ACUERDO INTERBANCARIO

SEGURIDADES FSICAS Y DE LA
INFORMACIN PARA CAJEROS
AUTOMTICOS, PUNTOS DE VENTA, Y
TARJETAS DE CRDITO Y DBITO

ASOCIACIN BANCARIA Y DE ENTIDADES

FINANCIERAS DE COLOMBIA
Bogot, D.C.
Junio de 2006

CONTENIDO
1.

INTRODUCCIN.......................................................................................................................... 4

2.

CONSIDERACIONES .................................................................................................................. 6

3.

SEGURIDAD EN CAJEROS AUTOMTICOS ............................................................................ 7

3.1
SEGURIDAD FSICA............................................................................................................. 8
3.1.1
LOCALIZACIN............................................................................................................. 8
3.1.1.1 SECTOR......................................................................................................................... 8
3.1.1.2 UBICACIN ................................................................................................................... 8
3.1.2
INSTALACIONES .......................................................................................................... 9
3.1.2.1 LOCAL ........................................................................................................................... 9
3.1.2.2 PAREDES ...................................................................................................................... 9
3.1.2.3 PUERTAS..................................................................................................................... 10
3.1.2.4 ILUMINACIN .............................................................................................................. 10
3.1.2.5 CAJA FUERTE DEL CAJERO AUTOMTICO ............................................................ 11
3.1.2.6 ANCLAJE DE LA CAJA FUERTE ................................................................................ 11
3.1.2.7 VENTILACIN ............................................................................................................. 11
3.1.2.8 CERRADURA DE LA PUERTA A LA ZONA USUARIO DEL CAJERO ....................... 11
3.1.2.9 CABLEADO.................................................................................................................. 11
3.1.2.10 ACCESORIOS.......................................................................................................... 12
3.2
SEGURIDAD FSICA A TRAVS DE DISPOSITIVOS ELECTRNICOS.......................... 12
3.2.1
SISTEMA DE ALARMA................................................................................................ 12
3.2.2
CIRCUITO CERRADO DE TELEVISIN..................................................................... 12
3.2.4
CONTROLES DISUASIVOS........................................................................................ 12
3.2.5
SENSORES ................................................................................................................. 13
3.3
OTRAS MEDIDAS DE SEGURIDAD................................................................................... 13
3.3.1
APROVISIONAMIENTO .............................................................................................. 13
3.3.2
INFORMACIN AL CLIENTE ...................................................................................... 13
3.3.3
VISIBILIDAD................................................................................................................. 14
3.3.4
DISTANCIA ENTRE CAJEROS................................................................................... 14
3.3.5
MONITOREO FSICO DE LOS CAJEROS.................................................................. 14
3.3.6
CAPACITACIN .......................................................................................................... 14
3.4
RECOMENDACIONES ....................................................................................................... 15
3.4.1
CAJILLA DE SEGURIDAD PARA LLAVES ................................................................. 15
3.4.2
HALL DE SERVICIO .................................................................................................... 15
3.4.3
ALARMAS .................................................................................................................... 15
3.4.4
BLOQUEO DE TARJETAS .......................................................................................... 15
3.4.5
CALCOMANAS ........................................................................................................... 16
3.4.6
MONITOREO DE TRANSACCIONES ......................................................................... 16
3.4.7
COOPERACIN ENTRE BANCOS............................................................................. 16
3.4.8
PLAN PADRINO .......................................................................................................... 16
3.4.9
REPOSICIN............................................................................................................... 16

4.

SEGURIDAD EN PUNTOS DE VENTA ..................................................................................... 17

4.1
SEGURIDAD FSICA........................................................................................................... 17
4.1.1
MDULOS ESPECIALES............................................................................................ 17
4.1.2
TRUNCAMIENTO ........................................................................................................ 17
4.2
RECOMENDACIONES: ...................................................................................................... 17
4.2.1
PROTECTOR DE PIN PAD ......................................................................................... 17
4.2.2
MANTENIMIENTO ....................................................................................................... 17
5. SEGURIDAD EN DISPOSITIVOS ELECTRNICOS DE ACCESO (TARJETAS DBITO Y
CRDITO).......................................................................................................................................... 18
5.1
5.2
5.3
5.4
5.5
5.6
5.7
6.

CDIGO DE VERIFICACIN Y CLAVE.............................................................................. 19

TRANSPORTE, CUSTODIA Y ENTREGA DE TARJETAS DBITO Y CRDITO .............. 19
COMPROBANTE DE TRANSACCIN ............................................................................... 20
ATENCIN DE RECLAMOS ............................................................................................... 20
ENCRIPTACIN ................................................................................................................. 20
ORIGEN DE LAS TRANSACCIONES ................................................................................. 20
SEGURIDAD FSICA EN LOS PUNTOS DE RETIRO EN OFICINAS. PROTECTOR DE PIN
PAD....................................................................................................................................... 21

SEGURIDAD DE LA INFORMACIN EN LAS COMUNICACIONES ....................................... 21

6.1
6.2
6.3
6.4
6.5
6.6

CERTIFICACIN ................................................................................................................ 21
AUTENTICACIN ............................................................................................................... 22
VALIDACIN....................................................................................................................... 22
ENCRIPTACIN ................................................................................................................. 23
NO RECHAZO..................................................................................................................... 24
CONTROL DE ADMINISTRACIN (PUERTOS Y DIRECCIONES EN LA COMUNICACIN
DE DATOS)........................................................................................................................... 24
6.7
IDENTIFICACIN DE TERMINALES.................................................................................. 25
6.8
INTERCAMBIO DINMICO DE LLAVES ............................................................................ 25
6.9
MONITOREO DE ESTADO DE TERMINALES EN COMUNICACIONES........................... 25
6.10 MANTENIMIENTO DE EQUIPOS ....................................................................................... 25
6.11 MODIFICACIONES A LA CONFIGURACIN DE LA RED DE COMUNICACIONES ......... 26
6.12 RECOMENDACIONES: ...................................................................................................... 26

1. INTRODUCCIN
Las entidades financieras, cuyo principal compromiso con la sociedad est
relacionado con la excelencia en la prestacin de sus servicios, evalan y revisan,
constantemente los efectos causados por los avances tecnolgicos y el impacto
que producen en la operacin bancaria.
Es esto por lo que, al encontrar una relacin entre las medidas de seguridad
existentes en el marco tecnolgico y los niveles de siniestralidad, se hace
necesario definir algunas normas mnimas de seguridad que deban tenerse en
cuenta en la instalacin y adecuacin de cajeros automticos, puntos de venta,
Pin Pad, y tarjetas dbito y crdito.
El presente acuerdo es el resultado de los trabajos realizados por el Comit
Tcnico de Riesgo Informtico de la Asobancaria. En l, adems de determinar
los requisitos mnimos de seguridad fsica y lgica, se dan algunas
recomendaciones adicionales que pueden adoptarse segn el criterio de cada
institucin.
En este marco, y con una concepcin muy clara de lo que significa una eficiente
administracin integral del riesgo, la Asociacin Bancaria seguir promoviendo
estrategias que fortalezcan la seguridad general de las entidades financieras.
As las cosas, se atendern los requerimientos presentes en la normatividad
vigente, emitida por la Superintendencia Financiera, y el Acuerdo Interbancario de
agosto de 1999 de la Asobancaria, titulado Requerimientos mnimos de seguridad
fsica en las oficinas de las entidades financieras de Santa Fe de Bogot.
Los tipos de riesgo que caracterizan un ambiente de procesamiento electrnico de
datos y los procedimientos que se requieren para el control y la seguridad
merecen una especial atencin de los directivos de las instituciones financieras.
Este acuerdo se enmarca dentro de los estndares internacionales que permitirn
una homologacin con sistemas comnmente aceptados desde el punto de vista

de la seguridad y la tecnologa, y contempla las recomendaciones hechas por el

Comit de Basilea en cuanto a supervisin bancaria.1
Los responsables de las reas de seguridad deben efectuar revisiones peridicas
y con intervalos de tiempo adecuados en cuanto al cumplimiento de las
consideraciones mnimas de seguridad adoptadas mediante el presente acuerdo
interbancario.
Las entidades que presten (directa o indirectamente) el servicio de cajeros
automticos, puntos de venta y dispositivos de acceso, deben preocuparse por
implantar un programa de seguridad en dispositivos como parte del plan general
de seguridad en la institucin, al igual que por establecer y mantener
procedimientos para revisar contratos de adquisicin de tecnologa (mquinas y
programas), y velar por su cumplimiento frente al acuerdo. As mismo, deben
tener procedimientos para la identificacin sistemtica y la implementacin de
cualquier mejoramiento necesario de la seguridad en el funcionamiento de los
dispositivos mencionados anteriormente.
En estos esquemas de seguridad se deben contemplar, adems, procedimientos
para el manejo, el almacenamiento y el anlisis de las fallas y de los datos de
fallas procedentes de los puntos que intervienen en una operacin que involucre
procesamiento electrnico de datos.
De esta manera se analizan los aspectos fsicos y lgicos que, en materia de
seguridad informtica, deben considerar las entidades financieras, las redes, los
establecimientos comerciales y toda institucin o rea que preste este tipo de
servicios.
Para la implementacin y adecuacin de las disposiciones de este acuerdo
interbancario, las entidades deben evaluar el tiempo apropiado de ajuste de los
elementos ya instalados, teniendo en cuenta la ponderacin de los riesgos a que
est expuesto cada cajero o punto de venta.

Los Riesgos del Sistema de Cmputo y Telecomunicaciones. Comit de Basilea - Suiza.

2. CONSIDERACIONES
LA JUNTA DIRECTIVA DE LA ASOCIACIN BANCARIA Y DE
ENTIDADES FINANCIERAS DE COLOMBIA, ASOBANCARIA
CONSIDERANDO:

1. Que entre las entidades financieras existen diferencias estructurales en cuanto

a la tecnologa instalada para la prestacin de servicios financieros mediante
dispositivos electrnicos (mquinas y programas);

2. Que

se hace necesario establecer medidas de seguridad que beneficien al

sector financiero y a los clientes;

3. Que

las entidades financieras, a travs de los comits tcnicos de la

Asobancaria, han venido adoptando una serie de acciones para prevenir el
delito informtico;

4. Que

se hace necesario crear mecanismos para evitar que los clientes de las
entidades financieras sean afectados por las modalidades de fraude
informtico;
ACUERDAN:

PRIMERO: Adoptar, mediante el presente acuerdo interbancario, los siguientes

requerimientos mnimos de seguridad para cajeros automticos, puntos de venta,
y tarjetas crdito y dbito.

3. SEGURIDAD EN CAJEROS AUTOMTICOS

En razn de que los cajeros automticos prestan servicio permanente al pblico y
que las entidades desean aumentar la seguridad en las principales ciudades del
pas, se requiere implementar medidas de seguridad preventivas, tendientes a
minimizar los riesgos a que se encuentran expuestos; por este motivo, es
necesario tener en cuenta las disposiciones del acuerdo interbancario y las
recomendaciones dirigidas a las entidades financieras.
Estas instituciones debern elaborar una clasificacin de sus cajeros automticos
con base en estudios realizados por las reas que cada entidad designe o exigir
dicha clasificacin a las entidades que presten el servicio, la cual estar
determinada por el nivel de riesgo a que estn expuestos, as:
Tipo A:
Tipo B:
Tipo C:

Cajeros con nivel alto de riesgo.

Cajeros con nivel medio de riesgo.
Cajeros con nivel bajo de riesgo.

En el presente documento, mientras no se disponga lo contrario ni se especifique

el tipo de cajero, entindase que la disposicin se aplica para todas las
clasificaciones.
La clasificacin de riesgos deber basarse en los siguientes criterios:
Se considera cajero Tipo A el que se encuentra instalado en una zona de alto
riesgo de vandalismo (se deben tener en cuenta criterios como vas de acceso,
muros divisorios y vecindario), poca iluminacin, sitios no monitoreados por la
polica ni por empresas de vigilancia que hacen recorridos.
Los cajeros Tipo B son aquellos que estn instalados en zonas no muy desoladas,
cerca de algn tipo de edificacin que cuente con vigilancia y un grado medio de
circulacin de personas.
Los cajeros Tipo C son los que estn situados en zonas bien iluminadas, en la
parte interior de los centros comerciales, muy cercanos a estaciones de polica o
dentro de la oficina de la sucursal bancaria, y cuya zona est caracterizada por un
alto ndice de circulacin de personas en el da y en la noche.

Sin embargo, las entidades podrn adaptar otros aspectos que consideren
importantes como reglas para dicha clasificacin, entre stos, el perfil del cliente
que lo frecuenta (nivel de educacin, edades, etc.), nmero de clientes que lo
utilizan, los montos de las operaciones que se realizan o a la cantidad de dinero
que se requiere para aprovisionarlo, las tendencias de fraude y vandalismo y las
fechas importantes por festividades o eventos especiales en ciudades.
3.1 SEGURIDAD FSICA
3.1.1 LOCALIZACIN
La localizacin obedece a criterios de orden comercial y financiero. Con
posterioridad, dependiendo del estudio de seguridad, se proveer al equipo de las
protecciones necesarias.
Para definir la localizacin del cajero automtico deben tenerse en cuenta las
siguientes normas:
3.1.1.1
EL SECTOR
El cajero se debe ubicar en zonas residenciales, comerciales o industriales,
teniendo en cuenta que lo importante es que quede situado sobre vas principales,
en las cuales haya afluencia de pblico tanto en el da como en la noche, y no en
sitios solitarios, oscuros y marginados. Se debe considerar la clasificacin del
sector, realizada por organismos del Estado.
Para la instalacin de cajeros automticos en un determinado sector, ste debe
contar con vigilancia o monitoreo frecuente por parte de la polica o de la entidad
duea del cajero.
3.1.1.2
UBICACIN
En lo posible, los cajeros automticos deben ubicarse en instalaciones de
entidades financieras, centros comerciales, hoteles, empresas, estaciones de
servicio, almacenes de cadena o supermercados, evitando la seleccin de locales
solitarios en bares, sitios de juegos de azar, casinos o moteles.

3.1.2 INSTALACIONES
Se tendrn en cuenta los siguientes aspectos:
3.1.2.1
LOCAL
En los cajeros clasificados con categora A, ninguna de las paredes laterales, ni
piso ni techo, deben colindar con otra instalacin no vigilada, con el fin de evitar la
penetracin mediante rompimiento de muros, techos y placas, exceptuando
aquellos ubicados en centros comerciales y locales de las oficinas de la entidad.
En caso de no poder aplicar esta medida, se deber fortalecer el local aplicando
las normas definidas para cuartos de bvedas (paneleras de alta resistencia) e
implementando las medidas de seguridad descritas en el numeral 3.2.1 de este
documento.
Cuando lo anterior no se cumpla a cabalidad, la entidad deber proveer el lugar
de mecanismos de deteccin y de reaccin en caso de amenaza.
3.1.2.2
PAREDES
En todos los cajeros tipos A y B, la construccin de las paredes de cerramiento del
rea del cajero tiene que ser piso-techo (de acuerdo con la altura del cubculo) y
en panel metlico (calibre 16, como mnimo, o con muros construidos con material
suficientemente slido), ajustado a medidas ptimas de seguridad; adems, las
paredes deben estar provistas de una divisin que separe con una puerta la zona
usuaria y la zona supervisor del cajero, cuya funcin es permitir el mantenimiento
o reaprovisionamiento del cajero. En caso de encontrarse ubicado en una entidad
financiera y ser administrado por la misma entidad, se deja una puerta que
comunique el rea interna o supervisor del cajero con el hall bancario para
permitirles el acceso a los encargados de la administracin de los cajeros
automticos, pero slo en caso necesario.
Cuando lo anterior no se cumpla a cabalidad, la entidad deber proveer el lugar
de mecanismos de deteccin y de reaccin para alertar rpidamente a la polica o
entidades de vigilancia privada, en caso de amenaza.

3.1.2.3
PUERTAS
La puerta de acceso del usuario al cajero automtico debe estar elaborada en
algn tipo de material resistente (vidrio templado o laminado) de seguridad, ser
totalmente transparente para que permita la visibilidad de los clientes desde el
exterior y contar con una seal que indique la presencia del vidrio, ubicada de
manera tal que no deje ver el teclado del cajero, y provista adems de un
mecanismo que le brinde seguridad al usuario mientras realiza la transaccin.
La puerta de acceso a la oficina de la entidad debe protegerse con una reja de
seguridad o reforzarse con una cerradura en panel metlico.
Igualmente, la puerta usuario-supervisor debe elaborarse en material resistente al
fuego, provista de una cerradura de alta seguridad de combinacin o dos
cerraduras, y de un visor (ojo mgico).
El mecanismo de cierre de la puerta usuario-supervisor debe ser de anclaje
automtico tipo caja fuerte y con bisagras internas o pasadores de activacin
automticos. El sistema debe contar con un desbloqueo interno del sistema en
caso de incendio o catstrofe.
En las puertas de acceso a los cajeros automticos, no deben instalarse lectores
de banda magntica para controlar la apertura de las mismas.
El acceso a los cajeros debe ser libre, de acuerdo con los horarios establecidos
por las entidades financieras. Internamente, los cajeros deben disponer de un
mecanismo (cerradura, pasador o cierre magntico) para manipulacin exclusiva
del usuario que utiliza el cajero, de manera que el cliente pueda realizar sus
transacciones sin correr el peligro de ser atacado dentro del mismo.

3.1.2.4
ILUMINACIN
Los cajeros automticos deben contar con una buena iluminacin tanto interna
como externa, que permita una perfecta visibilidad en horas de la noche; dichos
elementos de iluminacin tienen que estar debidamente protegidos para evitar su
sustraccin o dao.

10

3.1.2.5
CAJA FUERTE DEL CAJERO AUTOMTICO
La caja fuerte ha de estar provista de dos cerraduras de seguridad que permitan
un manejo dual y adems las claves para la elaboracin de duplicados de sus
llaves deben quedar bajo la responsabilidad de un rea o una persona especfica
para tal propsito. El material de las paredes de la caja fuerte del cajero debe ser
en acero acorazado o altamente resistente contra taladro, soplete, plasma, discos
de corte, estar protegido con dispositivos de bloqueo y, en lo posible, mecanismos
de apertura automtica retardada. Estos elementos pueden acompaarse de
componentes disuasivos de violacin.
En este punto, los componentes del cajero automtico deben cumplir normas
UL91.
3.1.2.6
ANCLAJE DE LA CAJA FUERTE
La caja fuerte se debe anclar al piso desde su interior, de acuerdo con las
especificaciones de anclaje del proveedor. Esta medida se puede obviar siempre y
cuando se trate de cajeros en centros comerciales y sitios vigilados.
Si el cajero se instala en espacio abierto (empotrado a la pared) y no forma parte
del permetro de un edificio, deber disponer de una cabina anclada al suelo y
construida con paneles metlicos reforzados, as como de sistema de alarma
antissmicos.
3.1.2.7
VENTILACIN
Todos los cajeros automticos instalados en reas geogrficas de clima clido
deben tener aire acondicionado. La instalacin de este requerimiento debe
hacerse de manera tal que no facilite un hurto.
3.1.2.8
CERRADURA DE LA PUERTA A LA ZONA USUARIO DEL CAJERO
Preferiblemente, debe tener un pasador de operacin exclusiva del cliente, con un
aviso para el usuario, en el que se recomiende el uso de este mecanismo cada
vez que se ingrese al cajero.
3.1.2.9
CABLEADO
En todos los casos, el cableado que sea necesario extender dentro del cajero
debe quedar protegido en canaletas, de modo que no sea de fcil acceso ni que
quede visible.

11

3.1.2.10
ACCESORIOS
Todos aquellos accesorios de iluminacin, decoracin y aseo deben prevenir
desde su mismo diseo e instalacin actos de vandalismo o terrorismo contra el
cubculo, a travs de elementos de cierre y fijacin que imposibiliten o dificulten su
retiro o el ocultamiento de artefactos explosivos.
3.2 SEGURIDAD FSICA POR MEDIO DE DISPOSITIVOS ELECTRNICOS
3.2.1 SISTEMA DE ALARMA
Los cajeros automticos deben estar protegidos por un sistema de alarma
adecuado al tipo de cajero y, en lo posible, contar con dos vas de comunicacin
distintas, de manera que la inutilizacin de una de ellas produzca la seal de
alarma de la otra.
El sistema de alarma y de comunicaciones se debe monitorear permanentemente
por medio de una central de monitoreo propia o contratada.
3.2.2 CIRCUITO CERRADO DE TELEVISIN
Los cajeros cuya clasificacin corresponda a tipo A (nivel alto de riesgo) deben
estar provistos de un circuito cerrado de televisin. As mismo, es preciso
mantener un perodo apropiado de retencin de la grabacin de las imgenes.
Adicionalmente, el sistema de video debe estar relacionado con la transaccin del
cliente para garantizar que la imagen sea la correcta (insercin de caracteres en el
registro de la operacin).
Los sistemas de video destinados a la grabacin de imgenes deben estar
protegidos contra robo y provistos de generadores o acumuladores de energa.
3.2.4 CONTROLES DISUASIVOS
Se deben tener anuncios que adviertan la existencia de componentes de
seguridad e incluir medidas preventivas y recomendaciones en la pantalla del
cajero, para que los usuarios las tengan presentes al momento de hacer
transacciones.

12

3.2.5 SENSORES
En los cajeros tipo A (nivel alto de riesgo), ms propensos al fraude, se deben
instalar sensores que permitan identificar que el cajero ha sido alterado por los
delincuentes para hacer fraudes a los clientes. Dentro de la tecnologa disponible
en el mercado hay sensores para la impresora, la lectora y el dispensador de
dinero, que son los dispositivos con mayor frecuencia de alteracin.
Los sensores deben ubicarse en puntos estratgicos del cajero automtico, con el
fin de detectar cualquier dispositivo sobrepuesto o cualquier intento de asalto
(pantalla, teclado o lectoras, falsos, instalacin de cmaras, etc.).
Estos sensores deben generar alertas a los operadores de cajeros automticos
del posible intento de fraude, as como a los sistemas de seguridad.
3.3 OTRAS MEDIDAS DE SEGURIDAD
3.3.1 APROVISIONAMIENTO
La entidad encargada del aprovisionamiento de los cajeros debe suministrar
custodia a sus funcionarios, mediante escoltas para el transporte de efectivo, los
cuales permanecern con ellos hasta que se haya efectuado toda la operacin de
aprovisionamiento; esto se aplica tambin a los cajeros que no estn ubicados en
una oficina o sucursal bancaria.
El aprovisionamiento debe realizarse en un momento en el cual no se exponga a
mayor riesgo a los clientes de una oficina (especialmente si el cajero se
aprovisiona desde adentro) o en horas normales de trabajo, con el propsito de
reducir la exposicin a riesgos a los funcionarios encargados de esta labor
durante horas irregulares. Por ningn motivo este procedimiento debe llevarse a
cabo en horas nocturnas.
3.3.2 INFORMACIN AL CLIENTE
Se debe informar al cliente en cuanto a la manera como se debe operar el cajero,
servicios ofrecidos y recomendaciones sobre prevencin del fraude y
procedimiento para el bloqueo de la tarjeta.

13

Las entidades financieras deben establecer mecanismos y procedimientos que

permitan una adecuada orientacin y capacitacin de los clientes acerca de las
medidas de seguridad que deben tener en cuenta para evitar caer en trampas de
los delincuentes. Es deber de las entidades financieras mantener informados a los
usuarios sobre los mecanismos de fraude ms comunes con tarjetas, la forma de
identificarlos y, por consiguiente, de evitarlos.
3.3.3 VISIBILIDAD
El sitio debe garantizar al cliente la privacidad de su clave secreta. Por ello, la
disposicin del cajero con respecto a la visualizacin que tienen las personas
desde la parte externa de la cabina no debe facilitar que se descubra cuando se
est digitando (ver numeral 3.1.6).
Se deben incluir barreras fsicas entre cajeros contiguos para mantener la
confidencialidad de los clientes.
3.3.4 DISTANCIA ENTRE CAJEROS
En los casos en que existan grupos de cajeros sin cabina (empotrados
consecutivamente en la pared o en mdulos especiales en centros comerciales),
es preciso dejar una distancia prudencial entre ellos, que permita un grado de
confidencialidad en la transaccin que un usuario est efectuando.
3.3.5 MONITOREO FSICO DE LOS CAJEROS
Las entidades financieras deben establecer procedimientos de monitoreo a los
cajeros directamente en el sitio, bien sea con personal propio o contratado. La
frecuencia de visita debe estar relacionada con el volumen de siniestralidad del
cajero y la poca del ao (fin de ao y festividades especiales), haciendo nfasis
en visitas aleatorias para evitar que los delincuentes puedan identificar los
patrones de visitas.
3.3.6 CAPACITACIN
Es importante capacitar a las personas que supervisan los cajeros sobre
modalidades de fraude y reconocimiento de dispositivos utilizados para cometer
actos delictivos, con el fin de que tengan pleno conocimiento del tema.

14

3.4 RECOMENDACIONES
3.4.1 CAJILLA DE SEGURIDAD PARA LLAVES
La cajilla de seguridad se implementa en caso de que la puerta de acceso al rea
del supervisor se abra mediante llaves, para prevenir el riesgo de extravo debido
a la manipulacin y el desplazamiento constante. La cajilla ha de estar provista de
una cerradura de combinacin y empotraje en el rea del supervisor, con acceso
al rea del usuario a travs de una contrapuerta de cierre con llave.
3.4.2 HALL DE SERVICIO
El control del tiempo de permanencia del usuario en el cajero debe estar dado por
el tiempo mximo para realizar una operacin.
3.4.3 ALARMAS
Es importante prestar una oportuna y adecuada atencin a las alarmas generadas
por un cajero automtico, ya que stas pueden activarse con el objeto de orientar
la atencin hacia un lugar especfico.
3.4.4 BLOQUEO DE TARJETAS
Las entidades y las redes podrn instaurar mecanismos de bloqueo de tarjetas
que se operen desde el cajero automtico como una opcin ms en la pantalla,
que se caractericen por no requerir la lectura de la banda magntica. Por ejemplo,
el cliente podra digitar su clave y algn otro cdigo que permita que a travs de
las vas de comunicacin existentes se transmita la orden de bloqueo.
De igual manera, podrn hacer uso de este medio (la pantalla del cajero) para dar
recomendaciones al cliente sobre la prevencin de ilcitos, pasos que deben
seguirse en caso de fallas y uso adecuado de la tarjeta.
As mismo, se podrn fijar horarios para la apertura y cierre de aquellos cajeros
con un nivel especfico de riesgo y clasificacin.

15

3.4.5 CALCOMANAS
Se recomienda no pegar ningn tipo de calcomana o afiche en la puerta de
acceso del usuario al cajero que imposibilite la visibilidad.
3.4.6 MONITOREO DE TRANSACCIONES
Se deben implantar procesos y herramientas de monitoreo de operaciones
inusuales, efectuadas por los clientes, las cuales generen seales de alerta para
realizar labores de verificacin y autenticacin telefnica. Igualmente, se deben
manejar estadsticas (patrones de comportamiento, proyecciones, etc.) que
permitan detectar patrones de inusualidad en transacciones.
3.4.7 COOPERACIN ENTRE BANCOS
Se recomienda establecer un frente comn entre todas las entidades con el objeto
de lograr una mayor cobertura y mejorar la oportunidad y efectividad en el
monitoreo de los cajeros, de tal manera que una persona pueda monitorear todos
los cajeros localizados en una zona determinada, independientemente de la
entidad financiera a la que pertenezca.
3.4.8 PLAN PADRINO
Establecer con las oficinas el plan padrino de cajeros automticos, con el fin de
que los funcionarios de las oficinas estn capacitados para detectar dispositivos
extraos o inusuales ubicados en los cajeros y visiten peridicamente los mismos.
3.4.9 REPOSICIN
Se recomienda remplazar los lectores de tarjeta motorizados o swap por otros de
tipo dip. De no ser posible, habr que implementar mecanismos que permitan
proteger la lectora de tarjetas, impresora y el dispensador de dinero.

16

4. SEGURIDAD EN PUNTOS DE VENTA

Los puntos de venta, tcnicamente conocidos como POS (point of sale), son un
medio para efectuar transacciones comerciales mediante el uso de dispositivos de
acceso electrnico como las tarjetas dbito, crdito e inteligentes. Por ello,
requieren tambin el establecimiento de unas normas mnimas de seguridad que
fortalezcan la seguridad en los establecimientos comerciales y dems sitios donde
se encuentran instalados.
4.1 SEGURIDAD FSICA

4.1.1 MDULOS ESPECIALES

En los casos en que se necesite, se pueden instalar mdulos especiales que
permitan una adecuada instalacin fsica del equipo que compone el POS (Pin
Pad, datfono, cableado, etc.), con el propsito de impedir que sean movilizados y
mantener un control de inventario de los mismos.
4.1.2 TRUNCAMIENTO
Todos los comprobantes expedidos por un punto de venta en el que se haga uso
de informacin confidencial y que necesite niveles de seguridad tales como el
nmero de cuenta, el nmero de identificacin personal, etc., deben tener
enmascarada parte de dicha informacin. Por lo general se remplazan los ltimos
cuatro dgitos por asteriscos o se imprimen nicamente los ltimos cuatro dgitos.
4.2 RECOMENDACIONES
4.2.1 PROTECTOR DE PIN PAD
En todos los puntos de venta podr instaurarse el sistema de protector de Pin
Pad, el cual cumple la funcin de cubrir el teclado mientras el usuario digita su
clave.
4.2.2 MANTENIMIENTO
Dado que el servicio de mantenimiento de los puntos de venta se hace fuera de
lnea, es preciso que las entidades financieras que poseen puntos instalados en

17

las oficinas y las redes que prestan este servicio implementen dichos
procedimientos, de modo que sean claros y definidos para tener un mayor control
y detectar intentos de fraude.
Las entidades y las redes que prestan este servicio deben implantar un registro de
control para ruteros (personal enrutado para el mantenimiento de los POS),
independientemente de si el servicio es directo o subcontratado.
En lo posible, las entidades financieras que presten este servicio en sus oficinas, y
las redes en los establecimientos comerciales y dems, debern crear un
procedimiento que permita identificar, de manera remota, los puntos de venta que
estn fuera de servicio por mantenimiento o por otra causa y detectar seales de
alerta en los casos en que sea necesario.
Adicionalmente, deben, cumplir con la certificacin Visa PIN Entry Devices (Visa
PED), tener la capacidad de tamper resistant y hacerse la encriptacin en
hardware.
En cuanto al algoritmo, se debe utilizar encriptacin 3DES.
Tiene que haber una llave maestra (KEK) diferente por cada POS o ATM y debe
generarse, al instalar, en forma automtica y en lnea.
Las llaves de trabajo (PIN y MAC) deben generarse automticamente en el nivel
central y de manera aleatoria (no debe haber intervencin manual), encriptada
con la llave maestra KEK. El intercambio dinmico de llaves debe realizarse con la
primera transaccin del da.

5. SEGURIDAD EN DISPOSITIVOS ELECTRNICOS DE ACCESO

(TARJETAS DBITO Y CRDITO)
Los dispositivos de acceso requeridos para el uso de cajeros automticos, puntos
de venta instalados en las sucursales de las oficinas bancarias y establecimientos

18

comerciales necesitan tambin la definicin de unos requerimientos mnimos de

seguridad, as como una serie de recomendaciones que generen un impacto
positivo en los temas de seguridad fsica y lgica de estos procedimientos.
5.1 CDIGO DE VERIFICACIN Y CLAVE
Las entidades que expiden las tarjetas dbito y crdito deben asegurarse de que
estos dispositivos tengan implementado el mecanismo de cdigo de verificacin,
conocido tcnicamente como CVV, CVC, CVT, u otros equivalentes.
Este es un valor de chequeo criptografiado derivado de campos especficos de los
datos, los cuales pueden ser el nmero de cuenta, fecha de servicio, llaves CVK,
etc.
El CVV escrito sobre la tarjeta durante la transaccin se enva al HSM (Host
Security Module), el cual recalcula el CVV y lo compara con el recibido para
confirmar la validez de la tarjeta.
En cuanto a la clave, se recomienda el uso del nmero de identificacin personal
(PIN), con el fin de prevenir la clonacin de tarjetas a travs de dispositivos
fraudulentos instalados en los datfonos.
5.2 TRANSPORTE, CUSTODIA Y ENTREGA DE TARJETAS DBITO Y
CRDITO
Las entidades deben incorporar internamente procedimientos, controles y
seguridades en el transporte, custodia y entrega de las tarjetas dbito y crdito,
ms an si se subcontrata este servicio. Adicionalmente, las reas de auditora
debern expedir una certificacin en cuanto al cumplimiento de estos
procedimientos. La entrega de las tarjetas tiene que hacerse de manera
personalizada, exclusivamente al beneficiario de la misma.
La entidad financiera debe darle una capacitacin clara y sencilla al usuario
(verbal y escrita), en la cual se le expliquen los cuidados, la responsabilidad
directa, las prevenciones, los beneficios, la seguridad que se debe tener en los
cajeros automticos, puntos de venta en establecimientos de crdito y oficinas de
las entidades, incluyendo adems los procedimientos claros y definidos de cmo
operar en caso de prdida, robo y retenciones no autorizadas.

19

En lo posible, las entidades deben informar continuamente a sus empleados en

todas las reas (incluyendo este aspecto en el proceso de vinculacin), usuarios y
clientes, de las diferentes modalidades de fraude a que estn expuestos y de los
controles establecidos internamente.
5.3 COMPROBANTE DE TRANSACCIN
Todos los cajeros automticos y los puntos de venta deben imprimir en el recibo
(volante en papel) de la transaccin, nicamente los ltimos cuatro dgitos del
nmero de la cuenta del cliente o hacer truncamiento mediante el uso de
asteriscos.
5.4 ATENCIN DE RECLAMOS
Las entidades deben contar con un rea de atencin al cliente, mediante la cual
se solucionen los problemas de las operaciones no exitosas. Este programa de
atencin puede crearlo directamente la entidad o solicitar los servicios a un
tercero, siempre y cuando la responsabilidad de su eficiencia est a cargo de la
entidad que lo contrata.
Las entidades deben revisar constantemente el servicio prestado por las redes en
cuanto al direccionamiento y enrutamiento de la informacin, as como las normas
mnimas de seguridad que tienen que cumplir para alcanzar los objetivos de
seguridad propuestos.
5.5 ENCRIPTACIN
La Superintendencia Financiera establece que debe encriptarse como mnimo el
PIN (Nmero de Identificacin Personal). Sin embargo, las entidades tienen que
encriptar la informacin que en su opinin deba estar protegida, como por ejemplo
el nmero de cuenta, el nombre del usuario, etc.
5.6 ORIGEN DE LAS TRANSACCIONES
Las entidades deben confirmar la autenticacin del origen de las transacciones
por cualquier mecanismo que asegure que la informacin transmitida por una
terminal financiera sea reconocida y validada por el sistema central y viceversa.

20

5.7 SEGURIDAD FSICA EN LOS PUNTOS DE RETIRO EN OFICINAS.

PROTECTOR DE PIN PAD
En las oficinas debe instalarse el sistema de protector de Pin Pad el cual cumple
la funcin de cubrir el teclado mientras el usuario digita su clave.

6. SEGURIDAD DE LA INFORMACIN EN LAS COMUNICACIONES

Teniendo en cuenta que la informacin y el transporte electrnico de datos se
realizan a travs de diversos dispositivos electrnicos, se define la siguiente
estructura mnima, caracterizada por diferentes niveles, para la seguridad de la
informacin.
El propsito que se busca con el establecimiento de controles mnimos de
seguridad de la informacin en las comunicaciones es evitar al mximo que la
informacin sea interceptada o interrumpida.
As mismo, las entidades podrn establecer niveles de confidencialidad de la
informacin teniendo en cuenta la clasificacin que para todos los casos se ha
utilizado en el presente acuerdo interbancario; esto significa que la informacin de
mayor confidencialidad debe clasificarse como tipo A, la de medio grado de
confidencialidad como tipo B y la informacin que puede no requerir todos los
controles en la estructura de seguridad en las comunicaciones como tipo C.
En el desarrollo del proceso que se le debe dar a la informacin en las entidades
financieras, al igual que en cada una de sus reas relacionadas con las
operaciones en cajeros automticos y puntos de venta a travs de tarjetas de
banda magntica (esquema que puede aplicarse en parte tambin a la nueva
tecnologa de tarjetas inteligentes que trabajan con microcircuitos), deben tomarse
en cuenta los siguientes aspectos:
6.1 CERTIFICACIN
Es preciso que en las entidades se establezca un rea que conozca en detalle
quines actan en la red en el nivel de operacin de mquinas y programas o de
una combinacin de ambos esquemas.

21

La definicin de esta rea permitir certificar qu usuarios estn o no autorizados,

adems de que facilitar la deteccin de los ingresos no aprobados a los
diferentes sistemas de telecomunicacin y procesamiento de datos de la entidad.
En esta rea se debe buscar un mecanismo que permita almacenar la informacin
de cada usuario, las llaves pblicas y privadas que se manejan, los niveles o
atributos que se le han asignado, un histrico que permita conocer los estados del
usuario en cuanto a si ha sido suspendido, cancelado, activado, modificado,
ambientes en los cuales ha estado involucrado (revisin, produccin, etc.), lo cual
se puede lograr mediante la utilizacin de tarjetas de identificacin electrnica que
enven y transmitan los datos de acceso en cuanto a fecha, lugar, plataforma,
rea, etc., a una central de control, o mediante la implantacin de un esquema
administrativo de control que permita hacer el seguimiento adecuado a este tipo
de actividades.
Gracias a esto, el usuario tendr niveles de acceso a los sistemas de informacin
de acuerdo con normas preestablecidas para tal propsito; y adems permitir
que se identifique claramente a los usuarios que comparten plataformas
tecnolgicas.
6.2 AUTENTICACIN
Debe existir un mtodo de autenticacin que verifique el origen, contenido, calidad
y estructura en que viaja la informacin relacionada con las transacciones de los
usuarios en cada uno de los tramos donde se realiza la comunicacin y, en los
casos en que se pueda, confrontarla con la informacin almacenada previamente.
Este tipo de autenticacin debe efectuarse mediante una va segura y con la
utilizacin de llaves de comunicacin individuales en cada uno de los tramos.
6.3 VALIDACIN
En este proceso de seguridad en las comunicaciones debern verificarse las
firmas digitales y las claves de acceso a cada uno de los sistemas, con prueba de
identidad clara e irrefutable que garantice cmo, quin y cundo hizo la conexin.

22

Superados los anteriores pasos en la estructura de seguridad en la comunicacin,

se considera la conexin vlida para ejecucin e inicio de procesos con la
informacin.
6.4 ENCRIPTACIN
Las entidades financieras y las redes que soportan esquemas tecnolgicos para el
manejo de la informacin en los procesos que se relacionan con las transacciones
efectuadas desde un punto de venta o un cajero automtico a travs de la
utilizacin de tarjetas crdito y dbito deben garantizar que dicha informacin viaje
cifrada, es decir, que est encriptada.
Las entidades deben encriptar como mnimo los campos en los que se transmita
el nmero de identificacin personal o clave (PIN). Dicho proceso ha de
implementarse por medio de hardware en diferentes puntos dentro de la oficina.
Para los puntos situados en establecimientos comerciales y las transacciones que
se realicen con tarjetas desde las oficinas, la encriptacin se implementar,
preferiblemente, desde el teclado o desde algn punto de la oficina. Adems,
debe garantizarse que el nmero de identificacin personal (PIN) est protegido
en todos los puntos de la transmisin.
Para tal efecto, en los procedimientos de comunicacin dentro de las oficinas
deben incluirse unos procesos de cifrado de la informacin que contemplen, por lo
menos, algoritmos certificados en el mbito mundial, tales como RSA, Data
Encryption Standard (DES), Triple DES (encripta la informacin tres veces con
claves diferentes, 3DES) y el International Data Encryption Algorithm (Idea), entre
otros.
Es preciso considerar que tal informacin, en funcin de los servicios ofrecidos por
la entidad, puede viajar a manera de voz, datos, fax, video y combinacin de los
anteriores.
Las entidades deben tener presentes los tramos entre los cuales se da la
comunicacin y los requisitos de encriptacin de cada uno de ellos. Para efectos
de encriptar informacin que sale de la oficina o sucursal bancaria, es necesario
que se haga a travs del mtodo de encriptacin por hardware; es opcional que

23

en el interior de la oficina se maneje la encriptacin por software a travs de

algoritmos certificados internacionalmente para cifrar la informacin.
Los dos elementos importantes que hay que tomar en cuenta en este proceso son
el algoritmo de encriptacin y el manejo de claves.
6.5 NO RECHAZO
Las entidades deben velar porque en el mecanismo instaurado para el control de
la informacin est presente permanentemente el paso conocido como No
rechazo, que significa la prueba irrefutable de la identidad del emisor de la
informacin, la integridad de los datos recibidos y enviados, lo cual servir a su
vez como complemento para las pistas de auditora en el campo aplicativo.
La anterior estructura de seguridad debe aplicarse para las reas que manejen la
informacin de las claves, PIN (Nmero de Identificacin Personal), cintas de
transmisin de video o archivos de video almacenados en disco duro, nmeros de
cuenta, cupos asignados, informacin sobre crditos, caractersticas propias de la
transaccin, es decir, todo la informacin involucrada en una operacin con tarjeta
a travs de un punto de venta o un cajero automtico.
En la estructura de seguridad de la informacin es preciso contemplar las
caractersticas especficas que requieren los diferentes ambientes, tales como
correo electrnico e Internet.
Dicha estructura debe acondicionarse a los lineamientos y directrices de las reas
de auditora y de quienes controlan y evalan el desempeo de los dispositivos a
travs de hardware y software.

6.6 CONTROL DE ADMINISTRACIN (PUERTOS Y DIRECCIONES EN LA

COMUNICACIN DE DATOS)
Es necesario contar con las guas adecuadas para el control de puertos y
direcciones asignadas (LU, circuitos virtuales, direcciones IP, etc.) en la conexin
de una terminal financiera, una conexin Internet o cualquier conexin que la
entidad utilice para el flujo de transacciones financieras, con el propsito de dar

24

seguridad en la plena identificacin de cada conexin. Este control permite

diferenciar entre puertos (direcciones) de pruebas y de produccin.

6.7 IDENTIFICACIN DE TERMINALES

Se debe mantener una metodologa de asignacin de terminales locales y
remotas (incluyendo cajeros automticos) que permitan identificar, registrar,
establecer y verificar la pertenencia y acceso a la entidad en el momento del
ingreso en los sistemas principales.
6.8 INTERCAMBIO DINMICO DE LLAVES
Las entidades deben utilizar el intercambio dinmico de claves de comunicacin
(llaves) entre los sistemas de encriptacin con una frecuencia que garantice la
mxima seguridad e impida conocer las llaves iniciales de codificacin,
dificultando as la obtencin de los datos y acatando las disposiciones que para tal
efecto determina la Superintendencia Financiera.

6.9 MONITOREO DE ESTADO DE TERMINALES EN COMUNICACIONES

Es preciso contar con un sistema y un procedimiento de monitoreo que garantice
el aviso de una anomala y la atencin oportuna de recuperacin por eventos de
falla en las comunicaciones, en las terminales financieras (en cajeros automticos
y puntos de venta es muy importante, puesto que puede tratarse de la comisin
de un delito).

6.10 MANTENIMIENTO DE EQUIPOS

Las entidades deben crear un plan de mantenimiento de equipos de comunicacin
que garantice el funcionamiento de las conexiones y su flujo transaccional,
incluyendo los registros respectivos de dicho mantenimiento, siempre con la

25

responsabilidad del rea donde se realiza la operacin, acompaado de un

procedimiento de control sobre las personas que lo efectan y un archivo histrico
de los cambios hechos, teniendo en cuenta los niveles de acceso a los sistemas
de informacin.
En el rea de produccin no se debe haber equipos sin identificacin, apagados
indefinidamente o inutilizados por reposicin, ya que esto aumenta los riesgos de
intromisin no deseada.

6.11 MODIFICACIONES
COMUNICACIONES

LA

CONFIGURACIN

DE

LA

RED

DE

En los casos en que se necesite, las entidades deben tener un control especfico
sobre los equipos de anlisis de comunicaciones (como por ejemplo los
analizadores de protocolo) en cuanto a su ubicacin, motivo de utilizacin,
archivos grabados, con el fin de delimitar las responsabilidades y minimizar los
riesgos internos de interceptacin.
Se debe velar porque exista un procedimiento de modificaciones o inclusiones a la
configuracin de la red de comunicaciones, que registre los cambios de manera
estndar, con una verificacin previa de pruebas de campo o situaciones similares
a las de produccin.

6.12 RECOMENDACIONES
Se debe tener presente que los problemas generados por fallas fsicas y
tcnicas de los equipos involucrados en un ambiente de procesamiento de
datos y comunicaciones podrn ocasionar inconvenientes de tipo administrativo
y de control de las operaciones; igualmente, problemas en las comunicaciones
pueden causar dificultades de seguridad fsica.
Dado que las entidades cuentan con diferentes reas y posiblemente diferentes
plataformas tecnolgicas entre ellas, entre sus oficinas, etc., en la estructura de
seguridad fsica y lgica hay que detectar los posibles puntos de exposicin a

26

riesgo y establecer de la manera ms clara posible los controles administrativos

y procedimientos que deben considerarse.
Toda informacin confidencial relacionada con las operaciones con tarjetas
dbito, crdito e inteligente que por motivo alguno haya requerido la impresin
de un reporte escrito (papel), debe contemplarse dentro de un esquema de
seguridad para informacin preliminar o borrador, teniendo en cuenta su
clasificacin en los niveles de confidencialidad, las copias que se han generado
del documento, el destino de cada una de ellas, y verificar que el destino
corresponda a usuarios autorizados en el proceso de certificacin. Los usuarios
autorizados deben velar porque esa informacin no quede libre de acceso y
permanezca bajo llave.

Procurar y verificar que las entidades con las que se tiene relacin en cuanto al
diseo, tecnologa, elaboracin de tarjetas, centros de realce y entrega de
plsticos hayan implementado procedimientos de control y seguridad en cuanto
a la informacin que manejan sobre las tarjetas o los usuarios.

27

ANEXO

ANEXO: NDICE DE NORMAS ICONTEC RELACIONADAS CON LOS TEMAS

CONTENIDOS EN EL PRESENTE ACUERDO INTERBANCARIO
El Instituto Colombiano de Normas Tcnicas (Icontec) ha generado una serie de
disposiciones relacionadas con el tema del procesamiento electrnico de datos y
las tarjetas plsticas a travs de las mquinas y programas.
Las siguientes son las normas ms importantes referentes a estos aspectos, las
cuales se encuentran a disposicin en el Icontec.

NTC 2363 (Establece funciones, incluye procesos principales, equipos utilizados,

presentacin y organizacin de datos, programacin y operacin de
computadores, equipos perifricos y aplicaciones particulares).
NTC 2364 (Procesamiento de la informacin, codificacin y clasificacin de
caracteres para intercambio de informacin, tablas de cdigos, caracteres de
control de transmisin, extensiones de cdigos, dispositivos y otros).
NTC 2365 (Procesamiento de la informacin, estructura de caracteres
intermitentes y sincrnicos destinados a la transmisin, sentidos de paridad,
encadenamientos).
NTC 2439 (Procesamiento de la informacin).
NTC 2552 (Sistemas para el procesamiento de la informacin, comunicacin de
datos, interfaces, conexin y asignacin de pines).
NTC 2553 (Procesamiento de la informacin. Comunicacin de datos, controles
de enlace, datos de alto nivel, convenciones de direccionamiento, dgitos
binarios).
NTC 2554 (Organizacin de datos, trminos y definiciones).
NTC 2634 (Vocabulario, control, integridad y seguridad de la informacin).

28

NTC 2676 (Elementos para informtica. Caractersticas dimensionales, fsicas y

magnticas).
NTC 2732 (Interconexin de sistemas abiertos).
NTC 2777 (Uso de paridad para la deteccin de errores en la transmisin).
NTC 2869 (Banca y servicios financieros. Tarjetas bancarias. Banda magntica.
Contenido de datos de la pista 3. Definiciones sobre caractersticas fsicas de la
tarjeta, posicin y dimensin de los datos en relieve, funcionamiento del material
magntico, especificaciones de codificacin de la pista 3).
NTC 2869 (Estructura de archivo y rotulado de cintas magnticas para intercambio
de informacin).
NTC 2909 (Banca y servicios financieros. Tarjetas para transacciones financieras.
Definiciones y especificaciones de localizacin de los datos realzados, tarjetas no
realzadas tamao alternativo, sistemas de numeracin de cuenta de
transacciones financieras).
NTC 2921 (Smbolos de documentacin y convenciones aplicables a diagramas
de flujo de datos, de programacin y de sistemas).
NTC 2922 (Interfaces entre sistemas computarizados y procesos tcnicos).
NTC 2968 (Tecnologa de la informacin, comunicacin de datos, trminos y
definiciones, medios y tcnicas de transmisin).
NTC 2969 (Banca y requisitos financieros. Tarjetas de identificacin. Tcnicas de
registro. Localizacin de pistas de solo lectura. Pistas 1 y 2).
NTC 2970 (Banca y servicios financieros. Tcnicas de registro. Localizacin de
caracteres realzados en tarjetas de tipo ID-1).
NTC 2971 (Banca y servicios financieros. Seguridad fsica y electrnica.
Administracin y requerimientos del PIN (Nmero de Identificacin Personal).
Ciclo de vida del PIN. Administracin de claves).

29

NTC 3213 (Comunicaciones - caractersticas de las redes de rea local, LAN).

NTC 3214 (Banca y servicios financieros. Tcnicas de registro en banda
magntica, material magntico, caractersticas de desempeo, tcnicas de
codificacin, especificaciones de codificacin para pistas de solo lectura y de
lectoescritura).
NTC 3270 (Banca y servicios financieros. Seguridad fsica y electrnica.
Requisitos para la autenticacin de mensajes, procedimientos de aprobacin para
algoritmos de autenticacin).
NTC 3349 (Define los principales conceptos bsicos que involucran la
confiabilidad, el mantenimiento y la disponibilidad en el campo del procesamiento
de datos).
NTC 3431 (Definiciones, localizacin del material magntico, localizacin de las
pistas de datos codificados, comienzos de la codificacin).
NTC 3451 (Tarjetas de circuitos integrados con contactos - caractersticas fsicas).
NTC 3500 (Definiciones y consideraciones en comunicaciones con la utilizacin
del protocolo de nivel de paquete X.25 en redes de rea local, LAN).
NTC 3560 (Procedimientos y desarrollo. Gua para la adquisicin de sistemas de
computacin. Establece recomendaciones para tener en cuenta en la adquisicin
de sistemas de computacin).
NTC 3585 (Sistemas de procesamiento de la informacin. Auditora. Programa de
aseguramiento de calidad para el software previamente desarrollado utilizando
aplicaciones no crticas).
NTC 4077 (Establece definiciones y trminos de conceptos utilizados en el
procesamiento de la informacin).
NTC 4079 (Trminos y definiciones relacionados con el procesamiento de datos).
NTC 4094 (Unidades de procesamiento aritmticas, registro y convertidores,
facilita la comunicacin internacional en el procesamiento de la informacin).

30