Superfinanciera
Normatividad de tratamiento de la información de las personas
Vive Digital
Normatividad que rige en el sector TIC en Colombia
Gestión documental
Normatividad de recuperación de desastres – Backup
SCADA
Normatividad para el sector de telecomunicaciones
Superfinanciera
Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados; Información confidencial (52): ‘toda aquella información amparada por la reserva bancaria v. gr. número de cuenta; número de identificación personal (PIN); número de tarjeta física; información sobre depósitos o inversiones de cualquier tipo, créditos, saldos, cupos y movimientos de cuenta, siempre que vayan acompañados del nombre o número de identificación del cliente.’
CÓDIGO PENAL, LEY 1273 DEL 5 ENERO DEL 2009 – PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS (PI).

Cualquier empresa que maneja bases de datos obtenidas sin autorización de su propietario o que contiene datos personales que han sido obtenidos sin la debida autorización del usuario esta incurriendo en un delito que puede acarrear entre 4 y 8 años de prisión y una multa de 100 a 1000 SMLV.

‘Artículo 269F. VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.’

LEY 1266 DEL 2008 – LEY HABEAS DATA (HD)
ARTÍCULO 2o. AMBITO DE APLICACIÓN. La presente ley se aplica a todos los datos de información personal registrados en un banco de datos, sean estos administrados por entidades de naturaleza pública o privada….. Igualmente, quedan excluidos de la aplicación de la presente ley aquellos datos mantenidos en un ámbito exclusivamente personal o doméstico y aquellos que circulan internamente, esto es, que no se suministran a otras personas jurídicas o naturales.’

• Principio de veracidad: comprobable y comprensible.
• Principio de finalidad: debe ser información al titular si este lo solicita.
• Principio de circulación restringida.
• Acceso técnicamente controlado a usuarios autorizados.
• Principio de temporalidad: únicamente mientras que sirva su propósito. (OJO)
• Principio de seguridad: los registros y las consultas resultantes deben evitar adulteración, pérdida, consulta o uso no autorizado.
• NO requiere el consentimiento previo y expreso del titular ‘en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros países.’

CIRCULAR 52 DEL 2007 SUPERFINANCIERA (52)
Obliga a las entidades vigiladas tener en cuenta en la contratación de outsourcing:
– SLA (acuerdo de niveles de servicio).
– Acuerdo de confidencialidad.
– Restricciones sobre software empleado.
– Normas de seguridad informática y física.
– Procedimientos a seguir cuando se evidencia alteración o manipulación de equipos o información.
– Planes de contingencia y continuidad.
– Identificación física de los funcionarios
– Cifrado fuerte para envío y recepción de información (3DES o AES).

Circular 52 exige a entidades vigiladas:
– Gestionar seguridad de la información usando como referencia los lineamientos de la ISO27001.
– Envío de información a clientes en condiciones de seguridad. Correo cifrado.
– Dotar de seguridad los equipos y redes.
– Estar libre de software malicioso
– Proteger claves y evitar claves compartidas. Deben ser únicas y personalizadas.

CIRCULAR BÁSICA JURÍDICA SUPERFINANCIERA. (CBJ)
CIRCULAR 48 DEL 2008 (48)
Terceros deben atender las recomendaciones de la circular
– Cuando hay cesión de cartera el comprador DEBE observar las pautas de cobranzas establecidas por el Superfinanciera
– La gestión debe efectuarse con profesionalismo y respeto
– Todo cobro debe implicar una actividad real, y el costo debe corresponder a los costos previamente publicados.
– Cobros deben ser razonables y proporcionados a la gestión.
– Actividades realizadas deben ser registradas con constancia documental (reproducción fiel).
– Se debe proporcionar al cliente información actualizada y cierta.
– Horarios que no afectan intimidad personal y familiar.
– Retroalimentación inmediata de acuerdos y pagos.
– Registro a que casa de cobro fue remitido.

Prohíbe:
• Presionar el pago informando a terceros de la mora.
– Fijar avisos
– Chepitos
– Informar en diarios
• Cambiar condiciones y gastos de cobro sin informar a los clientes por medio de extractos.
• Cobrar en forma automática gastos de cobro

LEY 1328 DEL 2009 – PROTECCIÓN AL CONSUMIDOR FINANCIERO (PCF)
La Ley 1328 de 2009 consagró un régimen especial de protección a los consumidores financieros que tiene como propósitos generales:(i) fortalecer la normatividad existente sobre la materia, (ii) buscar el equilibrio contractual entre las partes y (iii) evitar la asimetría en la información.

Para el cumplimiento de estos propósitos, el Capítulo III de la Ley 1328 de 2009 estableció una de las principales estructuras del régimen de protección al consumidor financiero. Se trata de la obligación a cargo de las entidades vigiladas de implementar un “Sistema de Atención a los Consumidores Financieros” –en adelante SAC-, el cual debe propender porque: (i) se consolide al interior de cada entidad una cultura de atención, respeto y servicio a los consumidores financieros; (ii) se adopten sistemas para suministrarles información adecuada; (iii) se fortalezcan los procedimientos para la atención de sus quejas, peticiones y reclamos; y (iv) se propicie la protección de los derechos del consumidor financiero, así como la educación financiera de éstos.

CIRCULAR 042
La Circular 042 del 2012 regula las obligaciones mínimas que deben cumplir las entidades destinatarias con el fin de promover mecanismos que protejan y aseguren las operaciones, lo cual, evidencia el compromiso del actual Superintendente Financiero y de sus dos antecesores en la protección del consumidor financiero.

Colombia es uno de los países latinoamericanos que ha presentado en los últimos años cifras alarmantes de fraude electrónico y en particular de suplantación de identidad. En esta última modalidad, la Fiscalía General de la Nación registró a junio de 2012 aproximadamente 6.500 casos. Dado que este tipo de fraudes afecta principalmente a los usuarios de servicios financieros, la Superintendencia Financiera de Colombia emitió la Circular Externa 042 de 2012, que hace imperativo para sus entidades vigiladas, el uso de mecanismos fuertes de autenticación en sus canales transaccionales.
El objetivo principal de esta disposición es brindar herramientas más robustas para la protección de las operaciones que realizan clientes y usuarios del sector financiero a través de los diversos medios electrónicos. En términos generales es la más reciente norma que regula las obligaciones mínimas que deben cumplir las entidades destinatarias con el fin de promover mecanismos que protejan y aseguren las operaciones, lo cual evidencia el compromiso del actual Superintendente y de sus dos antecesores en la protección del consumidor financiero.
El camino para llegar a la Circular 042 inició en el 2007, cuando fue expedida la Circular externa 052, y posteriormente la Circular 022 de 2012. Ambas normas presentaron vacíos en lo relacionado a los procesos de autenticación y es así como la Supe-rintendencia Financiera decide acertadamente emitir una regulación favorable para los usuarios de las entidades bancarias.
La Circular presentó una serie de modificaciones que pretenden mitigar los robos en servicios financieros en línea, así:
1. El desarrollo de la Banca Móvil como canal de distribución de servicios financieros.
2. La definición de la autenticación como el conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. También se definen que los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es.
3. La definición de forma clara y precisa de los mecanismos fuertes de autenticación que debería implementar el sector financiero de la siguiente manera: Biometría, certificados de firma digital, OTP (One Time Password), en combinación con un segundo factor de autenticación, tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación, y registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.
En relación con las tarjetas débito y crédito, además de que hay plena claridad de que las mismas deben manejar internamente mecanismos fuertes de autenticación (de antemano la Circular las enumera de forma precisa), también se modifica de forma sutil la obligación de hacer uso esta vez no del verbo “ofrecer” sino del verbo “entregar” a sus clientes tarjetas con las mencionadas características, sin dejar duda alguna de la obligación.
No solo basta con una norma para proteger a los clientes y usuarios de los riesgos en la red, las entidades destinatarias tienen un papel fundamental al promover no solo el cumplimiento de los requerimientos mínimos, sino por el contrario que vayan más allá, y busquen el cumplimiento de estándares más robustos de seguridad que permitan consolidar a través de canales seguros y de calidad la confianza de los usuarios, confianza en la cual se fundamenta el sector.
Erick Rincón, gerente general de Certicámara / Claudia Elena Escobar, directora de canales y alianzas de Certicámara.

Recomendaciones
– Evitar la instalación de dispositivos o programas de captura. (key/screen loggers)
– Instalación de programas y dispositivos únicamente por personal autorizado.
– Sinconrizar relojes (ntp.sic.gov.co)
– Atención a personas con discapacidades.
– Dejar constancia de operaciones con: fecha, hora, código equipo, operación, cuenta, costo.
– Conservar información de compromisos con clientes por 2 años.
– Registro de consultas de usaurios con: id del funcionario, canal, equipo, fecha y hora.
– Grabar llamadas que conllevan a la consulta o actualización.
– Conservar información 2 años o hasta que se extinga la obligación (judicial).
– Sistemas Operativos con seguridad C2.
– Software con soporte del fabricante o proveedor.
– Cámaras de video con registros (1 año)
– Información que viaja debe ser cifrada por h.w. de propósito específico o s.w. combinado (AES 3DES) e independientes y separados de otros dispositivos.
– Area exclusiva para operación con controles físicos y lógicos de acceso.
– Impedir acceso de dispositivos de comunicación, almacenamiento o conectividad a una red externa.
– Dedicación de los equipos.
– Bloquear acceso a internet, al menos que tenga equipo que registra información enviada (1 año).
– No se permite gestionar usando excel, Access etc.
– No se permite usar equipos sin licencias
– Usuarios tienen que tener controles
– Hay que mantener registros.
– Administración de seguridad mas sofisticado
– Windows Nativo: no cumple la seguridad C2, requiere configuración adicional. No impide instalacion de software. Usuarios con permisos de administrador (estándar). No encripta datos. Puertos USB abiertos. Sin parches, hackeable en menos de 3 min. Recomendable: Utilizar políticas de grupo, con un servidor de dominio, Eliminar usuarios con permisos de administración e Implementar autenticación biométrica.
– Restringir y controlar acceso a internet (firewall dedicado)
– Bloquear activamente sitios no autorizados
– Configurar Antivirus globalmente
– Software para bloquear uso de USB (políticas de grupo, antivirus)
– Encriptar discos de portátiles (truecrypt, bitlocker windows enterprise)
– Re-direccionar todo archivo a red, no guardar nada localmente.
– Escaneos de vulnerabilidades regulares (ej nessus).
– Backups a la nube.
– Ambientes de contingencia
– Ambientes de pruebas
– SW robusto que se adapta y cumple normativa.
– Restringir que aplicaciones pueden ejecutar en los PC usando politicas de grupo.
– Restringir uso de celulares personales.(detectar, bloquear..)
– Definir y publicar políticas de utilización permitidas relacionadas con los sistemas informáticos de su empresa.
– Manual interno de políticas y procedimientos
– Controlar el acceso a la información.
– Solicitar a la fuente la certificación de la autorización.
– Conservar con seguridad los registros.
– Actualizar y rectificar los datos.

ELEMENTOS DE RIESGO
• Copias
• Hackeo
• Errores
• Instalaciones
• Daños

• Arriba

Normatividad de tratamiento de la información de las personas
LEY ESTATUTARIA NO. 1266 DEL 2008. LEY DE HABEAS DATA
El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

LEY 1581 – LEY DE PROTECCIÓN DE DATOS PERSONALES
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
La norma establece los principios, deberes de los responsables y de los encargados del tratamiento. Por otra parte la norma establece que se requiere de una autorización previa, expresa e informada por parte titular del dato que este pueda tratarse.
Adicionalmente la ley estableció dos categorías de datos que reciben especial protección: (i) los datos sensibles y (ii) los datos personales de los niños, niñas y adolescentes. Los datos sensibles son aquellos que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (origen racial, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, de la vida sexual y datos biométricos). Su tratamiento está, en términos generales, prohibido salvo que concurra alguna de las siguientes excepciones: (i) autorización explícita del titular (ii) tratamiento necesario para salvaguardar su interés vital, (iii) realización del tratamiento en actividades legítimas relacionadas con el derecho de asociación, (iv) el ejercicio o defensa de un derecho en un proceso judicial o (v) tratamientos con finalidad histórica, estadística o científica. Respecto a los datos de menores de edad, se debe tener en cuenta que aunque la ley proscribe su tratamiento la Corte Constitucional precisó que tal prohibición debe interpretarse de forma tal que sí se pueda llevar a cabo pero siempre con plena protección de los derechos fundamentales del menor.
Un tema relevante de la ley, consiste en la designación de la Superintendencia de Industria y Comercio como autoridad competente en materia de protección de datos personales, a través de la creación de una delegatura, la cual se encargará de garantizar el cumplimiento de lo establecido en la ley sobre tratamiento de datos. A dicha entidad se le facultó para imponer sanciones que van desde multas, pasando por suspensión de actividades e incluso la suspensión definitiva de las operaciones que involucren tratamiento, a los Responsables o Encargados del Tratamiento que no cumplan con los deberes que establece la ley. Igualmente la norma creó el Registro Nacional de Bases de Datos, el cual será administrado por la SIC y exigirá que las bases de datos que involucren datos personales sean debidamente registradas ante la entidad.
Por último, la norma prohíbe la transferencia de datos personales a terceros países que no proporcionen niveles adecuados de protección del dato. Y para ello se designó a la Superintendencia de Industria y Comercio como la entidad encargada de certificar los países que cuenten con un nivel de protección adecuado. Para aquellos casos en los que la transferencia se vaya a realizar a un país que no tenga un nivel de protección adecuado, se requerirá del consentimiento expreso e inequívoco del Titular. Esta disposición será aplicable también a los datos financieros.
DECRETO 1377 DE 2013 – Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos personales contenidos en sus sistemas de información y replantear sus políticas de manejo de información y fortalecimiento de sus herramientas.
El Decreto tiene como objetivo facilitar la implementación y el cumplimiento de la ley 1581 reglamentando aspectos relacionados con la autorización del titular de la información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de la información, entre otros.

• Arriba

Vive Digital
El Plan Vive Digital impulsa el gran salto tecnológico a través de la masificación del uso Internet con el fin de reducir la pobreza y generar empleo. Para lograrlo el Plan impulsa el ecosistema digital del país conformado por 4 grandes componentes: Infraestructura, Servicios, Aplicaciones y Usuarios.
Usuarios: Los usuarios hacen uso de las aplicaciones e indirectamente de los servicios e infraestructura para consumir y producir información digital. Los usuarios en este ecosistema somos todos los que usamos Internet, telefonía celular o cualquier otro medio de comunicación digital.
Infraestructura: La infraestructura corresponde a los elementos físicos que proveen conectividad digital. Algunos ejemplos son las redes de fibra óptica nacional, las torres de telefonía celular con sus equipos y antenas, y las redes de pares de cobre, coaxiales o de fibra óptica tendidas a los hogares y negocios.
Servicios: Los servicios ofrecidos por los operadores hacen uso de la infraestructura y permiten desarrollar la conectividad digital. Algunos ejemplos de servicios son el servicio de Internet, el servicio de telefonía móvil o el servicio de mensajes de texto (SMS).
Aplicaciones: Las aplicaciones son herramientas informáticas que le permiten a los usuarios comunicarse, realizar trámites, entretenerse, orientarse, aprender, trabajar, informarse y realizar una serie de tareas de manera práctica y desde distintos tipos de terminales como computadores, tabletas o celulares.

GOBIERNO EN LINEA
Tu punto de acceso oficial a la información, trámites y servicios del Estado Colombiano

DECRETO 2573 DE 2014
Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.
Las entidades poseen en la información un activo de gran importancia que debe ser protegido, para lo cual se deben tener en cuenta los riesgos en los diferentes espacios y momentos en los que ésta se manipula. La protección de datos personales, el manejo de la reserva, la gestión segura de la tecnología son elementos cruciales en la protección de la relación del Estado con sus usuarios, razón por la cual las entidades requieren del establecimiento de sistemas de seguridad de la información que les permitan manejar los riesgos identificados.
Asi mismo, entre otras cosas, exigen que el encargado de la seguridad informática sea diferente al jefe de sistemas e integrara el comité encargado de la implementacion del plan. Tambien exigen capacitaciones en el tema. Determinan esquemas de Monitoreo y evaluacion sujetos a la seguridad de la informacion. La adopcion del SGSI, determinan los lineamientos de la arquitectura de GEL y de a la complementación del modelo de seguridad de la información 2.0.
http://programa.gobiernoenlinea.gov.co/apc-aa-files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf

Fases de Gobierno en línea
1. Elementos transversales: Lo que las entidades deberan implementar desde el analisis de las necesidades, actualizacion tecnologica, Sistema de Gestion Tecnologica de Informacion y Planes de Ajuste. Incluyendo politicas de seguridad – sistema de gestión de seguridad de la información (SGSI)
2. Informacion en linea: disponibilidad, accesibilidad, estándares de seguridad y dispuesta de forma tal que sea fácil de ubicar, utilizar y reutilizar.
3. Interaccion en Linea: Herramientas de comunicación de doble via. Habilitacion de espacios electronicos.
4. Transaccion en linea: Fromularios electronicos, pagos en linea, ventanillas unicas virtuales, expedicion de certificados, firmas electronicas, etc.
5. Transformacion: Cero Papel. Implementacion de actividades para el intercambio de información entre entidades.
6. Democracia en Linea: Que el ciudadano participe activa y colectivamente en la toma de decisiones.
7. Plazo de implementación: Entidades Nacionales 2013-2015. Entidades territoriales 2013-2017.

• Arriba

Normatividad que rige en el sector TIC en Colombia
Ley 1341 de 2009 – Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.
DECRETO 4948 DE 2009
Por el cual se reglamenta la habilitación general para la provisión de redes y servicios de telecomunicaciones y el registro de TIC.
Servicios de telecomunicaciones. La Dirección de Vigilancia y Control del MINTIC ejerce la función de vigilancia y control sobre la provisión de redes y servicios de comunicaciones.
Normas: Resolución 000202 de 2010, Ley 1341 de 2009, Decreto 091 de 2010.
Ley 1245 de 2008 – Por medio de la cual se establece la obligación de implementar la portabilidad numérica y se dictan otras disposiciones.
Resolución CRC 2355 de 2010 – Por la cual se establecen las condiciones para la implementación y operación de la Portabilidad Numérica para telefonía móvil en Colombia.

• Arriba

Gestión documental

LEY 594 DE 2000
Por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones. Reglamentada parcialmente por los Decretos Nacionales 4124 de 2004, 1100 de 2014.

Decreto Numero 2609 de 2012
Por el cual se reglamenta el Título V de la Ley 594 de 2000, parcialmente los artículos 58 y 59 de la Ley 1437 de 2011 y se dictan otras disposiciones en materia de Gestión Documental para todas las Entidades del Estado.

• Arriba

Normatividad de recuperación de desastres – Backup

SCADA

Normatividad para el sector de telecomunicaciones
Es obligatorio para las empresas de telecomunicaciones tener un sistema anti denegación de servicios.

• Arriba