un conjunto de
datos de entrada. Bajo esta técnica se comprobará 19) Sistema de Detección de Intrusos (IDS):

A
la validez de los datos recibidos o, como en el Dispositivo o programa de cómputo que de
caso de las contraseñas, cifrar una información en acuerdo a una base de datos, detecta patrones
un sólo sentido. que son conocidos mundialmente como ataques o

G
intentos de intrusión a redes y computadoras,
10) Localizador Uniforme de Recursos (URL): Cadena
enviando alertas y presentando reportes.
de caracteres con la cual se asigna dirección única
a cada uno de los recursos de información 20) Tecnologías de Información y Comunicaciones

O
disponibles en Internet. Existe un URL único para (TIC): Recursos tecnológicos usados para crear,
cada página de cada uno de los documentos en almacenar, intercambiar y usar información en sus
Internet. diferentes formatos (datos, voz, imágenes, videos,

R
presentaciones, etc.)
11) Memoria Caché: Memoria a la que una
computadora puede acceder más rápidamente 21) Tercerización (Outsourcing): Contrato mediante el
que a la memoria normal de la computadora cual una compañía provee servicios a otra. Estos

E
(Memoria RAM), la computadora primero busca servicios podrían ser provistos dentro de la misma
información en la memoria caché y luego en la institución.
RAM.
22) Tercerización Significativa: Tercerización de

D
12) No Repudio: Cualidad o característica de una servicios que son de carácter vital para una
determinada comunicación, a través de la cual se compañía, ya que si estos servicios fallan
protege a las partes de la comunicación frente a la provocarían un impacto en la continuidad del
negación de que dicha comunicación haya negocio.
ocurrido. Existe no repudio cuando se produce el
23) Valor SALT: Valor generado al azar, que es usado
efecto legal o práctico de dicho atributo o
para modificar el hash de una contraseña, el cual
característica.
previene las colisiones de contraseñas, es decir si
13) Pared de Fuego (Firewall): Dispositivos de más de un usuario selecciona la misma
Seguridad (Hardware o software) utilizados para contraseña, la cadena de caracteres generada
restringir el acceso en un ambiente de redes utilizando un valor SALT será diferente.
informáticas interconectadas, que permiten el
CAPITULO II
acceso a ciertos servicios previamente definidos.
SUPERVISIÓN Y ADMINISTRACIÓN
14) Penetración Significativa: Ataques a una red
informática que alteren la disponibilidad, integridad SECCIÓN I
y confidencialidad de la información sensitiva de la
DE LA ADMINISTRACIÓN
institución.
ARTÍCULO 4.- Políticas de Administración
15) Procedimientos Almacenados (Stored Procedure):
Conjunto de instrucciones u órdenes La Junta o Consejo deberá tener como mínimo una
precompiladas, escritas en un lenguaje propietario reunión anual para establecer o revisar las políticas y
como PL/SQL para Oracle database o PL/PgSQL procedimientos sobre la administración tecnológica y
seguridad de la información, que conlleven a la

Compendio de Normas Emitidas - CNBS 2 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

correcta toma de decisiones. Asimismo, deberá Dentro de la estructura organizacional, la unidad

conocer y discutir, por lo menos cuatro (4) veces al responsable de administrar los aspectos tecnológicos y
año, los informes que sobre este particular le presente de seguridad de la información deberá contar con el
la Gerencia General. Lo tratado en dichas reuniones, manual de puestos para el personal de TIC, que
deberá quedar registrado en el libro de actas deberá incluir los perfiles de puestos y la segregación
correspondiente. de funciones y de autoridad.
ARTÍCULO 5.- Políticas de las Tecnologías de Asimismo, la unidad responsable deberá estructurar un
Información y Comunicaciones programa de capacitación de acuerdo con las
prioridades de la administración, que permita
Las políticas mencionadas en el Artículo anterior
maximizar las contribuciones que brinde el personal
deberán incluir al menos temas como:
del área de TIC. Esta capacitación deberá incluirse en
a) Seguridad de la información incluyendo: el presupuesto anual y ser consistente con los
requerimientos mínimos de la organización.

A
- Uso de Internet;
Para la consecución de los objetivos planteados, la
- Uso del Correo Electrónico;
institución supervisada deberá procurar que la unidad
- Uso de las estaciones de Trabajo; antes mencionada se encuentre en un nivel razonable

D
de independencia funcional dentro de la estructura
- Proceso Antivirus;
organizacional.
- Adquisición de Hardware y Software;

A
ARTÍCULO 8.- Establecimiento de Políticas y
- Seguridad de Contraseñas; Estrategias
- Seguridad de la Información Sensitiva; La Gerencia General deberá definir y proponer a la

G
- Seguridad de Servidores; Junta o Consejo, los procesos críticos para los cuales
es necesario establecer las políticas y estrategias de
- Seguridad de equipos de comunicación; tal forma que se asegure la integridad y continuidad de
las operaciones. Asimismo, las medidas y mecanismos

O
- Seguridad en redes inalámbricas (Si existen);
para la difusión óptima de dichas políticas.
- Seguridad en Redes con Terceros;
El Administrador de Seguridad Informática deberá
- Acceso y Configuración remotos;

R
proponer a la Gerencia General las políticas y
- Administración de respaldos; y, estrategias correspondientes.

- Administración de dispositivos móviles de Los eventos calificados deberán ser comunicados a la

E
almacenamiento magnético. Gerencia General, al Administrador de Seguridad
Informática y las dependencias involucradas, para su
b) Procesos de respaldo y recuperación en caso respectivo análisis y tomar las medidas correctivas

D
de un desastre y situaciones de mal necesarias.
funcionamiento de uno o varios componentes
del sistema de información; SECCIÓN II

c) Tercerización (outsourcing); PROCEDIMIENTOS

d) Mantenimiento y desarrollo de sistemas; y, ARTÍCULO 9.- Procedimientos Formales

e) Documentación de todos los procesos que se La institución deberá desarrollar, implementar,

desarrollan en el área de TIC. actualizar y documentar procedimientos formales en
relación a la planeación, organización, adquisición,
ARTÍCULO 6.- Nombramiento de Ejecutivo implementación, entrega de servicios por medios
Especializado tecnológicos, soporte y monitoreo; y deberá ser
La Gerencia General deberá nombrar un ejecutivo diligente en su ejecución y divulgación.
especializado, responsable de todos los asuntos SECCIÓN III
relacionados con las tecnologías de la información.
Este ejecutivo deberá tener al menos formación HISTORIAL Y MONITOREO
profesional sobre la administración de las tecnologías ARTÍCULO 10.- Mantenimiento de Registros
de información en materia de comunicaciones,
sistemas operativos, desarrollo de software, base de La institución deberá mantener registros de las
datos, entre otros y deberá tener experiencia auditorías a los sistemas automatizados, basados en
comprobada en el campo de la informática. un análisis de riesgos, en bitácoras automatizadas
registrando los accesos, transacciones y consultas
ARTÍCULO 7.- Unidad Responsable realizadas tanto a los sistemas de información como a
los dispositivos de comunicaciones y seguridad. Estos

Compendio de Normas Emitidas - CNBS 3 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

registros deberán como mínimo identificar la persona, administración de las Tecnologías de Información y
lugar, tiempo y las acciones relacionadas con el Comunicaciones, incluyendo al menos los factores
aplicativo utilizado. siguientes:
ARTÍCULO 11.- Período de Resguardo - Los usuarios externos e internos del sistema
de información;
La institución deberá resguardar los registros previstos
en el Artículo anterior. El periodo de resguardo será de - El ambiente del sistema, la operatividad del
5 años para las transacciones y 6 meses para la sistema y sus implicaciones sobre el negocio;
consulta.
- Los niveles de acceso y la sensibilidad de la
ARTÍCULO 12.- Mantenimiento de Bitácoras información;
La institución, si así lo determina, podrá mantener - La calidad de la información;
informados a sus clientes y empleados de la existencia
- La Tercerización (outsourcing);y,

A
del mantenimiento de bitácoras que registrarán todas
las actividades con los sistemas de información de la - Planes de contingencia y recuperación ante
institución. desastres.

D
Con respecto a las disposiciones del Artículo 8, el ARTÍCULO 16.- Proceso de Auditoría Basada en
sistema de administración de registros deberá crear las Riesgos
alertas correspondientes para las autoridades internas
El proceso de auditoría basada en riesgos deberá ser

A
y externas, especialmente en los casos de actividades
permanente y se revisará de acuerdo a los cambios en
externas no autorizadas y también aquellas actividades
los factores de riesgos.
excepcionales realizadas por los diferentes tipos de
usuarios. La institución deberá, conforme a la administración y

G
análisis de riesgos, tomar las medidas necesarias para
SECCIÓN IV
minimizar los impactos negativos en toda su
AUDITORÍA INTERNA infraestructura de Tecnologías de Información y

O
Comunicaciones.
ARTÍCULO 13.- Auditoría de Sistemas
SECCIÓN VI
La Auditoría Interna de la institución deberá auditar la
SEGURIDAD DE LA INFORMACIÓN

R
Tecnología de Información y Comunicación (TIC) a fin
de verificar la integridad, disponibilidad y
ARTÍCULO 17.- Administrador de Seguridad
confidencialidad de la información. La persona(s)
Informática

E
encargada(s) de auditar las TIC deberá contar con
experiencia y entrenamiento calificado para llevar a La Junta o Consejo deberá nombrar a un
cabo este tipo de auditorías basadas en las mejores Administrador de Seguridad Informática, el cual deberá
prácticas existentes en el mercado tales como COBIT estar subordinado a la Gerencia General de la

D
e ISO-17799. institución.
La institución deberá proveerle a la Auditoría Interna Las funciones de este Administrador de Seguridad
las herramientas necesarias para la realización y Informática serán definidas evitando conflictos de
control del ambiente de la TIC. interés, por tanto deberá ser independiente del
ejecutivo especializado responsable de la
ARTÍCULO 14.- Responsabilidad del Auditor Interno
administración de las Tecnologías de Información y
El Auditor Interno será responsable de que, aun en el Comunicaciones.
caso de que la Auditoría de Sistemas sea llevada a
ARTÍCULO 18.- Perfil de Responsabilidades
cabo por medio de la Tercerización (outsourcing) se
cumplan las disposiciones contenidas en las Normas La Gerencia General de la institución deberá definir las
Mínimas para el Funcionamiento de las Unidades de funciones y las responsabilidades del Administrador de
Auditoría Interna de las Instituciones del Sistema Seguridad Informática. Dichas funciones y
Financiero y en las presentes normas. responsabilidades comprenderán como mínimo las
siguientes:
SECCIÓN V
- Proponer a la institución las políticas, normas
ADMINISTRACIÓN DE RIESGOS
y procedimientos de seguridad informática;
ARTÍCULO 15.- Factores de Riesgo
- Documentar e implementar las políticas,
La institución deberá realizar sus auditorías de normas y procedimientos de seguridad
sistemas basadas en un análisis de riesgos y informática aprobadas por la Junta o
cumpliendo las normativas existentes. Esta auditoría Consejo;
deberá incluir todos los riesgos potenciales en la

Compendio de Normas Emitidas - CNBS 4 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

- Verificar que los usuarios de los distintos podrán realizar otras pruebas por entes o profesionales
sistemas y recursos tecnológicos cumplan externos.
con las políticas, normas y procedimientos
ARTÍCULO 23.- Informe de Seguridad
aprobados;
La Gerencia General, para minimizar los riesgos,
- Tomar las acciones correctivas que
deberá implementar las recomendaciones contenidas
garanticen la seguridad informática
en el informe de seguridad, y establecer un
requerida, una vez que se hayan identificado
cronograma de actividades a realizar.
violaciones;
CAPÍTULO IV
- Identificar e implementar herramientas de
seguridad informática que aseguren que la CONTROL DE ACCESO, ENCRIPTACIÓN Y
información y el equipamiento, no sean SEGURIDAD EN LA RED
utilizados en perjuicio de la institución y los
SECCIÓN I

A
usuarios;
CONTROL DE ACCESO
- Controlar el uso indebido de programas
(utilitarios) o herramientas que permiten la ARTÍCULO 24.- Identificación de Acceso

D
manipulación de los datos en los diferentes
La institución deberá asignar una identificación única y
sistemas; y,
personal de cualquier usuario con acceso al sistema de
- Desarrollar por lo menos una vez al año, información, como una condición previa a la

A
evaluaciones de seguridad a las tecnologías autorización de acceso.
de información y comunicaciones de la
ARTÍCULO 25.- Reglas y Procedimientos para Acceso
institución.

G
La institución deberá determinar las reglas y el
La institución deberá proveer al Administrador de
procedimiento para dicha identificación, así como para
Seguridad Informática los recursos necesarios y
el otorgamiento de autorizaciones a terceros que
capacitación continua para que cumpla sus funciones.
accedan a los componentes de la tecnología de

O
ARTÍCULO 19.- Separación de Ambientes información. Estas reglas deberán tomar en cuenta los
riesgos derivados de las responsabilidades y
La institución deberá procurar separar físicamente y
autorizaciones dadas a los usuarios de acuerdo a su

R
lógicamente los ambientes de producción, desarrollo y
agrupación, así como la sensibilidad de la información
pruebas.
y los derechos a las aplicaciones y a cualquier otro
CAPÍTULO III componente de la tecnología.

D E
INVESTIGACIÓN DE SEGURIDAD
SECCIÓN ÚNICA
ARTÍCULO 20.- Evaluaciones de Seguridad
Las evaluaciones de seguridad deberán medir la
eficiencia de los medios de protección e incluir
propuestas para corregir las vulnerabilidades. Sus
resultados deberán presentarse a la Gerencia General
La institución deberá implementar mecanismos para la
administración, control y monitoreo de las
autorizaciones del sistema.
ARTÍCULO 26.- Clasificación de Grupos y Asignación
de Perfiles de Usuarios
Las instituciones deberán adoptar una clasificación de
grupos y asignación de perfiles de usuarios internos y
externos atendiendo su relación con las unidades
en un reporte detallado con recomendaciones, que
internas, procesos y servicios.
incluya un sumario ejecutivo con los principales
hallazgos. ARTÍCULO 27.- Control de Acceso
ARTÍCULO 21.- Implementación de Cambios Las políticas de control de acceso a los sistemas de
información deberán establecerse cumpliendo con las
Previo a la implantación de cambios en: el ambiente de
disposiciones vigentes y las mejores prácticas
producción; los sistemas de alto riesgo definidos por la
internacionales.
administración; y los servicios financieros por medios
electrónicos, deberá realizarse una evaluación de Las instituciones deberán utilizar tecnologías que
seguridad. Asimismo, cuando ocurran cambios combinen la identificación y la autenticación del
significativos en el ambiente tecnológico en que operan usuario, con el objeto de garantizar la confidencialidad
los sistemas de información, o se implementen nuevos e integridad de la información, el no repudio del
sistemas. usuario, controlar los accesos de alto riesgo a los
sistemas de información, y en todos los casos de
ARTÍCULO 22.- Otras Pruebas de Seguridad
acceso remoto a los equipos tecnológicos realizados
Para evitar conflictos de interés y poder tomar las por los empleados y terceros.
medidas cautelares correspondientes, las instituciones

Compendio de Normas Emitidas - CNBS 5 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

ARTÍCULO 28.- Tiempo de Expiración No obstante lo dispuesto en el párrafo anterior, la

institución que mantenga una completa segregación de
La institución deberá fijar el tiempo de expiración de
su red interna, producción e Internet, podrá descargar
una sesión, cuando iniciada la misma no se hayan
archivos de Internet, con los controles adecuados.
ejecutado actividades después de cierto período de
tiempo, determinado mediante un análisis de riesgos o ARTÍCULO 34.- Resguardo de la Conexión de Internet
de acuerdo a las mejores prácticas internacionales.
La conexión de la red de la institución hacia Internet
SECCIÓN II deberá encontrarse asegurada por lo menos con: un
antivirus, un filtro de contenido, un Sistema de
ENCRIPTACIÓN Y SEGURIDAD EN LA RED
Detección de Intrusos (IDS) a nivel de red y un firewall.
ARTÍCULO 29.- Encriptación de Información
ARTÍCULO 35.- Contraseñas de Acceso
La institución deberá determinar, de acuerdo a un
Las instituciones del sistema financiero deberán
análisis de riesgos, la necesidad de encriptar la

A
otorgar a los auditores de sistemas de esta Comisión,
información a ser transmitida y almacenada.
contraseñas de acceso irrestricto a todas las
ARTÍCULO 30.- Certificación de la Identidad del Sitio aplicaciones y objetos de sus sistemas con derechos
de Internet de solo lectura, en los servidores de producción y

D
desarrollo; así como a todos los maestros,
La institución deberá tomar las medidas necesarias
transaccionales e históricos que los auditores
para certificar la identidad del sitio de Internet y evitar
requieran.

A
posibles imitaciones. Asimismo, deberá proveer y
capacitar a sus clientes con las metodologías y Las contraseñas otorgadas no deberán tener fecha de
mecanismos apropiados de identificación en el acceso caducidad, sin embargo las instituciones podrán
al sitio de Internet. eliminarlas una vez que los auditores de sistemas

G
finalicen la auditoría.
ARTÍCULO 31.- Conexión de Internet
Adicionalmente las instituciones deberán activar
La conexión de Internet de la institución se realizará en
bitácoras de auditoría en las áreas de comunicaciones,

O
los siguientes casos:
sistema operativo y de base de datos para supervisar
1) Conexión al Internet por parte de empleados, con las actividades que realiza el personal de la Comisión.
sujeción a lo establecido en los artículos 32 y 33 Dichas bitácoras deberán detallar las direcciones IP

R
de estas normas; asignadas a cada computadora y el nombre de
usuario; así como, remitidas en archivos electrónicos a
2) Servicios financieros por medios electrónicos,
la Gerencia de Informática de la Comisión, cuando sea
conforme lo dispuesto en los artículos 40 al 67

E
requerido por la ésta.
de las presentes normas; y,
CAPITULO V
3) Cualquier otro caso aprobado, con anticipación,

D
por la Comisión. PLAN DE CONTINUIDAD DEL NEGOCIO
ARTÍCULO 32.- Operaciones Autorizadas SECCIÓN ÚNICA
La Gerencia General de la institución deberá ARTÍCULO 36.- Plan de Contingencias
determinar las operaciones que sus empleados podrán
La institución deberá mantener un plan de
realizar para la utilización del Internet, así como
contingencias detallado para recuperar y operar su
cumplir con los requerimientos del siguiente Artículo.
tecnología de información en los casos de mal
ARTÍCULO 33.- Requisitos de Conexión de Internet funcionamiento y desastres. Dicho plan deberá
enmarcarse en los principios de respaldo y
Para que las estaciones de trabajo de los empleados
recuperación descritos en el Artículo 37.
tengan acceso al Internet deberán estar conectadas
únicamente al Internet, o a una red que esté conectada La institución deberá examinar y revisar su plan de
exclusivamente al Internet a través de servidores contingencias atendiendo los cambios que han
separados de la red de producción. Tampoco debe ocurrido desde la revisión anterior. Dicha revisión
existir conectividad simultánea entre la estación de deberá realizarse como mínimo cada dos (2) años, así
trabajo y los sistemas de producción de la institución, como cada vez que ocurran cambios significativos.
ni acceso a información sensitiva.
Asimismo, al menos anualmente y cuando ocurran
La conexión a Internet deberá estar controlada por los cambios significativos, la institución deberá realizar y
medios indicados en el Artículo 34 y con propósitos documentar pruebas de sus procesos de respaldo y
exclusivos de navegación y de correo electrónico, sin recuperación.
poder descargar archivos.
Los equipos de almacenamiento de los respaldos de
información o los respaldos en sí deberán estar

Compendio de Normas Emitidas - CNBS 6 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

localizados en un lugar distante y distinto en donde se sus sistemas, servicios de consultoría, patentes y otros
generó la copia de la información original. servicios relacionados con las TIC.
La institución deberá tomar las medidas que aseguren Cuando se trate de la realización de las actividades
la posibilidad de reconstruir la información, tanto de las siguientes, la contratación con terceros deberá ser
copias de respaldo, como de la información retenida en hecha del conocimiento de la Comisión previo a la
medios que ya no son utilizados. suscripción del contrato respectivo:
ARTÍCULO 37.- Principios de Respaldo y (1) La Tercerización de sistemas centrales; y,
Recuperación
(2) El almacenamiento de información de cualquier
La administración de la institución deberá reunirse tipo, con respecto a los clientes de la institución,
anualmente para discutir los principios de respaldo y en sistemas que no se encuentran dentro de su
recuperación, así como tomar decisiones y documentar control exclusivo.
detalladamente, con base en un análisis de riesgos, los

A
La contratación de las actividades antes enunciadas se
siguientes temas:
considerará como una forma de Tercerización
1) Definición de las situaciones de mal Significativa. En tal caso, la Comisión podrá formular
funcionamiento y de desastre para todas las observaciones relacionadas con la seguridad,

D
unidades organizacionales y las implicaciones en confiabilidad y eficiencia en la prestación del servicio al
las operaciones subsistentes de la institución. público. En este y en todos los demás casos de
Tercerización Significativa, la institución deberá

A
2) Definición de los procesos vitales del negocio, los
cerciorarse de la experiencia, capacidad y la viabilidad
sistemas de información relevantes para la
económica del proveedor de los servicios. Asimismo,
operación continua, la manera en que podría
deberá examinar, con antelación, la idoneidad de sus
garantizar la continuidad del negocio en el caso de

G
cualidades y calificaciones para desempeñar los
un mal funcionamiento y desastre, y definir todo el
servicios requeridos.
software, hardware y componentes de
comunicaciones relacionados. ARTÍCULO 39.- Contrato Escrito de Tercerización

O
3) Aspectos de recuperación y respaldo, que La Tercerización deberá realizarse por medio de un
incluyan las rutinas de respaldo, su duración, contrato escrito.
frecuencia, medio, tiempo máximo de estar fuera

R
Con respecto a la Tercerización Significativa, el
de servicio y el proceso para volver a prestar los
contrato deberá contener, como mínimo, los temas
servicios que la Gerencia General haya definido
siguientes:
como críticos para la continuidad del negocio.

E
1) Las responsabilidades de todas las partes,
4) Relación de dependencia en entidades externas,
incluyendo las de los sub-contratistas.
para volver a prestar el servicio de sus sistemas
de información en el caso de una interrupción, así 2) Una introducción, alcance del trabajo, formas de

D
como el tiempo de recuperación requerido por la comunicación, pistas y funcionamiento,
institución para retornar a la operatividad normal administración de los problemas, compensación,
en sus sistemas de información. obligaciones y responsabilidades de los clientes,
garantías y arreglos, fianzas, derechos sobre la
Dentro del contexto de la discusión, deberá tomarse
propiedad intelectual y de información
una decisión sobre los procedimientos de respaldo
confidencial, cumplimiento y jurisdicción legal
(incluyendo quien lo hace y su documentación), así
sobre el contrato, causas de terminación,
como las inversiones en las facilidades de respaldo,
generalidades, firmas y, por último, cronogramas.
para los sistemas importantes que fueron definidos en
las disposiciones del numeral 2) anterior del presente 3) Las obligaciones de confidencialidad y seguridad
Artículo. de la información, así como las situaciones de
emergencia.
CAPITULO VI
4) Arreglos para la terminación del contrato y como
LA TERCERIZACIÓN
resolver disputas. Dentro de este contrato deberá
SECCIÓN ÚNICA mencionar los acuerdos que habiliten a la
institución para operar y mantener la actividad de
ARTÍCULO 38.- Tercerización
la Tercerización, en situaciones en que la entidad
La institución podrá contratar con una entidad externa, externa quiera cesar con el servicio.
la realización de las siguientes actividades: la
5) Las facultades suficientes para que la actividad del
administración, procesamiento y resguardo de las
proveedor de servicios para la institución pueda
operaciones de información, así como el desarrollo de
ser auditada por la institución contratante y por la
CNBS respecto de los servicios contratados.

Compendio de Normas Emitidas - CNBS 7 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

6) El procedimiento por el cual la institución pueda SECCIÓN II

obtener los datos, los programas fuentes, los
CONTRATACIÓN PARA PROVEER LOS SERVICIOS
manuales, y la documentación técnica de los
DE BANCA ELECTRÓNICA
sistemas, ante cualquier situación que pudiera
sufrir el proveedor externo por la cual dejara de ARTÍCULO 42.- Contrato de Prestación de Servicios
prestar sus servicios o de operar en el mercado, a
El contrato de servicios de banca electrónica, deberá
fin de poder asegurar la continuidad del
ser firmado por el cliente permitiéndole seleccionar el
procesamiento.
nivel de servicio que requiera. La institución le
7) Exigir una completa separación de datos del otorgará a cada cliente los medios de identificación
cliente respecto de los del proveedor o de para poder conectarse a los servicios de banca
cualquier otra institución. electrónica, de acuerdo a las políticas de seguridad de
la institución.
Lo dispuesto en el presente Artículo no exime, a la

A
institución, de responsabilidad por cualquier actividad Cuando se utilicen contraseñas como mecanismo de
ilegal efectuada por el proveedor con respecto de los control de acceso, las instituciones deberán capacitar a
servicios contratados. sus clientes en la creación y administración de
contraseñas seguras o fuertes.

D
CAPITULO VII
La institución no deberá ofrecer servicios de banca
SERVICIOS FINANCIEROS POR MEDIOS
electrónica a sus clientes, utilizando medios que
ELECTRÓNICOS

A
intencionalmente eviten que reciba servicios similares
SECCIÓN I de otra institución o de otros proveedores de servicios
o de información.
SERVICIOS Y OPERACIONES DE BANCA

G
ELECTRÓNICA SECCIÓN III
ARTÍCULO 40.- Servicios y Operaciones de Banca REVELACIÓN DE INFORMACIÓN
Electrónica
ARTÍCULO 43.- Revelación de Información

O
Los servicios y operaciones de banca electrónica,
El contrato de servicio deberá contener las
permitirán a los clientes obtener información de sus
condiciones, responsabilidades, excepciones y riesgos
cuentas, realizar operaciones o dar instrucciones para

R
de la utilización de los servicios que la institución
realizar transacciones en su nombre, a través de los
provee a través de su banca electrónica.
sistemas electrónicos conectados al sistema de
producción de la institución.

E
Asimismo, deberá revelarle al cliente los principios de
ARTÍCULO 41.- Niveles de Servicios seguridad que la institución haya adoptado para
minimizar tales riesgos, así como recomendar a sus
Los servicios de banca electrónica se categorizarán en
clientes las maneras de protegerse contra estos

D
distintos niveles, e incluirán los servicios de los niveles
riesgos. Adicionalmente, deberá informar a sus clientes
que les preceden.
que los aspectos antes mencionados no disminuyen la
- Nivel de Servicio 1: Transferir información desde la responsabilidad correspondiente a cada uno, según
institución hacia el cliente (estados de cuentas). sea el caso.
- Nivel de Servicio 2: Transacciones y actividades SECCIÓN IV
en las cuentas del cliente de la institución, como
MEDIOS DE IDENTIFICACIÓN Y AUTORIZACIÓN
son: transferencia hacia depósitos, adquisición de
fianzas, transferencia de cuenta a cuenta, solicitud ARTÍCULO 44.- Medios de Identificación
de chequeras y cualquier otra transacción similar.
En cumplimiento a las disposiciones establecidas en el
- Nivel de Servicio 3: Transacciones definidas, por Artículo 24, la institución deberá determinar los medios
adelantado, por el cliente, en beneficio de una lista de identificación para cada cliente que tenga
de beneficiarios. autorización de acceso a los servicios.
- Nivel de Servicio 4: Transacciones en beneficio de El mecanismo de identificación de acceso para la Red
cuentas, que no están incluidas en uno de los de Cajeros Automáticos (ATMs) y de terminales de
niveles de servicios antes mencionados. servicio deberá incluir como mínimo dos (2) de los
siguientes tres (3) requisitos:
Cuando los servicios de banca electrónica incluyan la
posibilidad de actualizar información particular o (1) Algo que conoce el cliente;
personal del cliente, la institución será responsable de
(2) Algo que le pertenece al cliente; y,
verificar la información antes de ser aplicada a las
bases de datos de producción.

Compendio de Normas Emitidas - CNBS 8 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

(3) Algo que identifique físicamente al cliente Una institución podrá desbloquear contraseñas
(característica biométrica, por ejemplo huella inhabilitadas debiendo identificar plenamente al
digital, iris del ojo, voz, etc.). usuario que lo solicite. En todo caso, deberá cumplirse
con lo dispuesto en el Artículo 46.
Cuando la identificación se realice por los medios de
identificación provistos en el numeral (2) anterior, la SECCIÓN VI
institución deberá aplicar una tecnología que prevenga
MEDIDAS DE CONTROL
la posibilidad que instituciones no autorizadas
reconstruyan datos a que se refiere dicho numeral. ARTÍCULO 49.- Aplicación de Medidas de Control de
Banca Electrónica
ARTÍCULO 45.- Definición del Perfil de Usuario de
Banca Electrónica Las disposiciones de esta sección aplican al software
de banca electrónica desarrollado por terceros
El perfil del usuario de banca electrónica deberá
(outsourcing) o internamente por la institución.
definirse con los permisos y accesos conforme lo

A
establecido en el contrato de servicios. ARTÍCULO 50.- Validaciones
SECCIÓN V Las aplicaciones deben efectuar validaciones en todos
los campos de entrada ubicados en las formas de las

D
ADMINISTRACIÓN DE LAS CONTRASEÑAS
mismas, las validaciones deben incluir como mínimo
ARTÍCULO 46.- Asignación de Contraseña de Acceso controles de longitud máxima y mínima permitida, así
como caracteres permitidos en los campos. La

A
La contraseña inicial se le otorgará al cliente en forma
aplicación no debe ejecutar instrucciones directamente
personal y ésta será confidencial para terceros.
a la base de datos, en lugar de esto se deberán utilizar
La contraseña inicial deberá ser otorgada al cliente en mecanismos alternos, como procedimientos

G
la institución o por cualquier otro canal de almacenados.
comunicación seguro que la institución esté utilizando.
Todas las transacciones de los usuarios deben ser
Para activar una cuenta de usuario la institución almacenadas en una bitácora que permita revisiones.

O
deberá implantar los mecanismos que garanticen el no
ARTÍCULO 51.- Proceso de Encriptación
repudio por parte del cliente.
El proceso de encriptación de las contraseñas debe
ARTÍCULO 47.- Cambios de Contraseñas

R
realizarse a través de algoritmos de encriptación
La institución deberá realizar los cambios de las mundialmente aceptados y que no se hayan
contraseñas de los usuarios en los casos siguientes: descifrado; también debe incluir un Valor SALT para

E
proteger la contraseña contra ataques de diccionario o
(1) Inmediatamente después de la primera conexión.
fuerza bruta. En el código de la aplicación no debe
El programa deberá pedirle al cliente cambiar su
estar escrita ninguna contraseña o llave para encriptar
contraseña inicial.
contraseñas.

D
(2) Periódicamente, de acuerdo al tiempo definido en
ARTÍCULO 52.- Implementación de Controles
la política de seguridad definida por la institución.
La aplicación debe implantar controles que minimicen
ARTÍCULO 48.- Cancelación de Contraseñas de
el riesgo que la sesión de un usuario pueda ser
Acceso
obtenida o interceptada por un tercero para obtener
La institución deberá cancelar las contraseñas de sus acceso al sistema con credenciales previamente
usuarios cuando ocurra alguno de los siguientes casos: ingresadas.
(1) Si pasa un período de tiempo, el cual no debe ser La identificación o administración de la sesión debe ser
superior a treinta (30) días y la contraseña inicial llevada a cabo por la aplicación y no por el Servidor de
no ha sido utilizada; Internet de la institución, la aplicación debe generar un
número único y aleatorio de sesión para cada nueva
(2) Cuando el usuario lo requiera o cuando la
sesión.
institución sospeche que la contraseña fue
utilizada sin la respectiva autorización; La aplicación debe eliminar las sesiones inactivas
después de determinado período de tiempo.
(3) Después de un número de intentos fallidos para
entrar al sistema. Éste número deberá ser ARTÍCULO 53.- Separación de Servidores
determinado por la institución, el cual no deberá
La base de datos de la institución debe estar en un
exceder más de cinco (5) intentos fallidos; y,
servidor separado del servidor de Internet o servidor de
(4) Después de seis (6) meses de no utilizar las aplicaciones.
contraseñas en los sistemas para los que fueron
ARTÍCULO 54.- Proceso de Autenticación de Usuario
creados.

Compendio de Normas Emitidas - CNBS 9 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

Para autenticar a un usuario la aplicación deberá en la La institución deberá tomar las medidas que estén
medida de lo posible solicitar además del usuario y la dentro de su control para evitar el acceso no
contraseña, un campo de control con letras y números autorizado. También deberá proteger la exposición de
aleatorios que el usuario debe ingresar a fin de evitar información, tal como la relativa a la cuenta del cliente,
ataques de denegación de servicio automatizado. prevenir que se pueda guardar la contraseña en el
explorador de Internet, prevenir que se puedan
En caso de no cumplir con el párrafo anterior, el
almacenar las páginas de Internet en la memoria caché
nombre de usuario no debe ser una dirección de correo
y otros datos y mecanismos que expongan los datos
electrónica o algún valor que pueda ser adivinado y
sensibles del cliente.
utilizado para efectuar ataques de diccionario o fuerza
bruta. SECCIÓN VII
Esta página de ingreso y en general todas la páginas OPERACIONES DE BANCA ELECTRÓNICA A FAVOR
del aplicativo deben transmitir la información a través DE TERCEROS, POR MEDIO DE UNA LISTA DE

A
de un canal seguro, que garantice que la información BENEFICIARIOS
no se envíe en claro y que el usuario tenga certeza de
ARTÍCULO 60.- Transacciones de Banca Electrónica a
quien le solicita sus credenciales.
Favor de Terceros

D
Si el usuario ingresó sus credenciales en forma
Las transacciones a favor de terceros, que realice un
equivocada, la aplicación deberá presentar un mensaje
cliente por medios electrónicos deberán sujetarse a
de error genérico, por ejemplo “Acceso no Autorizado”
techos o topes que deberán ser definidos en la forma

A
y no presentar mensajes descriptivos como “Usuario
siguiente:
no Existe” o “Contraseña Incorrecta”.
- Los topes o techos serán determinados por la
Para evitar que un atacante obtenga información que le
institución y/o cliente para aplicar a las

G
ayude a conocer detalles particulares de la tecnología
transacciones que acrediten las cuentas de los
utilizada y así enfocar sus acciones, la aplicación debe
beneficiarios a que se refiere el Artículo 61.
capturar y manejar todos los mensajes y condiciones
de error que puedan presentarse durante una sesión, - Los techos o topes para las transacciones que

O
incluyendo mensajes del sistema operativo o de la acrediten a otras cuentas se sujetarán al
base de datos. procedimiento descrito en el Artículo 62.

R
ARTÍCULO 55.- Medidas de Resguardo para ARTÍCULO 61.- Transmisión de Datos
Información Útil
Cuando el cliente imparta una instrucción para efectuar
Las aplicaciones deben asegurar que ningún un pago a un tercero a través del servicio de banca

E
parámetro con información útil para un posible electrónica, la institución deberá requerirle que
atacante viaje a través del navegador del cliente y así especifique las particularidades del beneficiario y la
evitar que estos parámetros puedan ser manipulados, naturaleza y frecuencia de pago.

D
incluyendo las consultas a nivel de URL.
La institución deberá transmitir los datos del pagador y
ARTÍCULO 56.- Acceso Restringido cuando fuese posible, la naturaleza y frecuencia de
pago, así como presentarlos claramente en el resumen
La aplicación debe asegurar que los usuarios de la
de la cuenta del beneficiario.
misma tengan acceso solamente a las funciones,
recursos y datos que están específicamente ARTÍCULO 62.- Establecimiento de Techos para las
autorizados a acceder. Operaciones Autorizadas
ARTÍCULO 57.- Acceso al Sistema de Banca Los montos máximos de las transacciones para
Electrónica acreditar a otras cuentas, serán determinados para
cada cliente por la institución, y deberán ser
En cada acceso al sistema de banca electrónica, la
respetados tanto por el cliente como por la institución.
pantalla deberá mostrar al cliente, detalles del tiempo
de su última conexión y la dirección IP de donde se ARTÍCULO 63.- Lista de Beneficiarios
conectó.
La institución deberá mantener almacenada en medios
ARTÍCULO 58.- Impresión y/o Resguardo de electrónicos, una lista de beneficiarios por cada cliente
Instrucciones que use el servicio de banca electrónica, la cual deberá
ser aprobada y actualizada por el cliente.
El usuario podrá, hasta donde sea posible, guardar y/o
imprimir en tiempo real, todos los por menores de la Al cliente se le deberá permitir enviar las
instrucción que fue dada. modificaciones de la lista de beneficiarios directamente
a la institución o en forma electrónica, según lo
ARTÍCULO 59.- Medidas para Evitar Accesos no
considere más conveniente la institución. El envío
Autorizados
electrónico estará condicionado a la utilización de

Compendio de Normas Emitidas - CNBS 10 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

tecnología provista en el segundo párrafo del Artículo ARTÍCULO 68.- Remisión de Información
27.
La institución deberá llevar registros, estadísticas y a la
ARTÍCULO 64.- Actualización de Lista de Beneficiarios vez comunicar a la Comisión, los siguientes temas y
eventos:
El cliente deberá mantener actualizada su lista de
beneficiarios y todas sus particularidades, incluyendo 1) Eventos excepcionales tales como: intentos de
los techos o topes de los pagos a favor de cada ataques y penetraciones significativas, así como
beneficiario. Cada institución deberá informar a sus todos los incidentes de penetración a los sistemas;
clientes las implicaciones en caso de que el cliente no inoperatividad del sistema central o de producción,
mantenga actualizada la lista. operación del plan de emergencia o cualquier otro
similar;
SECCIÓN VIII
2) La discontinuidad de servicios significativos para
CORREO ELECTRÓNICO
sus clientes, como consecuencia de un cierre no

A
ARTÍCULO 65.- Correo Electrónico planificado de los sistemas computarizados que
dure más de un día de trabajo;
La institución deberá determinar los tipos de
operaciones que sus clientes podrán realizar por medio 3) El establecimiento de una sociedad relacionada o

D
de correo electrónico. auxiliar que se ocupe del campo de las tecnologías
de información de la institución; para lo cual
La institución deberá tomar en cuenta el grado de
requerirá autorización previa de la Comisión

A
necesidad de inequívoca identificación de un cliente
conforme a la norma sobre sociedades auxiliares o
enviando correo electrónico, de autenticación y de
de servicios esenciales a las actividades de
aseguramiento de los contenidos del mensaje,
intermediación financiera;
preservando la confidencialidad en la información y el

G
no repudio, conforme a los tipos de operaciones 4) La decisión de anticipar cambios significativos
señaladas en el párrafo anterior. sobre las políticas de administración de las
tecnologías de información, la migración y
ARTÍCULO 66.- Procedimiento Formalizado

O
conversión de sus sistemas centrales
La institución deberá contar con un procedimiento computarizados; y,
formalizado para mantener comunicaciones
5) La decisión de expandir los niveles de servicio o

R
electrónicas con los clientes.
una nueva iniciativa de proporcionar servicios
ARTÍCULO 67.- Envío de Normas de Revelación de financieros por Medios Electrónicos.
Información

E
ARTÍCULO 69.- Programa de Reporte de Eventos
La institución podrá hacer llegar a sus clientes, por
Los reportes señalados en los numerales 1) y 2) del
medio de correo electrónico o por su sitio de Internet,
Artículo anterior, deberán ser registrados utilizando el
las notificaciones que sus políticas o normas de

D
Programa de Reporte de Eventos que está a
revelación de información le permitan, así como
disposición de las instituciones supervisadas en la red
cualquier otra información relacionada a las
de interconexión financiera de la CNBS.
obligaciones de confidencialidad y estas notificaciones
deberán estar estipuladas en el contrato que el usuario Los reportes mencionados en el Artículo 68 numerales
firma según lo establecido en los artículos 42 y 43. 3) al 5) y la comunicación a que se refiere el Artículo
Adicionalmente, deberán cumplirse a cabalidad los 70, deberán ser enviadas a la Comisión con la
siguientes términos y condiciones: documentación que soporta tal evento.
(1) La terminación de los servicios a requerimientos Los reportes establecidos en los numerales 1) y 2) del
del cliente. Artículo anterior, deberán enviarse dentro de los
siguientes tres días hábiles a la fecha en que hubiere
(2) La existencia de mecanismos o medios que
ocurrido el evento. Los reportes establecidos en los
permitan a la institución determinar
numerales 3) al 5) del mismo, deberán ser enviados
inequívocamente si el cliente recibió el correo.
con treinta (30) días de anticipación a su entrada en
(3) La transmisión de correo de la institución hacia el funcionamiento.
cliente deberá hacerse a través de un ambiente
CAPÍTULO IX
seguro, tomando las medidas apropiadas que
protejan la confidencialidad de la información. BANCA DEL EXTERIOR Y MEDIDAS DE SEGURIDAD
CAPÍTULO VIII SECCIÓN I
OPERACIONES ESPECIALES BANCA DEL EXTERIOR
SECCIÓN ÚNICA ARTÍCULO 70.- Aplicación Especial

Compendio de Normas Emitidas - CNBS 11 de 14

 Normas para regular la administración de las
22 de noviembre de 2005 Tecnologías de Información y Comunicaciones

La aplicación de las presentes normas a las produzca interrupción o discontinuidad de las

instituciones subsidiarias de instituciones extranjeras o operaciones normales de la institución.
miembros de Grupos Financieros extranjeros que
CAPÍTULO X
operan en el territorio nacional, podrá adaptarse a sus
necesidades particulares previa comunicación a la DISPOSICIONES FINALES Y TRANSITORIAS
Comisión, cuando utilicen sistemas, medios, o
SECCIÓN ÚNICA
procedimientos establecidos en o por sus casas
matrices. ARTÍCULO 73.- Plazo de Adecuación
ARTÍCULO 71.- Banca del Exterior Las instituciones del sistema financiero tendrán un
plazo de un (1) año, contado a partir de la entrada en
Cuando las presentes normas se apliquen a las
vigencia de las presentes normas, para adecuarse a su
instituciones subsidiarias de instituciones extranjeras o
cumplimiento.
miembros de Grupos Financieros extranjeros que

A
operan en el territorio nacional, se incorporarán las ARTÍCULO 74.- Continuidad de Contratos
siguientes modificaciones al texto:
Las instituciones del sistema financiero deberán darle
a) La expresión “tecnologías de información y continuidad hasta su vencimiento de conformidad con

D
comunicaciones”, deberá completarse con la los términos pactados a actividades contratadas antes
frase “que incluyan las interfaces de estos de la entrada en vigencia de las presentes normas.
sistemas con el sistema de la institución
ARTÍCULO 75.- Vigencia

A
extranjera”.
Las presentes normas entrarán en vigencia a partir de
b) La siguiente expresión deberá añadirse como
la fecha de su publicación en el diario oficial “La
segundo párrafo al Artículo 21: “Una copia del
Gaceta”.

G
Reporte Detallado deberá ser enviado para el
conocimiento de la persona responsable de la 2. La presente Resolución es de ejecución inmediata.”
seguridad de información de la institución
matriz”.
c)

R O
Deberá agregarse al Artículo 37 de estas
normas: “La institución bancaria o financiera
extranjera deberá tener almacenado, en todo
tiempo, en sus sistemas de información en
Honduras, la información personal de todos
ANA CRISTINA DE PEREIRA
Presidenta

E
los cuentahabientes, de los representantes
legales, de los derechos de firma, así como de
los saldos actuales de las cuentas que se
manejan en Honduras”.

D
FRANCISCO ERNESTO REYES
SECCIÓN II Secretario a.i.
MEDIDAS DE SEGURIDAD
ARTÍCULO 72.- Controles de Seguridad
Para proteger sus sistemas las instituciones deberán
incorporar como mínimo en todas sus redes los
controles de Seguridad siguientes:
a) Sistemas de Detección y/o Prevención a nivel de
todas sus redes que generen alertas oportunas a
los administradores de la red, para que se tomen
las medidas pertinentes.
b) Un Antivirus Corporativo actualizado tanto en las
estaciones de trabajo fijas y portátiles como en los
servidores.
c) Un mecanismo que actualice automáticamente los
sistemas operativos, base de datos y programas
de oficina. Estas actualizaciones deberán
probarse primero, en ambientes controlados para
prevenir que la instalación de las actualizaciones

Compendio de Normas Emitidas - CNBS 12 de 14