TEXTO PAGINA: 37
El Peruano Sábado 2 de noviembre de 2013 506395 ofi cial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante ofi cio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento ofi cial de identidad. 6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con fi nalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto. Artículo 18°.- Medidas en materia de seguridad de la información Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestión de seguridad de la información y de continuidad del negocio. Asimismo, en torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específi cos de seguridad: 1. Implementar y mantener la confi guración de cortafuegos o fi rewalls, enrutadores y equipos similares que componen la red interna, adoptando confi guraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados. 2. Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología. 3. Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográfi cas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio. 4. Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas. 5. Implementar y actualizar software y programas antivirus en computadores y servidores. 6. Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identifi car vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas. 7. Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario. 8. Implementar políticas de asignación de un identifi cador único a cada persona que acceda a través de software a los datos de los usuarios. 9. Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros. 10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios. 11. Efectuar análisis de vulnerabilidades periódicos a la red interna y pruebas de penetración externas e internas, así también luego de cambios signifi cativos en la red o sistemas informáticos. 12. Implementar lineamientos y procedimientos de seguridad de la información específi cos, incluyendo un programa formal de capacitación en seguridad de la información, en función a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violación de seguridad que sea probado anualmente. Artículo 19°.- Medidas de seguridad en los negocios afi liados Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, así como para dar cumplimiento a las condiciones de uso señalados en el Reglamento, por parte de los operadores o establecimientos afi liados. En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afi liados, deberán asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos: 1. Contar con procedimientos de aceptación de las operaciones, incluyendo entre otros la verifi cación de la validez de la tarjeta, la identidad del usuario, y la fi rma en caso de ser aplicable. 2. No guardar o almacenar en bases de datos manuales o computarizadas la información de la tarjeta, más allá de utilizarla para solicitar la autorización de una operación. 3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable. Artículo 20°.- Requerimientos de seguridad en caso de subcontratación En los casos de subcontratación, que las empresas realicen para la provisión de servicios con tarjetas, es de aplicación la regulación vigente sobre subcontratación; en particular, debe formalizarse en los acuerdos con terceros para la aceptación de las tarjetas, la necesidad del cumplimiento de estándares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas. SUBCAPÍTULO II OBLIGACIONES ADICIONALES DE LAS EMPRESAS Artículo 21°.- Mecanismo de comunicación a disposición de los usuarios Las empresas deberán contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deberá encontrarse disponible las veinticuatro (24) horas del día, todos los días del año. Se deberán registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se deberá generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, se deberá enviar al titular de las tarjetas una copia del registro de la comunicación efectuada, a través de medios físicos o electrónicos, según elección del propio usuario. La información referida a los mecanismos de comunicación establecidos por la empresa, para dar cumplimiento a lo dispuesto en los párrafos precedentes, deberá encontrarse publicada en la parte inicial de la página web de la empresa, en las ofi cinas y en cualquier otro medio a criterio de la empresa, siempre que sea fácilmente identifi cable. Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos. Artículo 22°.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos: 1. Mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude. 2. Acciones para proceder con el bloqueo temporal o defi nitivo de la tarjeta, en caso sea necesario. Artículo 23°.- Responsabilidad por operaciones no reconocidas Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas serán responsables de demostrar que las operaciones fueron autenticadas y registradas. El usuario no es responsable de ninguna pérdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad: 1. Cuando estas hayan sido realizadas luego de que la empresa fuera notifi cada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene. 2. Por incumplimiento de lo dispuesto por el artículo 21° del Reglamento. 3. Cuando las tarjetas hayan sido objeto de clonación. 4. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones. 5. Por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan. 6. Cuando se haya producido la suplantación del usuario en las ofi cinas.