Norma Legal Oficial del día 02 de noviembre del año 2013 (02/11/2013)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 37
El Peruano Sabado 2 de noviembre de 2013
506395
2. No guardar o almacenar en bases de datos manuales o computarizadas la informacion de la tarjeta, mas alla de utilizarla para solicitar la autorizacion de una operacion. 3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable. Articulo 20°.- Requerimientos de seguridad en caso de subcontratacion En los casos de subcontratacion, que las empresas realicen para la provision de servicios con tarjetas, es de aplicacion la regulacion vigente sobre subcontratacion; en particular, debe formalizarse en los acuerdos con terceros para la aceptacion de las tarjetas, la necesidad del cumplimiento de estandares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas.
oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticacion de multiple factor. La Superintendencia podra establecer, mediante oficio multiple, montos minimos a partir de los cuales se exija la MORDAZA de un documento oficial de identidad. 6. En el caso de operaciones de retiro o disposicion de efectivo, segun corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra informacion similar, debera requerirse la clave secreta del usuario, en cada oportunidad, sin importar el MORDAZA utilizado para tal efecto. Articulo 18°.- Medidas en materia de seguridad de la informacion Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestion de seguridad de la informacion y de continuidad del negocio. Asimismo, en torno al almacenamiento, procesamiento y transmision de los datos de las tarjetas que emitan, las empresas deberan implementar los siguientes controles especificos de seguridad: 1. Implementar y mantener la configuracion de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados. 2. Implementar politicas para evitar el uso de clave secreta y parametros de seguridad predeterminados provistos por los proveedores de servicios de tecnologia. 3. Implementar politicas de almacenamiento, retencion y de eliminacion de datos, asi como para el manejo de llaves criptograficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retencion a lo estrictamente necesario segun requerimientos legales, regulatorios y de negocio. 4. Implementar mecanismos de cifrado para la transmision de los datos del usuario en redes publicas. 5. Implementar y actualizar software y programas antivirus en computadores y servidores. 6. Mantener sistemas informaticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar practicas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas. 7. Implementar politicas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciendolo al estrictamente necesario. 8. Implementar politicas de asignacion de un identificador unico a cada persona que acceda a traves de software a los datos de los usuarios. 9. Implementar controles de acceso fisico para proteger los datos de los usuarios, restringiendolo unicamente a personal autorizado, propio o de terceros. 10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios. 11. Efectuar analisis de vulnerabilidades periodicos a la red interna y pruebas de penetracion externas e internas, asi tambien luego de cambios significativos en la red o sistemas informaticos. 12. Implementar lineamientos y procedimientos de seguridad de la informacion especificos, incluyendo un programa formal de capacitacion en seguridad de la informacion, en funcion a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violacion de seguridad que sea probado anualmente. Articulo 19°.- Medidas de seguridad en los negocios afiliados Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, asi como para dar cumplimiento a las condiciones de uso senalados en el Reglamento, por parte de los operadores o establecimientos afiliados. En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, deberan asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos: 1. Contar con procedimientos de aceptacion de las operaciones, incluyendo entre otros la verificacion de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable.
SUBCAPITULO II OBLIGACIONES ADICIONALES DE LAS EMPRESAS
Articulo 21°.- Mecanismo de comunicacion a disposicion de los usuarios Las empresas deberan contar con infraestructura y sistemas de atencion, propios o de terceros, que permitan a los usuarios comunicar el extravio o sustraccion de la tarjeta o de su informacion, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura debera encontrarse disponible las veinticuatro (24) horas del dia, todos los dias del ano. Se deberan registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicacion, se debera generar un codigo de registro a ser informado al usuario como MORDAZA de la recepcion de dicha comunicacion. Asimismo, se debera enviar al titular de las tarjetas una MORDAZA del registro de la comunicacion efectuada, a traves de medios fisicos o electronicos, segun eleccion del propio usuario. La informacion referida a los mecanismos de comunicacion establecidos por la empresa, para dar cumplimiento a lo dispuesto en los parrafos precedentes, debera encontrarse publicada en la parte inicial de la pagina web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea facilmente identificable. Lo expuesto en el presente articulo resulta aplicable, sin perjuicio de las demas exigencias establecidas por el MORDAZA normativo vigente en materia de atencion de reclamos. Articulo 22°.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos: 1. Mecanismos para la comunicacion inmediata al usuario sobre las posibles operaciones de fraude. 2. Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario. Articulo 23°.- Responsabilidad por operaciones no reconocidas Ante el rechazo de una transaccion o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas seran responsables de demostrar que las operaciones fueron autenticadas y registradas. El usuario no es responsable de ninguna perdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad: 1. Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravio, sustraccion, robo, hurto o uso no autorizado de la tarjeta, o de la informacion que contiene. 2. Por incumplimiento de lo dispuesto por el articulo 21° del Reglamento. 3. Cuando las tarjetas hayan sido objeto de clonacion. 4. Por el funcionamiento defectuoso de los MORDAZA o sistemas puestos a disposicion de los usuarios por las empresas para efectuar operaciones. 5. Por la manipulacion de los cajeros automaticos de la empresa titular u operadora de estos o los ambientes en que estos operan. 6. Cuando se MORDAZA producido la suplantacion del usuario en las oficinas.