Grupo Redinfo | Cumplimiento Normativo
Gestión de Tecnologías y Seguridad de la Información
PMG PMG-SSI Seguridad de la Información Seguridad Informática Ethical Hacking Circular 40 SBIF PCI-DSS PCI SAS-70 SOC-1 sas 70 soc 1 SGC ISO 9000
13952
page,page-id-13952,page-template,page-template-full_width-php,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Cumplimiento Normativo

Cumplimiento Normativo

Cumplimiento Normativa Superintendencia de Bancos e Instituciones Financieras – SBIF

Instituciones de Gobierno – Programa de Mejoramiento de la Gestión – Sistema de Seguridad de la Información

Emisores y Procesadoras de Tarjetas de Crédito - Circular No. 40 del 22 de Junio de 2013, Punto 7 - Anexo No. 3 Evaluación de la Calidad de la Gestión y Control de Riesgos.

Asesoría e Implementación:

  • Medidas de seguridad para considerar prevenir el uso indebido de la tarjeta y cautelar la integridad y certeza de las transacciones.
  • Identificación de redes y sistemas disponibles, para la transmisión electrónica de la autorización y captura de las transacciones efectuadas.
  • Administración de contratos terceros prestadores de servicio
  • Definición de planes que garanticen la continuidad del servicio, así como los procedimientos de contingencia y definición de eventuales compensaciones, ante una interrupción de los mismos.
  • Gestión de la seguridad y el oportuno procesamiento y validación de las transacciones, así como la definición de obligaciones económicas de terceros que se originen ante errores y transacciones indebidas.
  • Identificación, evaluación, control y monitoreo de los riesgos operacionales significativos
  • Definición de mapas de riesgo priorizados, actualizados y agrupados de acuerdo a procesos internos, recursos humanos, sistemas informáticos y eventos externos.
  • Definición de procedimientos de resguardo contemplan la homologación y certificación de dispositivos y terminales; mecanismos anti-tamper (captura de datos del cliente); capacidad de encriptación de la información sensible del tarjetahabiente en el punto de origen de ingreso de la tarjeta por el cliente, de las transacciones y claves, así como también la administración de estas últimas.
  • Definición de controles de seguridad físicos y lógicos, tales como accesos debidamente autorizados, técnicas de autenticación robusta de tarjetahabientes, tanto a través de terminales de captura como a través de redes públicas, tales como Internet o redes privadas.
  • Implementación de una apropiada configuración de las redes, uso de firewalls, y las herramientas de detección de intrusos son elementos fundamentales en la protección de la red que se utiliza en el sistema de pagos.
  • Definición de sistemas de autenticación robusta para transacciones realizadas sin presencia de tarjetas, por ejemplo a través de redes públicas de comunicación, como es el caso de Internet o vía telefónica.
  • Definición de políticas y procedimientos para administrar la calidad de los servicios, productos e información.
  • Definición de estrategias para abordar la gestión de proyectos y metodologíaspara el desarrollo y adquisición de programas y equipos computacionales.
  • Planificación a mediano y largo plazo para la infraestructura tecnológica.
  • Definición de sistemas para la prevención y detección de fraudes, que permiten advertir la presencia de transacciones irregulares y reaccionar oportunamente con procedimientos de bloqueo e información inmediata a los clientes que pudieren haber sido afectados por actos fraudulentos, como es caso de la obtención de claves por cualquier medio, o la captura de los datos almacenados en bandas magnéticas o chips mediante dispositivos electrónicos.
  • Definición del proceso de planificación de la continuidad del negocio, que abarca aspectos comerciales, operativos y tecnológicos, y que considera en sus diferentes etapas, la evaluación de impacto y criticidad de sus servicios y productos, la definición de estrategias de prevención, contención y recuperación, así como pruebas periódicas de tales estrategias.
  • Definición de un sitio alternativo de procesamiento de datos ante un escenario de contingencia mayor.
  • Definición de acuerdos y niveles de serviciopara la externalización con terceras partes.
  • Definición de estándares de seguridad físicos y de la información del proveedor de servicios externos, y de continuidad del negocio en aquellas funciones delegadas que así lo requieran.
  • Definición de un modelo de reportes de gestión.
  • Realización de auditorías independientes para cubrir adecuadamente la necesidad de examinar el cumplimiento de laspolíticas y procedimientos, la efectividad de los controles, los sistemas de información y la adopciónoportuna de medidascorrectivaspor parte de las áreas auditadas, informando directamente al Directorio de las debilidades relevantes.

Bancos e Instituciones Financieras - Circular No. 3.558 (Capítulo 1-13) del 12 de Noviembre de 2013

Asesoría e Implementación:

Punto 3.2 Administración y control de los riesgos y otras materias sujetas a evaluación, Sección C) Administración del riesgo operacional:

  • Planificación para la infraestructura tecnológica
  • Estructura de administración de Seguridad de la Información
  • Planes de Continuidad de Negocios
  • Desarrollo de Políticas, procesos y procedimientos
  • Desarrollo de Sistema de Gestión de Calidad
  • Auditorias internas.

 

Instituciones de Gobierno – Municipalidades – PMG/MEI-SSI 2014

Desde el año 2010 junto a las instituciones de gobierno para la implementación de este Programa de Mejoramiento de la Gestión, con una efectividad y aprobación de un 100%.

Los servicios de consultoría están diseñados para entregar una metodología concreta de implantación del sistema de seguridad de la información, de manera de habilitar a la institución en el desarrollo de cada una de las actividades específicas para el cumplimiento de lo comprometido con las autoridades para el presente PMG-SSI

El detalle de actividades, se detalla a continuación:

Revisión de la evaluación de los controles específicos priorizados de la ISO/IEC 27001:2005 utilizando el instrumental provisto por la red de expertos del PMG-SSI, distribuidos en sus 11 dominios.

Revisión y actualización de acuerdo a la metodología vigente – 2014, del levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

Generación de todas las evidencias requeridas para el cumplimiento eficaz de las etapas involucradas en el PMG SSI de la Dirección de Presupuestos y el Ministerio del Interior, considerando lo siguiente:

 

Actualización de Etapa I de “Diagnóstico sobre los activos de información y análisis de riesgos”:

  • Diagnóstico actualizado de acuerdo a nueva metodología, considerando el levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

 

Actualización de Etapa II de “Planificación y evaluación de indicadores”:

  • Revisión Plan General de Implementación del SSI en la institución, incorporando los nuevos proyectos en base al análisis de riesgos de los activos de información realizado (revisión y actualización).
  • Definición de indicadores de eficacia para los controles implementados, forma de cálculo, frecuencia de medición, metas, medios de verificación y supuestos.

Creación de:

  • Política General de Seguridad
  • Resolución de nombramiento Encargado de Seguridad
  • Resolución de nombramiento Comité de Seguridad

 

Ejecución de Etapa III de “Implementación”:

  • Implementación del programa de trabajo, actividades en curso.
  • Registro de Implementación, que contenga:
  • Plazos y Costos
  • Bitácora (historial de eventos de re programación)
  • Gestión de Riesgos realizada
  • Evidencias de cumplimiento (Documentos Referidos), sólo la recopilación de ellos.
  • % de cumplimiento alcanzado

 

Desarrollo de Etapa IV de “Plan general de auditoría de Seguridad”:

  • Desarrollo del Plan General de auditoría e indicadores del SSI en la institución, incorporando la medición del estado de avance de los proyectos generados en base al análisis de riesgos de los activos de información realizado.
  • Definición de indicadores de eficacia para los controles implementados, forma de cálculo, frecuencia de medición, metas, medios de verificación y supuestos y periodicidad de aplicación.
  • Definición de Plan de Mejora Continua y presentación de resultados al Comité de Seguridad y a la institución.

Aplicación de Normas:

  • PCI-DSS
  • SOX – SAS70 – SOC1
  • ISO/IEC 27000
  • ISO/IEC 22301:2013

 

Legislación aplicable:

      • Ley N°19.553, febrero 1998. Concede asignación de modernización y otros beneficios que indica. Ministerio de Hacienda.
      • Decreto N°475. Reglamento Ley 19.553 para la aplicación del incremento por Desempeño institucional del artículo 6° de la Ley y sus modificaciones.
      • Ley N°20.212, agosto de 2007. Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales, con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de Hacienda.
      • Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma. Ministerio de Economía.
      • DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma.
      • Instructivo Presidencial No 05, mayo de 2001: Define el concepto de Gobierno Electrónico. Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico en Chile.
      • Instructivo Presidencial No 06, junio de 2004: Imparte instrucciones sobre la implementación de la firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del Estado, para dotar así de un mayor grado de seguridad a las actuaciones gubernamentales que tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de las personas que suscriben tales documentos.
      • DS N°77. Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la Administración del Estado y entre éstos y los ciudadanos.
      • DS N°81. Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos.
      • DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos electrónicos.
      • DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.
      • DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
      • DS N°100. Norma técnica para el desarrollo de sitios web de los órganos de la Administración del Estado.
      • Ley No 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el derecho de acceso a la información de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.
      • Instrucción General N°2, mayo de 2009, del Consejo para la Transparencia: Designación de Enlaces con el Consejo para la Transparencia.
      • Instrucción General N°3, mayo de 2009, del Consejo para la Transparencia: Índice de Actos o Documentos calificados como secretos o reservados.
      • Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia Activa y Publicidad de la Información de la Administración del Estado.
      • Circular No3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y dispone los materiales necesarios para facilitar la implementación del instructivo presidencial sobre transparencia activa y publicidad de la información de la Administración del Estado.
      • Ley No 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.
      • Instructivo Presidencial N°4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley de Bases de Procedimientos Administrativos.
      • Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales. Ministerio Secretaría General de la Presidencia.
      • Ley No 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública.
      • Ley No 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
      • Ley No 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.
      • Guía Metodológica del Sistema Gobierno Electrónico.
      • Guía Metodológica del Sistema Seguridad de la Información.