CONSULTA ASOCIACIN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA IMPLEMENTACIN ESTANDAR EMV

LA INFORMACIN CONTENIDA EN ESTE DOCUMENTO Y SUS ANEXOS ES SUMINISTRADA POR LAS ASOCIACIONES BANCARIAS MIEMBROS DE LA FEDERACIN LATINOAMERICANA DE BANCOS FELABAN.
Dirigido por: Maricielo Glen de Tobn Revisado por: Mercedes Angarita Compilado por: Claudia Casas Archivo: Katia Tovar

2009

ASOCIACIN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA IMPLEMENTACIN ESTANDAR EMV

La Asociacin Bancaria y de Entidades Financieras de Colombia desea consultar acerca de la implementacin del estndar EMV como herramienta para disminuir el fraude en tarjetas dbito y crdito y de la implementacin de mecanismos de autenticacin fuerte como OTPs para canales no presenciales. Consulta: 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)?

ARGENTINA

1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs?

No existe legislacin que obligue implementar el estndar EMV (acrnimo de Europa y MasterCard Visa, estndar de interoperatibidad de tarjetas chip para la autenticacin de pagos mediante tarjetas de crdito y dbito). 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Se desconoce. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. ARGENTINA N.A. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? N.A. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No existe legislacin que obligue a las entidades financieras a implementar algn mecanismo de autenticacin fuerte. El BCRA a travs de su comunicacin A-4609 valoriza la utilizacin de mecanismos de autenticacin de usuarios alternativos al de usuario y clave, como por ejemplo: tarjetas coordenadas, teclados virtuales, etc. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Slo un banco internacional tiene implementado un esquema de autenticacin robusta va TOKENs. Existen

otros proyectos en donde se est analizando esta y otras alternativas similares. En principio la tendencia se orienta a la implementacin de tarjetas coordenadas. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? ARGENTINA De manera muy general: Ventajas: reduccin de los niveles de fraude. Desventajas: varias vinculadas al esquema de vinculacin y distribucin de tarjetas Vulnerabilidades: el uso de tarjetas no inhibe la concrecin de fraudes va canales no presenciales. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? N.A. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? BOLIVIA No, la Legislacin Boliviana no contempla la implementacin de EMV 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? S, Administradora de Tarjetas de Crdito (ATC) se encuentra implementado el proyecto en la fase 1 de adquirencia, la fase 2 contempla la parte emisora.

3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. Las Ventajas se basan principalmente en la proteccin de los participantes (Banco, Tarjetahabiente y establecimiento) del fraude, lo cual tiene un impacto inclusive en la seguridad social. Las desventajas, estn principalmente asociadas al costo en la inversin de las tecnologas y complejidad de la implementacin, adicionalmente tambin se tienen problemas en la induccin de la gente a este estndar. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? BOLIVIA Ninguna 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc.)? No, la Legislacin Boliviana no contempla la implementacin de mecanismos alternativos de autenticacin. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? S, los bancos utilizan mecanismos tipo token y tarjeta de coordenadas en la autenticacin remota cliente en una transaccin virtual. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales?

Ventajas El uso de un segundo factor de autentificacin disminuye considerablemente el fraude por internet. Tanto el Token como la tarjeta de coordenada ayudaron a incrementar el nmero de transacciones por internet ya que brinda mayor seguridad hacia el cliente. Desventajas: El costo y la portabilidad de los Tokens es la principal desventaja y en relacin a la tarjeta de coordenadas est relacionada a la portabilidad ya que el costo es considerablemente menor al de un Token. Estos mtodos no abarcan los cajeros automticos por lo que todava se tiene un canal que se debe mejorar la seguridad a travs del proyecto EMV 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? Apoyo al proyecto, definicin unificada de estrategia de implementacin, apoyo del estado, altas gerencias, asociaciones, emisores y adquirentes.

BOLIVIA

1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No hay legislacin sobre el tema. BRASIL 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Hay proyectos isolados por algunos bancos y en Febraban hay un Grupo de Estudios para analizar el tema. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario.

Informacin no disponible. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? La utilizacin de la firma digital en transacciones financieras, con certificacin digital, es una herramienta utilizada para disminuir el fraude bancario. Otra alternativa en anlisis es la identificacin biomtrica. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No hay legislacin especfica. BRASIL 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? En los grupos de Febraban, los bancos cambian informaciones sobre mecanismos de seguridad, como tarjetas de coordenadas, token con coordenadas dinmicas, certificacin digital, biometra. PKI/EMV. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? Informacin no disponible. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? Todas las iniciativas de la banca sobre el tema son debatidas en Grupos de Febraban. La entidad inclusive

BRASIL

acta junto al Gobierno Federal y hoy en da la asignatura digital en documentos electrnicos tiene legislacin especfica y es jurdicamente reconocida. .

En el caso costarricense las transacciones que requieren la utilizacin de instrumentos electrnicos cumplen con al menos las siguientes prcticas bancarias: a) Encriptar la transmisin de informacin, cuando el medio electrnico utilizado para llevar a cabo consultas, operaciones monetarias y cualquier otro tipo de transaccin bancaria, entre el banco o institucin financiera y sus clientes, sea la red electrnica mundial denominada Internet. b) Establecer mecanismos para el proceso de generacin y entrega de contraseas o claves de acceso que aseguren que slo aqul que tenga en su poder la contrasea o clave de acceso podr activarlos. Adicionalmente, debern realizarse las acciones necesarias para que los clientes no utilicen como contrasea o clave de acceso: COSTA RICA i. El identificador del cliente. ii. Datos personales del cliente como su cdula o su nombre. iii. El nombre del banco o institucin financiera. iv. Ms de dos caracteres idnticos en forma consecutiva. v. Ms de dos consecutivos numricos o alfabticos. c) La longitud de las contraseas o claves de acceso deber ser de al menos ocho caracteres, cuando los medios utilizados sean la red electrnica mundial denominada Internet. d) Cuando el medio electrnico utilizado sea la red electrnica mundial denominada Internet, las contraseas o claves de acceso debern incluir maysculas, minsculas y nmeros. e) La vigencia mxima de las contraseas o claves de acceso ser de 30 das naturales. f) Proveer lo necesario para evitar la lectura de los caracteres que componen las contraseas o claves de acceso digitadas por el cliente en la pantalla del medio electrnico de acceso.

g) Establecer mecanismos para que, en caso de que exista inactividad en una sesin por parte de un cliente, por un lapso que determine el banco o institucin financiera, de acuerdo al servicio de que se trate y en funcin de los riesgos inherentes al mismo, la sesin se d por terminada en forma automtica. En ningn caso el perodo de inactividad en una sesin debera exceder de un minuto. h) En el evento de que se ofrezcan servicios de afiliados o de terceros mediante enlaces electrnicos, se deber comunicar al cliente que al momento de ingresar a dichos servicios se cerrar la sesin establecida con el banco o institucin financiera y se ingresar a otra cuya seguridad no depende, ni es responsabilidad de ese banco o institucin financiera. i) Establecer esquemas de bloqueo automtico de contraseas o claves de acceso, cuando menos para los casos siguientes: i. Cuando se intente ingresar a los instrumentos electrnicos de pago utilizando contraseas o claves de acceso incorrectas. En ningn caso los intentos de acceso fallidos deberan exceder de tres ocasiones consecutivas sin que se genere el bloqueo automtico. ii. Cuando el cliente se abstenga de realizar movimientos por depsitos o retiros o acceder a su cuenta a travs de medios electrnicos por un periodo que determine cada banco o institucin financiera en sus polticas de operacin, de acuerdo con el servicio de que se trate y en funcin de los riesgos inherentes al mismo. En los casos anteriores, la institucin deber prever procedimientos para el restablecimiento de contraseas o claves de acceso que aseguren que el cliente correspondiente sea quien las restablezca, de acuerdo a lo que el medio electrnico de que se trate permita. Los bancos e instituciones financieras podrn hacer uso de preguntas secretas, siempre que las respuestas respectivas sean almacenadas en forma encriptada y que cada pregunta pueda ser utilizada en una sola ocasin para el restablecimiento de sus contraseas. j) Evitar el acceso en forma simultnea mediante la utilizacin de un mismo Identificador del cliente, al sitio de la red electrnica mundial denominada Internet que corresponda al dominio del banco o institucin financiera disponible para la realizacin de consultas, operaciones monetarias y cualquier otro tipo de transaccin bancaria.

COSTA RICA

k) Realizar campaas de difusin de recomendaciones de seguridad dirigidas a sus clientes, para la realizacin de operaciones a travs de instrumentos electrnicos de pago.

COSTA RICA

En el caso propiamente del estndar EMV, segn se deriva de los expuesto por las entidades bancarias, las mismas exigencias establecidas por VISA y Mastercard han llevada a las adquisiciones de equipo complementario que cuente con la tecnologa EMV, esto con la finalidad de asegurar una mayor seguridad en las transacciones. Concretamente, en las diferentes entidades se ha implementado el uso de dispositivos de seguridad, mismos que se tornan ya sea obligatorios o voluntarios, as por ejemplo se ofrecen herramientas como el Token o el teclado virtual, est ltimo aparece en la pantalla de ingreso de Internet de la entidad que lo tenga implementado, en los casos en los que la herramienta es gratuita y optativa para quienes decidan no utilizarlo, el sistema les limita automticamente la inclusin de cuentas favoritas lo cual los lleva a realizar la gestin en las agencias y/o sucursales. Asimismo, otras herramientas utilizadas corresponden al Token Llavero, el Token Tarjeta y el Token Celular, los cuales tienen la caracterstica de funcionar como una cdula de identidad en formato electrnico al cual se combina con la informacin de usuario y contraseas establecidas por el cliente. Otras herramientas que se estn poniendo en prctica corresponden a las tarjetas con Clave Dinmica. Finalmente, desde las asociaciones gremiales se han establecido procesos de autorregulacin de buenas prcticas bancarias para la proteccin y la seguridad de las transacciones efectuadas con dichos instrumentos, asimismo se han implementado campaas educativas relacionadas con el campo. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No, porque es un estndar privado. En Chile se implementan normas genricas, no se establecen normas tecnolgicas de ningn rea de la industria bancaria. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No, porque al ser una tecnologa esta puede cambiar en el tiempo e implicara modificar las leyes permanentemente. Desde el punto de vista legal existe la Ley de firma digital simple y avanzada para las operaciones que realiza la industria bancaria.

CHILE

10

3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. N.A. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? La estrategia que se ha usado consiste en securitizar cada uno de los canales en base a 2 formas de autentificacin, que pueden ser pin, token, biometra, tarjeta de coordenadas, entre otras. Esto se ha implementado en canal Internet con doble autentificacin (pin, token, tarjeta de coordenadas y/o biometra). En cuanto al parque de tarjetas de crdito y dbito se ha homologado el uso de pin en su utilizacin. Posteriormente, una vez que los clientes se acostumbren a su uso, se agregar el segundo factor de autentificacin. Esto ha permitido tener cero fraudes en Internet en toda la industria bancaria y se espera disminuir la clonacin de tarjetas de crdito. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? Si, la Superintendencia de Bancos e Instituciones Financieras de Chile a travs de la Recopilacin Actualizada de Normas, en el captulo 1-7, donde indica el uso de al menos 2 factores de autentificacin robusta genrica. Link a dicha norma: http://www.sbif.cl/sbifweb/internet/archivos/norma_87_1.pdf 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? N.R.

CHILE

11

7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? CHILE 8. Esto debiera ser respondido por las propias instituciones financieras. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? Los proyectos se llevan a cabo bajo el alero de la Asociacin de Bancos y en concordancia con la Superintendencia de Bancos. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? En Ecuador no existe legislacin o normativa que obligue a implementar el estndar EMV. 2. ECUADOR Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? En el Comit de Seguridades de BANRED (Operador de red de cajeros automticos) se ha iniciado la evaluacin de los impactos operativos y econmicos que representara el proyecto de implementar EMV. La red BANRED incorpora a las principales instituciones emisoras locales. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. El proyecto del Comit de Seguridades tiene nicamente los estimados de costos para el reemplazo de tarjetas, procesos operativos de canje y actualizaciones de HW y SW de los cajeros automticos y POS.

12

4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? El Comit de Seguridades de BANRED ejecut los proyectos para la implementacin de los protectores de teclado en los ATMs, transacciones de control que registran las visitas de vigilancia que se realiza a los cajeros y se evalu algunas alternativas de doble autenticacin. Sobre este ltimo tema se desecho su implementacin por el costo econmico y operativo que representaba para las instituciones. Actualmente tambin se evala la instalacin de dispositivos electrnicos "anti-skimming" en los cajeros automticos. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? En Ecuador no existe legislacin o normativa sobre este tema. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Ver respuesta No. 4 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? VENTAJAS: - Claves nicas, generadas aleatoriamente. DESVENTAJAS: - Complejo proceso para la implementacin masiva para usuarios de canales como el ATM - Cambios de los procedimientos actuales de los clientes al usar los canales como los ATMs, usar nuevos dispositivos puede complicar la funcionalidad de las transacciones. - Costos de los dispositivos

ECUADOR

13

VULNERABILIDADES: - No se han identificado vulnerabilidades importantes. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? - Principalmente las definiciones de estndares tcnicos y operativos para evitar desarrollos particulares que a futuro complican la integracin. - Por economas de escala, se podra tener mejor capacidad de negociacin con proveedores ( tarjetas, hw y sw ) - Campaas de difusin de proceso de cambio, capacitacin a usuarios, etc. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No existe la legislacin en referencia. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? EL SALVADOR No hay un proyecto de industria para implementar el estndar EMV. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. N.A. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito?

ECUADOR

14

Uso de CVV2, ofuscar la informacin correspondiente al nmero de tarjetas de crdito en vouchers, difusin de informacin en websites para prevenir phising. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No existe la legislacin en referencia. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? EL SALVADOR 7. No existe un proyecto de industria, pero en lo individual algunos bancos dispones de este tipo de mecanismo. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? N.R. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? No hay proyectos de implementacin coordinados por medio de la gremial. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No existe.

GUATEMALA

15

2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No existe. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. No. Depende de los estndares internacionales que emitan los emisores Master Card y Visa, quienes en su momento podran fijar e implementar en Guatemala, estndares en ese sentido. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? GUATEMALA No se tiene conocimiento de que se estn evaluando otras medidas para disminuir el fraude. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No existe. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No existe. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales?

16

No se han efectuado anlisis a profundidad de otras opciones. GUATEMALA 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? No se ha tratado el tema a profundidad. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATM?s? No 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Los Bancos Emisores de Tarjetas de Crdito no se han acercado a la Asociacin Bancaria para montar ningn proyecto con el propsito de implementar la tecnologa EMV. HONDURAS 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. N/A 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Cada Banco tiene su propia tecnologa y procedimientos operativos para reducir el fraude relacionado con clonacin de Tarjetas de Dbido y Crdito. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)?

17

No hay ninguna legislacin que obligue el uso de mecanismos de autenticacin como TOKEN, BIOMETRIA, etc. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No existe HONDURAS 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? N/A 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? A nivel de Asociacin Bancaria se implement una Campaa de Educacin en el Uso de la Tarjeta de Crdito. Esta Campaa inclua educacin financiera encaminada a evitar riesgos de fraude en la misma. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? MXICO No 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Algunas entidades acordarn el estndar de su preferencia a nivel local para la interoperabilidad internacional migraran a EMV.

18

3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. Se va a iniciar la migracin, por lo cual no existe tal evaluacin an. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Ninguna. Se encuentra en evaluacin. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? MXICO No 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? NIP 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? No se usan estos dispositivos en canales no presenciales. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? Ninguna.

19

1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No existe legislacin que obligue a la implementacin del estndar EMV. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? A nivel del Comit de Prevencin de Fraudes de la ABP, se han tenido conversaciones especficamente con Visa Inc. sobre este tema de EMV, en donde se les ha solicitado hagan una visita a Panam para profundizar sobre las ventajas de esta nueva plataforma, an no se tiene fecha fija para esta visita. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. PANAM No se tiene Proyecto de Implementacin de EMV por parte de ningn Miembro en Panam, sin embargo, la principal ventaja es la autenticacin de la transaccin y la disminucin del riesgo de duplicado de la informacin de la tarjeta que utiliza este estndar. Por otro lado la mayor desventaja son los altos costos que involucra la implementacin del estndar. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Se ha mencionado en Sesiones anteriores del Comit de Prevencin de Fraudes de la ABP, la necesidad de que todos los Emisores puedan validar 100% la pista 1 de la banda magntica de la tarjeta y a su vez los Adquirentes puedan enviar en el mensaje de Autorizacin el valor de este campo, si dicho valor no coincide con el Emisor la transaccin puede ser declinada enviando un mensaje de alerta de fraude y de esta forma se puede reducir el riesgo de fraude por clonacin. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)?

20

No existe legislacin sobre este tema. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? La implementacin de mecanismos fuertes de autenticacin en canales no presenciales es decisin de cada entidad, algunos bancos por ejemplo tienen una visin ms profunda del Riesgo y han implementado mecanismos ms robustos que otros bancos. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? La respuesta a esta pregunta debe ser respondida por la Coordinacin del Comit de Banca Electrnica. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? No se tiene este proyecto de EMV, por lo que las acciones se tomarn en su momento en la medida que se logren avances. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? PARAGUAY No existe legislacin al respecto. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Se ha conversado con una entidad emisora, pero no se ha iniciado ningn proyecto formal.

PANAM

21

3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. No existe proyecto y tampoco se ha evaluado otras opciones. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Ninguna. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No existe ninguna legislacin respecto a datos. PARAGUAY 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No existe ningn proyecto, niveles de fraudes bajos y costo de implementacin muy alto. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? Se ha evaluado token y tarjeta de coordenadas. En todas se ha encontrado con la complejidad en la administracin de los dispositivos. (Bloqueos por pedidas, reasignacin de dispositivo, bajas, etc.) 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? No existen proyectos a nivel pas.

22

1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta dnde llega la obligacin: emisin de tarjetas; POS, ATMs? No existe tal legislacin. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? S. Ya se realiz un proyecto piloto con las entidades afiliadas a VISA, con resultados positivos. Est pendiente de realizacin el proyecto piloto para Mastercard. Cabe sealar que el 100% de POS de VISA y Mastercard ya estn habilitados para operar con tarjetas con chip. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. Se ha identificado como ventaja que el chip no se puede clonar. Se identifica como desventaja que el parque de POS en el exterior an no lee chips. De este modo, los fraudes que se evitan dentro del pas podran realizarse desde fuera, cuando las personas viajen al exterior. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas de dbito y crdito? Se ha evaluado asociar el uso de claves dinmicas con las tarjetas. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc.)? No existe tal legislacin. Sin embargo existe una recomendacin gremial para que consideren estos mecanismos en sus desarrollos. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)?

PER

23

S, se ha implementado como proyecto de algunas entidades, existiendo los token, tarjetas de coordenadas, y la personalizacin de la pgina web. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP) qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial en canales no presenciales? En cuanto al uso del token, la desventaja es que si el cliente cuenta con ms de una tarjeta, tendr que acumular varios token, lo que podra resultar incmodo. Asimismo, en cuanto al SMS, se identifica que ste no evita algunas modalidades de fraude (como man in the middle y man in the browser). Finalmente, en cuanto a la tarjeta de coordenadas, una desventaja es que sta debe ser reemplazada cuando se han usado todas las opciones de claves, adems que es pasible de ser atacada mediante phishing. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? Se han realizado campaas educativas con participacin de entidades reguladoras y de proteccin de usuarios pblicas y privadas; igualmente se han efectuado reuniones de coordinacin con RENIEC (Registro Nacional de Identificacin y Estado Civil), que es el organismo que administra el sistema de identificacin de personas en el pas y que prximamente renovar el documento de identidad incorporando la tecnologa de Chip. Mantener informada a la Superintendencia de Banca acerca de los desarrollos tecnolgicos que impulsan las entidades financieras. Las coordinaciones con las marcas de tarjetas es fundamental para definir las adecuaciones necesarias, definicin de la localidad para efectuar el proyecto piloto y la actualizacin del parque de Puntos de Venta. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No existe Legislacin que obligue a implementar el EMV. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV?

PER

REPBLICA DOMINICANA

24

Incluye toda la industria o es proyecto de alguna(s) entidad(es)? De parte de la Asociacin de Bancos Comerciales de la Repblica Dominicana, no se tiene ningn proyecto de implementacin de EMV 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. N.A. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Las medida que ms se ha evaluado es la implementacin de la norma PCI (aseguramiento de informacin), en esto tambin juegan un papel fundamental las compaas adquirientes donde deben establecer la normativa PCI a los sistemas de los comercios afiliados. 5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No existe legislacin que obligue a implementar mecanismo de autenticacin fuerte tales como Token, Biometra, etc. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No existe proyecto de implementacin de autenticacin fuerte. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado

REPBLICA DOMINICANA

25

en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? REPBLICA DOMINICANA An no se ha realizado evaluaciones en implementaciones de mecanismos de autenticacin fuerte. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? N.A. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? No. 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? URUGUAY No. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. N.A. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? N.A.

26

5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? No. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? No. URUGUAY 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? N.A. 8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? N.A. 1. Existe en su pas legislacin que obligue a las entidades financieras a implementar el estndar EMV? Si su respuesta es S, hasta donde llega la obligacin: Emisin de tarjetas, POS, ATMs? VENEZUELA Las franquicias de tarjetas emprendieron el proyecto de migracin de la plataforma de banda magntica por tecnologa EMV, en este caso MasterCard indic la aplicacin de un cambio de responsabilidad (Liability Shift) donde los adquirentes que no estn en capacidad de aceptar transacciones va EMV y las transacciones fueran reportadas como fraudulentas, asumiran el costo del fraude del emisor, bajo una

27

ventana de contracargos establecidas en las reglas y normas de operaciones de las Franquicias. El mismo entr en vigencia a partir del da 01/07/2009 y aplica a todos los emisores, adquirentes, redes y procesadores de medios de pago electrnico. Visa indic como base de cumplimiento que los adquirentes y emisores hayan migrado ms del 50% para julio del ao 2010. Por otra parte la Superintendencia de Bancos y otras Instituciones Financieras (Sudeban) implement en el ao 2009 la Resolucin 339.08 (ANEXO 1) y la Ley de Tarjetas de Crdito y Dbitos (ANEXO 2), en las que solicitan a la Banca la implementacin de un sistema de autentificacin robusto que permita dar seguridad a las transacciones basadas en medios de pago y canales electrnicos. No indican que tecnologa pero sugieren que sea EMV, Biometra u OTP, el plazo de implementacin es Julio del 2010. La Obligacin es de Adquirente y Emisor, por lo que incluye el cambio de los productos y la adaptacin tecnolgica en los canales de uso. VENEZUELA 2. Independiente de si el tema est legislado, existe algn proyecto para implementar el estndar EMV? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Ya que est legislado por las franquicias y el contralor bancario, el proyecto incluye todo el gremio bancario, sin excepcin. 3. Si existe algn proyecto de implementacin del estndar EMV, indique cules Ventajas y cules Desventajas han encontrado en la evaluacin de la implementacin del estndar EMV como medida para disminuir el fraude bancario. Definitivamente la tecnologa basada en banda magntica caduc hace muchos aos, por ende, no acepta mas ajustes tecnolgicos. La implementacin del Chip incidir directamente en los casos de falsificacin de bandas magnticas (Clonacin), que representa aproximadamente el 90% de los fraudes reportados por las instituciones financieras en Venezuela. Entre las ventajas de aplicacin del Chip, es que aparte de robustecer la seguridad transaccional tiene una gama de aplicaciones de negocio y personalizacin de segmentos. Las desventajas de aplicacin de la tecnologa EMV, evidentemente son los costos operativos y las inversiones derivadas de la adaptacin de

28

los canales, sustitucin de los plsticos (el costo por tarjeta vara en ms de un 500%), desarrollos de interfaces y cambio en los procesos operativos de manejo de controversias y recuperacin de operaciones. Estas inversiones no pueden aplicar a un solo perodo ya que al comparar el caso de negocio no es justificable de primera mano. Es importante acotar que los fraudes recibidos bajo modalidades de Tarjeta No Presente (MO/TO), no son mitigados bajo esta tecnologa. 4. Qu otras medidas, diferentes a EMV, han evaluado pueden ser ms eficientes para disminuir el fraude bancario, en especial relacionado con la clonacin de tarjetas dbito y crdito? Entre las diversas tecnologas de autentificacin robusta para transacciones electrnicas evaluada por el gremio bancario en los ltimos 5 aos. estn: VENEZUELA

Biometra: La aplicacin es muy costosa y la idea es poder intercambiar las minucias de forma digital ante todos los emisores y adquirentes va electrnica, por ende debe obtenerse una Base de Datos con las huellas y Algoritmos de autentificacin Interbancaria. Lo ideal es incluir al Estado en la obtencin de la data de todos los habitantes y residentes para poder comparar. Hasta el momento ha sido infructuoso el acuerdo, sin embargo existe una propuesta emanada por la Sudeban, donde solicitan Biometra para el pago de Pensionados va ATM, podra ser el momento de establecer un estndar de autentificacin. como medida paliativa en la mitigacin de la Usurpacin de Identidad y optar como segundo elemento de autentificacin en el chip. OTP : One Time Password, va token fsico o virtual a travs de mensajera SMS, para evitar los costos de reposicin de los dispositivos, daados o extraviados por los clientes. La generacin de los password estaran vinculados a elementos de uso y expiracin por tiempo y sesin.

5. Existe en su pas legislacin que obligue a las entidades financieras a implementar un mecanismo de autenticacin fuerte para canales no presenciales (como token, biometra, CAP, etc)? La Superintendencia de Bancos y otras Instituciones Financieras (Sudeban) implement en el ao 2009 la Resolucin 339.08 y la Ley de Tarjetas de Crdito y Dbitos, en las que solicitan a la Banca la

29

implementacin de un sistema de autentificacin robusto que permita dar seguridad a las transacciones basadas en medios de pago y canales electrnicos. No indican que tecnologa pero sugieren que sea EMV, Biometra u OTP, el plazo de implementacin es Julio del 2010. Por otra parte la misma regulacin exige la instalacin de certificados digitales en las transacciones WEB, a fin de certificar el No Repudio Transaccional. 6. Independiente de si el tema est legislado, existe algn proyecto para implementar mecanismos fuertes de autenticacin en canales no presenciales? Incluye toda la industria o es proyecto de alguna(s) entidad(es)? Incluye a todo el gremio, sin embargo, existen entidades que ya han instalado previamente esta tecnologa (Certificados Digitales) como atractivo de negocio y seguridad a sus clientes Jurdicos. 7. Al evaluar diferentes opciones de OTP (eje. Token, SMS, tarjeta de coordenadas, CAP). Qu ventajas y qu desventajas han encontrado?. Qu dificultades y vulnerabilidades han encontrado en las herramientas que han evaluado, desde la perspectiva de seguridad en las transacciones bancarias, en especial, en canales no presenciales? En Venezuela existe una diversidad de aplicaciones de seguridad instaladas en todas las pginas de Banca en Lnea, lo importante de la aplicacin es que sea instalada bajo las configuraciones pertinentes de expiracin por tiempo y sesin, por otra parte debe educarse a los clientes sobre la importancia de contar con un elemento extra de autentificacin y evitar ser vctimas de timaciones y engaos bajo la modalidad de "Ingeniera Social". De igual manera, deben contar con sistemas antivirus originales, reconocidos, vigentes y actualizados que puedan detectar la intrusin de software malicioso (Troyanos) y otras modalidades delictivas tales como Overlapping (Zolapamiento) y Men in the middle (Hombre en el medio o Phishing 2.0). Entre las desventajas en la aplicacin de sistemas rgidos de autentificacin se tiene el costo (TOKEN y TARJETAS DE COORDENADAS), ya que la vida til de uso y abuso del dispositivo puede estar en 2 meses. En Venezuela lo ideal es OTP va SMS ya que el mercado de penetracin de Telefona Celular (1er nivel) en muy alta.

VENEZUELA

30

8. Si en su pas tienen como proyecto o han implementado el estndar EMV y/o algn mecanismo de autenticacin fuerte, qu acciones se han considerado deben coordinarse desde las asociaciones gremiales (eje. Educacin a clientes, coordinacin del proyecto a nivel pas)? VENEZUELA Evidentemente las acciones para la implementacin de mecanismos alternos de autentificacin, debe ser gremial y apoyado por el estado, ya que las organizaciones delictivas estarn migrando hacia las instituciones que no hayan cumplido, afectando e impactando su rentabilidad (asumir el fraude de los emisores, en el caso de adquirente) e impactando a los que ya han cumplido con las regulaciones a travs del compromiso de informacin y exposicin de data sensible por medio del uso de la redes de interconexin. Uno de los elementos bsicos en la prevencin de Fraudes est atado a la educacin que se brinda a los clientes, comercios afiliados y empleados bancarios, ellos como ente multiplicador.

31