TEXTO PAGINA: 42
42 NORMAS LEGALES Martes 23 de febrero de 2021 / El Peruano este Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales, previo a lo cual debe evaluar formalmente y tomar medidas sobre: a) El o los factores de autenticación que serán requeridos. b) Estándares criptográ fi cos vigentes, basados en software o en hardware, y sus prestaciones de confi dencialidad o integridad esperadas. c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas. d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes. e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información. 17.2 Los procesos de autenticación deben ser reevaluados siempre que la tecnología utilizada para su implementación deje de contar con el soporte del fabricante, o tras el descubrimiento de nuevas vulnerabilidades que pueden exponerlos. 17.3 La empresa debe mantener y proteger los registros detallados de lo actuado en cada enrolamiento de usuario, intento de autenticación y cada operación que requiera de autenticación previa. 17.4 La empresa debe contar con herramientas y procedimientos para implementar el monitoreo de transacciones que permita tomar medidas de reducción de la posibilidad de operaciones fraudulentas, que incorpore los escenarios de fraude ya conocidos, y el robo o compromiso de los elementos utilizados para la autenticación. Artículo 18. Enrolamiento del usuario en servicios provistos por canal digital 18.1 El enrolamiento de un usuario en un canal digital requiere por lo menos: a) Veri fi car la identidad del usuario y tomar las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que incluye el uso de dos factores independientes de categorías diferentes, según el literal j) del artículo 2 de este Reglamento. b) Generar las credenciales y asignarlas al usuario. 18.2 La empresa debe gestionar el ciclo de vida de las credenciales que genere y asigne a sus usuarios, para lo cual debe prever los procedimientos para su activación, suspensión, reemplazo, renovación y revocación; así también, cuando corresponda, asegurar su con fi dencialidad e integridad. Artículo 19. Autenticación reforzada para operaciones por canal digital Se requiere de autenticación reforzada para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente, como las operaciones a través de un canal digital que impliquen pagos o transferencia de fondos a terceros, registro de un bene fi ciario de con fi anza, modi fi cación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, modi fi cación de límites y condiciones, para lo cual se requiere: a) Utilizar una combinación de factores de autenticación, según el literal j) del artículo 2 del presente Reglamento que, por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro. b) Generar un código de autenticación mediante métodos criptográ fi cos, a partir de los datos especí fi cos de cada operación, el cual debe utilizarse por única vez. c) Cuando la operación sea exitosa, noti fi car los datos de la operación al usuario.Artículo 20. Exenciones de autenticación reforzada para operaciones por canal digital 20.1 Están exentas del requisito de autenticación reforzada indicado en el artículo 19 del presente Reglamento, las siguientes operaciones realizadas por canal digital: a) Las operaciones de pago, pagos periódicos o transferencia hacia un bene fi ciario registrado previamente por el usuario como bene fi ciario de con fi anza, como destinatario usual de dichas operaciones. b) Las operaciones de pago, pagos periódicos o transferencias a cuentas en las que el cliente y el bene fi ciario sean la misma persona, sea natural o jurídica, y siempre que dichas cuentas se mantengan en la misma empresa. 20.2 Las operaciones de pago que presenten un nivel de riesgo de fraude bajo, como resultado de un análisis del riesgo en línea por operación, están exentas de la autenticación reforzada, siempre que la empresa cumpla con: i. Implementar alguno de los estándares de la industria de pagos, EMV 3DS y tokenización de pagos EMV, en sus versiones más recientes. ii. De fi nir el monto de umbral por operación por debajo del cual aplicará la exención por el citado análisis de riesgos. iii. Medir periódicamente el ratio de fraude de las operaciones de pago por canal y tipo de operación. iv. Actualizar periódicamente las reglas aplicables en el análisis de riesgo en función al indicador de riesgo de fraude. v. Utilizar los datos que estén disponibles por cada tipo de operación, que incluye, pero no se limita a, los asociados al comportamiento del usuario, al medio utilizado y los que de este se pueda obtener para fi nes del análisis de riesgo. 20.3 Las operaciones no reconocidas por los clientes que hayan sido efectuadas en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales, son responsabilidad de la empresa, para lo cual deben implementar mecanismos que ante el repudio de la operación por parte del usuario garanticen su aplicación inmediata. Artículo 21. Uso de API para la provisión de servicios en línea 21.1 El uso de interfaces de programación de aplicaciones, para proveer servicios para realizar operaciones, a través de servicios de terceros, requiere que se implementen las siguientes medidas: a) Análisis de riesgos asociados e implementar las medidas de mitigación. b) La autenticación mutua de los sistemas y la de los usuarios. c) La autorización de las operaciones por parte de los usuarios. d) El cifrado de datos en almacenamiento o transmisión. e) Prácticas de desarrollo seguro de API y revisión de prácticas de codi fi cación segura. f) Análisis de vulnerabilidades y pruebas de penetración. g) La seguridad de la infraestructura tecnológica que lo soporta. h) Los mecanismos de tolerancia ante fallos y de contingencia. i) Control de accesos en el entorno de datos, sistemas e infraestructura. j) Monitoreo de eventos de seguridad de la información y gestión de estos cuando se constituyan en incidentes. 21.2 La empresa debe tomar como referencia estándares y marcos de referencia internacionales, y