Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

HSBCnet Procedimientos de Seguridad Dispositivos de Seguridad

Anuncio 
HSBCnet Procedimientos de Seguridad – dispositivos
HSBCnet Procedimientos de Seguridad
Dispositivos de Seguridad
Enero 2009
La parte A no tiene obligatoriedad legal.
La parte B forma parte del Contrato Maestro de Canales Electrónicos celebrado
con el cliente y sí tiene obligatoriedad legal.
1
HSBCnet Procedimientos de Seguridad – dispositivos
Características de Seguridad de HSBCnet
x
Robustos procesos de autenticación.
x
Protección contra el registro secuencial de teclas (keylogging) y ataques de
“denegación de servicio”.
x
Autenticación de dos factores con dispositivos de seguridad que generan
contraseñas que se usan una sola vez.
x
Sesiones cifradas entre el cliente y HSBC (SSL v.3 128 bits).
x
Protección de la información sensible en tránsito y almacenaje para asegurar la
confidencialidad de los datos del cliente.
x
Mecanismos de seguridad conforme a las normas de la industria para proteger la
infraestructura.
x
Revisión regular independiente de la seguridad del sistema.
x
Políticas de seguridad de la información robusta y sometida a revisión con
regularidad que abarcan el desarrollo y la administración de los sistemas y la
instalación.
x
Arreglos integrales para contingencias y respaldo.
x
Monitoreo de seguridad veinticuatro horas al día, siete días a la semana y un
equipo centralizado de manejo de incidentes.
x
Rastro de auditoría para las actividades administrativas y transaccionales.
2
HSBCnet Procedimientos de Seguridad – dispositivos
Contenido
PARTE A – Resumen de Seguridad………………………………..4
1. Introducción – El enfoque de HSBC respecto a la seguridad en
Internet………………………………………………………………...4
2. El entorno en HSBCnet……………………………………………...6
3. Características de Seguridad en HSBCnet……………………….9
4. Preguntas frecuentes………………………………………………12
5. La alianza por la Seguridad……………………………………….14
PARTE B – Procedimientos de Seguridad…………….………..15
3
HSBCnet Procedimientos de Seguridad – dispositivos
PARTE A
1. Introducción
El enfoque de HSBC respecto a la seguridad en Internet
Cuando se proveen productos a través de Internet, es esencial asegurar una seguridad robusta.
Conforme avanza la tecnología, también aumentan las diversas amenazas que enfrentan los
negocios en este entorno, por lo que para el mantenimiento de un servicio adecuadamente seguro se
requiere un enfoque holístico sólido para combatir estos riesgos.
HSBC busca proveer a nuestros clientes un entorno robusto, confiable y seguro en línea en el cual se
puedan hacer negocios. La manera como buscamos lograr esto es con la adopción de las mejores
tecnologías disponibles, la formulación de las políticas y procedimientos de sistemas que han
probado ser las mejores prácticas y la dedicación de recursos expertos para su implementación y
monitoreo. Empleamos las soluciones técnicas que cumplen con las normas de la industria para
autenticar la identidad de nuestros clientes cuando inician sesión, a fin de asegurar que sus datos se
transmitan en forma segura y confiable, y que los datos que conservamos de nuestros clientes estén
protegidos. Tenemos planes de respaldo y contingencia para asegurarnos de minimizar las
interrupciones al servicio, sea cual sea su origen. Haciendo uso de nuestra considerable experiencia
como proveedores de sistemas de banca electrónica seguros, operamos también una estructura de
control y respaldo diseñada para asegurar que atendamos todos los aspectos de los riesgos que se
enfrentan al proporcionar banca transaccional en línea.
Este resumen está diseñado para describir las características de control técnicas y operativas de
HSBCnet. Esta introducción describe la infraestructura general de control y gobernabilidad en la que
se desarrollan y administran todas nuestras aplicaciones de Internet. Las secciones posteriores del
documento describen las principales características de nuestra infraestructura de seguridad.
Política y normas del Grupo HSBC
El establecimiento, monitoreo y revisión periódica de las políticas y procedimientos constituyen una
piedra angular del enfoque de HSBC con respecto al control de los riesgos operativos. Tenemos un
conjunto integral de normas informáticas que abarcan áreas fundamentales del desarrollo, ejecución,
respaldo y mantenimiento y arquitectura de las aplicaciones de Internet, así como la administración
de las instalaciones de sistemas. En particular, las normas y principios de seguridad se establecen en
la Política y Normas de Seguridad Informática del Grupo. Estas normas, cuyo responsable ejecutivo
general es el Director General de Operaciones del Grupo, son congruentes con las mejores prácticas
de la industria (incluida la norma internacional de administración de seguridad informática ISO 17799)
y con todos los requisitos regulatorios pertinentes en los mercados en que operamos.
La responsabilidad diaria de esta política y, en particular, de asegurar que siga proporcionando un
marco adecuado para la administración de riesgos de seguridad, corresponde al Director de
Seguridad Informática del Grupo. Como reflejo de los rápidos cambios que ocurren en la tecnología
de Internet (y, por ende, en la naturaleza de los riesgos de seguridad que se enfrentan), la política
está bajo revisión continua. Además, se programan revisiones y modificaciones periódicas formales,
con base en las opiniones de los profesionales de negocio y seguridad informática de todo el Grupo.
De esta manera, podemos beneficiarnos con la experiencia de nuestro personal en los principales
mercados en los que operamos a fin de asegurarnos que la política atienda no sólo las
consideraciones locales sino también las mundiales.
Administración de seguridad informática
4
HSBCnet Procedimientos de Seguridad – dispositivos
Los profesionales de seguridad informática están ubicados en las principales regiones en que opera
el Grupo. Su papel principal es dar asesoría a la directiva respecto a consideraciones de seguridad
informática, pero también tienen el mandato de llevar a cabo revisiones de seguridad independientes
a las aplicaciones de Internet. Cada lanzamiento importante de una funcionalidad de HSBCnet está
precedido por una revisión independiente de Seguridad Informática, que incluye el cotejo con las
políticas y normas de seguridad informática del Grupo y las pruebas de vulnerabilidad a nivel de
plataforma y de aplicación. Todos los problemas principales se resuelven a la plena satisfacción de
Seguridad Informática antes del lanzamiento.
Este personal monitorea todos los aspectos de la seguridad informática pertinentes para nuestras
aplicaciones de Internet en forma continua, y llevan a cabo revisiones periódicas de los principales
riesgos de seguridad informática del Grupo en las principales subsidiarias operativas.
Administración de riesgos electrónicos
A fin de asegurar que se mantenga un enfoque balanceado y holístico respecto a la seguridad en
Internet, hemos establecido una serie de áreas especializadas en riesgos de Internet. Estas áreas
trabajan en estrecho contacto con Seguridad Informática y proporcionan una interfaz crítica para el
negocio y para las personas a cargo de los riesgos operativos generales. Aseguramos así que
nuestro enfoque respecto a los riesgos de Internet no quede aislado del control y la gobernabilidad
generales de nuestro negocio. Estas funciones incluyen al Director de Administración de Riesgos
Electrónicos, quien está dedicado a promover las normas de administración de riesgos operativos
para nuestros sistemas de Internet (incluido HSBCnet) y un grupo directivo de riesgos electrónicos
compuesto por múltiples áreas que brindan asesoría a la Dirección General respecto a las mejores
prácticas y ayudan a formular las políticas operativas.
Auditoría interna y externa
HSBC cuenta con un área de Auditoría Interna fuerte e independiente, que incluye un equipo de
auditores especializado en sistemas. Auditoría Interna trabaja de cerca con el negocio para asegurar
que se incluyan los niveles adecuados de control técnico, de proyecto y operativo en todos nuestros
procesos, pero mantiene su independencia. Auditoría Interna debe revisar los lanzamientos de
sistemas importantes antes de su implementación y tienen el mandato de revisar cualquier otro
desarrollo de productos o sistemas con base en su evaluación del riesgo del desarrollo en cuestión.
Además del visto bueno de Auditoría Interna, los consejos gerenciales ejecutivos y de administración
del Grupo reciben regularmente resúmenes respecto a la administración de los riesgos de seguridad
en el Grupo que les hace llegar KPMG, los auditores externos del Grupo HSBC.
Relaciones con entidades reguladoras
HSBC se mantiene en contacto constante con los reguladores y se beneficia de las discusiones sobre
temas técnicos, de gestión y mercados pertinentes. Contamos con funcionarios específicos para dar
seguimiento al cumplimiento normativo en todos nuestros principales sitios de operaciones, quienes
están a cargo de asegurar que nuestros sistemas de Internet cumplan con los requisitos de los
reguladores en todos los mercados en que operamos y buscan participar activamente en los
organismos pertinentes de la industria y en los foros sobre normatividad para ayudar a desarrollar las
mejores prácticas de la industria.
5
HSBCnet Procedimientos de Seguridad – dispositivos
2. El entorno HSBCnet
Capacitación y conscientización del personal
HSBC pone gran énfasis en la capacitación para asegurar que nuestro personal esté consciente de la
importancia de la seguridad para nuestro negocio y la naturaleza de los riesgos en constante
evolución que enfrentamos. Cada miembro de nuestro personal debe cumplir con un conjunto integral
de disciplinas de seguridad para asegurar que operen los sistemas de HSBC con seguridad.
Reevaluación continua
La vigilancia es esencial al combatir las amenazas de seguridad que se enfrentan en el entorno de
Internet. Continuamente examinamos qué tan adecuadas son nuestras medidas de seguridad para
asegurar que nos mantengamos a la vanguardia y actuemos con rapidez si identificamos
vulnerabilidades.
El resto de este documento describe las características sobresalientes de la seguridad de HSBCnet.
Sin embargo, estas características seguirán evolucionando y aquellas descritas en las secciones
siguientes serán complementadas y mejoradas.
Si hay algún aspecto de seguridad que no parezca estar cubierto por este documento y que usted
desearía se tratara, póngase en contacto con su representante local de HSBC. Si se trata de
información que no tenemos inconveniente en compartir con usted, esperamos poder darle la
seguridad que requiere. Sin embargo, esperamos que entienda que, por su seguridad, hay aspectos
de nuestros arreglos de seguridad que deben seguir siendo confidenciales.
La seguridad, confiabilidad y resistencia de los sistemas de Internet deberán fundamentarse en
asegurar que la infraestructura subyacente del servicio esté segura y se cuente con los arreglos
adecuados para contingencias. Esta sección describe algunas de las características clave de control
que emplea HSBC para cumplir con estos requisitos. Nótese que por razones de seguridad no
podemos describir aquí todas las medidas de seguridad que operamos ni podemos abundar en los
detalles de las que sí describimos. Además, en muchos casos no hablaremos respecto de los
productos de seguridad de terceros que usamos.
Seguridad
Una meta crítica para asegurar que se provea un servicio de Internet robusto y seguro es asegurar el
hospedaje de la infraestructura subyacente y el respaldo del sistema.
Existen dos aspectos clave para hacer esto: asegurar el perímetro para prevenir y detectar intentos
externos no autorizados de obtener acceso a nuestros sistemas y controlar la infraestructura de
servicios de Internet residente detrás de ese perímetro.
Aseguramiento del perímetro
Negar acceso al entorno en el que opera nuestro servicio de Internet a partes externas no autorizadas
es un objetivo clave para garantizar la seguridad general del sistema. Algunas de las medidas
existentes para lograr esto incluyen:
6
HSBCnet Procedimientos de Seguridad – dispositivos
x
Firewalls estándar de la industria
Los firewalls regulan y monitorean el tráfico entre nuestros sistemas y la Internet, evaluando la
autenticidad y la integridad de las transmisiones de datos y enfocándose en negar acceso a nuestros
sistemas a las partes no autorizadas. HSBC ha implementado firewalls estándar de la industria para
proteger el perímetro y la infraestructura clave de nuestros sistemas. Los ingenieros de seguridad
administran los firewalls en forma centralizada veinticuatro horas al día, siete días a la semana, y las
acciones de los administradores de los firewalls se revisan diariamente. Todos los firewalls se
mejoran y minimizan.
x
Red IDS estándar de la industria (NIDS)
El software de detección de intrusiones mantiene una vigilancia constante de nuestros sistemas.
Busca identificar el tráfico inusual en la red que puede contener material dañino y emite alertas o
pone en cuarentena los archivos de datos según sea necesario para su análisis subsecuente. HSBC
ha implementado un sistema de detección de intrusiones en la red estándar de la industria (NIDS),
que un grupo de monitoreo centralizado de seguridad vigila veinticuatro horas al día, siete días a la
semana.
x
Pruebas de penetración
Terceros independientes realizan pruebas de penetración en nuestros sistemas con regularidad,
simulando ataques a los mismos en un entorno controlado para ver cómo lidian con la amenaza.
x
Control de acceso
Para controlar el acceso necesario a nuestros sistemas, todo el personal técnico de HSBC requiere
una autenticación de dos factores para poder acceder a los dispositivos dentro del perímetro seguro y
la infraestructura de servicios de Internet. Si bien no podemos detallar la naturaleza de esta
metodología de acceso, la autenticación de dos factores funciona bajo el principio que el personal
debe no sólo saber algo (p.ej. la contraseña) sino también poseer algo (p.ej. una tarjeta inteligente)
para permitirles obtener acceso. Esto representa un fortalecimiento considerable de la seguridad en
comparación con la autenticación tradicional de un solo factor.
Infraestructura de servicios de Internet
Una meta igual de importante que evitar el acceso no autorizado a nuestros sistemas es asegurarse
que esos sistemas estén bajo un estricto control. Las medidas para lograr esto incluyen:
x
Construcción de servidores
Todos los servidores son cargados y configurados de acuerdo con los requisitos de construcción
estándar, que incluyen el kit de herramientas de seguridad estándar. Todos los servidores son
mejorados y minimizados de acuerdo con los requisitos funcionales y son probados para detectar
vulnerabilidades de seguridad antes de su instalación (con todas las deficiencias resueltas). Una vez
instalados, se prueban con regularidad todos los servicios para detectar vulnerabilidades de
seguridad. Los parches de seguridad se implementan conforme a un modelo formal con base en el
riesgo.
x
Control de acceso
Usamos software de administración de acceso para gestionar el acceso a todos los dispositivos de la
infraestructura veinticuatro horas al día, siete días a la semana. El acceso no privilegiado sólo se
provee al personal de soporte de HSBC que lo requiere y puede proporcionar las aprobaciones
especificadas correspondientes de HSBC. El personal de soporte no cuenta con acceso privilegiado
7
HSBCnet Procedimientos de Seguridad – dispositivos
fijo. Una vez que se proporciona, el acceso privilegiado sólo se otorga por un periodo de tiempo
aprobado por HSBC; una vez que se cumple ese plazo, se revoca el acceso.
x
Detección de intrusiones con base en el host (HIDS)
HSBC ha implementado un sistema de detección de intrusiones con base en el host estándar de la
industria (HIDS). El HIDS se implementa en todos los servidores dentro de la infraestructura de
servicios de Internet y, de manera similar al NIDS, monitorea la actividad del servidor para identificar
códigos dañinos o actividades inusuales. Un grupo de monitoreo centralizado de seguridad lo vigila
veinticuatro horas al día, siete días a la semana.
x
Administración de cambios
Monitoreamos y aprobamos cualquier cambio a la infraestructura con nuestra aplicación Flujo de
administración de cambios.
x
Pruebas de seguridad de la infraestructura
Además de las pruebas del perímetro asegurado, se llevan a cabo también con regularidad pruebas
independientes de vulnerabilidad a los servicios de Internet residentes.
x
Pruebas de seguridad de las aplicaciones Web
Antes de la implementación del nuevo código en el entorno de los servicios de Internet, se llevan a
cabo pruebas de vulnerabilidad de las aplicaciones de red. Esto significa que cualquier nueva
funcionalidad introducida en el servicio HSBCnet habrá sido verificada para evaluar su integridad
antes de que se la ofrezcamos a usted.
Otras medidas
x
Notificación y respuesta de nuevas vulnerabilidades
Una característica destacada del riesgo de seguridad en Internet es lo rápido que este medio
evoluciona y cambia. Buscamos asegurar que cuando se descubran nuevas vulnerabilidades o se
desarrollen nuevos métodos de atacar los sistemas nosotros los conozcamos y podamos emprender
acciones oportunas. Para este fin, HSBC ha implementado un sistema de alertas de administración
central que recibe los avisos de vulnerabilidad de seguridad de reciente publicación (para todos los
productos usados) y los envía a la parte responsable con base en perfiles predefinidos.
x
Protección contra virus
La creciente proliferación de códigos maliciosos, virus, gusanos e híbridos es un hecho desafortunado
del entorno de Internet. Dichos códigos tienen el potencial de ser altamente destructivos. HSBC
emplea una protección contra virus estándar de la industria.
x
Programa de respuesta ante incidentes de seguridad
A pesar de todas las precauciones, es un hecho que en la seguridad de Internet que pueden ocurrir
intrusiones. Nuestra meta respecto al manejo de intrusiones es tener la capacidad de identificar y
responder con rapidez en caso que surja un incidente. HSBC tiene un equipo centralizado específico
de respuesta ante incidentes que proporciona una cobertura veinticuatro horas al día, siete días a la
semana, que gestiona todos los aspectos de cualquier incidente en conjunto con su centro de soporte
HSBCnet. Los principales incidentes de seguridad se administran e investigan de acuerdo con un
conjunto formal de procedimientos.
8
HSBCnet Procedimientos de Seguridad – dispositivos
Contingencia y recuperación
Con una meta tan crítica como lo es la seguridad, la meta es proporcionar un servicio estable y
continuo mediante el establecimiento de arreglos de contingencia ininterrumpidos y robustos. Dos
objetivos principales de esto son el asegurarnos de contar con una infraestructura adecuada para
hospedar los servicios (sin degradación del servicio si se recurre a los arreglos de contingencia) y que
la funcionalidad de los productos individuales se pueda recuperar con rapidez.
Recuperación de negocios y operaciones
HSBC ha construido una sólida infraestructura de sistema que busca asegurar un alto grado de
disponibilidad del mismo. Todos los componentes clave del sistema en los países en que tenemos
presencia están conectados a una fuente de poder ininterrumpida (UPS), lo que busca minimizar el
impacto en caso de interrupciones de energía.
Todos los sistemas operativos cuentan con tecnología de respaldo y arreglos de contingencia.
Existen también sitios para contingencias en Hong Kong SAR, el Reino Unido y los Estados Unidos.
En todas las principales regiones en que operamos, nuestros desarrolladores internos de software
proporcionan soporte las veinticuatro horas en caso de fallos en el software.
Además de los procedimientos de recuperación para los diversos componentes que respaldan a
HSBCnet, contamos con procedimientos de contingencia en caso de fallos en el software para el
personal en nuestras áreas de operaciones y soporte. Todas las sucursales y departamentos de
HSBC mantienen y actualizan con regularidad los planes de recuperación de negocio (BRPs).
Recuperación de producto
HSBC cuenta también con una capacidad considerable de recuperación ante desastres, la cual está
diseñada para minimizar el impacto y la duración de las interrupciones al servicio para sus clientes y
socios. Al centro de esta capacidad se encuentra una arquitectura robusta de red multisitio con
características intrínsecas de redundancia y balance de carga. Nuestro sitio Web tiene una capacidad
de recuperación ante desastres, que incluye un sitio de respaldo en un lugar físico aparte.
3. Características de seguridad de HSBCnet
Cuando considera la seguridad de un producto de Internet (a diferencia de la infraestructura
subyacente que se trató en la sección anterior), HSBC ha identificado tres áreas de interés clave:
x
¿Cómo el producto autentica mi identidad para asegurarse que sólo un usuario autorizado pueda
tener acceso y, por ende, asegurarse que las transacciones que realice se puedan identificar de
manera única (no sean repudiadas)?
x
¿Qué tan segura es la transmisión de datos entre nosotros y HSBC?
x
¿Qué tan seguros están mis datos de negocio confidenciales?
Esta sección detalla las características de seguridad de la aplicación HSBCnet que buscan atender
cada una de estas áreas y trata otras características de seguridad y control del sistema.
Nótese que, una vez más, por razones de seguridad esta sección no describe las características del
9
HSBCnet Procedimientos de Seguridad – dispositivos
sistema y los controles que operamos en su totalidad.
Autenticación
Credenciales de seguridad y autenticación de dos factores
HSBCnet busca autenticar a los usuarios que inician sesión en el sistema con base en un conjunto de
credenciales, cada una de las cuales está diseñada para combatir los diversos aspectos de los
riesgos que se enfrentan cuando se autentica la identidad en la Internet. HSBCnet autentica la
identidad de un usuario de varias maneras, cada una de las cuales está diseñada para equiparar los
riesgos asociados con el servicio o la función a la que se está teniendo acceso a un nivel de
seguridad adecuado. Estos métodos incluyen los nombres de usuario y contraseñas tradicionales,
complementados con el uso de una credencial adicional que llamamos “pregunta secreta”, la cual
brinda protección contra los ataques de denegación de servicio, y la autenticación de dos factores,
que usa tarjetas inteligentes y/o dispositivos de seguridad que generan contraseñas de única vez.
Los servicios y funciones de más alto riesgo están protegidos con una autenticación de dos factores
(en el caso de dispositivos de seguridad a nivel de inicio de sesión). La autenticación de dos factores
representa una mejora considerable a la seguridad tradicional basada en contraseñas, ya que se
basa no sólo en lo que usted sabe —en este caso un número de NIP— sino también en algo que
usted tiene físicamente. Un ataque potencial, por lo tanto, debe obtener el segundo factor físico —el
dispositivo de seguridad o tarjeta inteligente— y el NIP que lo protege antes de poder poner en riesgo
la cuenta de un usuario, eliminando muchos de los riesgos omnipresentes que surgen de la
naturaleza distribuida del Internet.
Intentos de acceso no autorizado
Si alguien trata de acceder a su cuenta de usuario HSBCnet sin las debidas credenciales, el sistema
bloqueará la cuenta después de un cierto número de intentos fallidos.
Sin embargo, a fin de mitigar el riesgo que alguien bloquee maliciosamente su cuenta de usuario
HSBCnet, HSBC ha implementando la protección contra los ataques de denegación de servicio.
Esta busca asegurar que una persona que sólo conozca el nombre de usuario no pueda bloquear la
cuenta de ese usuario simplemente capturando valores incorrectos cuando se le pidan.
Transmisión de datos de seguridad
Los datos de seguridad sensible (p.ej. la contraseña) se enmascaran en la pantalla cuando se
capturan. Cuando se estén transmitiendo a HSBC desde el navegador del cliente, la transmisión de
los datos se hará cifrada (vía SSL – Secured Socket Layer). Al llegar a HSBC, estos datos se cifran
en las bases de datos. Incluso los administradores de HSBCnet no tienen acceso a esta información.
Si alguien obtuviera mis credenciales y pudiera acceder al sistema, ¿cómo pudiera yo
determinar si eso ha ocurrido?
Existen facilidades en la aplicación HSBCnet que el cliente puede usar para revisar las actividades
hechas por un nombre de usuario específico.
x
Cuando inicie sesión, su principal página de inicio indicará la última vez que se haya iniciado
sesión con su cuenta.
x
Todas las actividades de negocio y administrativas realizadas por la cuenta de usuario se
pueden ver en la facilidad "consulta de actividad" (vea la página siguiente).
10
HSBCnet Procedimientos de Seguridad – dispositivos
Seguridad de las transmisiones de datos
Tanto la transmisión de los detalles de seguridad como todas las actividades administrativas y
transaccionales en línea entre el usuario y HSBCnet son cifradas con el protocolo SSL.
El cifrado básico involucra la transmisión de datos de una parte a la otra. El remitente cifra los datos
haciendo una recombinación aleatoria de los mismos y luego los envía. El destinatario debe devolver
nuevamente los datos a su estado original con el “decodificador” correcto a fin de leerlos y usarlos. La
efectividad del cifrado se mide en términos de qué tan compleja es la llave usada. Entre más
compleja es la llave, más tiempo le llevará a alguien que no tenga el decodificador correcto violar el
código. SSL es un protocolo estándar de la industria para asegurar las comunicaciones de Internet
entre los navegadores Web y HSBC. HSBC actualmente respalda el SSLv3 (cifrado de 128 bits).
Confidencialidad e integridad de los datos
HSBC emplea las mejores prácticas de la industria de seguridad para proteger los datos personales o
de los clientes. Nuestra declaración de privacidad de los datos se presenta a cada usuario para su
aceptación al momento del registro y detalla la protección que se otorga a los usuarios.
Además, ningún componente de la información del usuario se graba en disco o almacena en
servidores Web conectados a la Internet. Los servidores Web están separados físicamente de las
bases de datos de las oficinas administrativas que retienen los datos de las transacciones. Por lo
tanto, ningún componente de la información transaccional del cliente se mantiene en nuestros
servidores Web.
Los datos sensibles como las contraseñas de cliente se almacenan en bases de datos cifrados con
un módulo de seguridad del hardware.
Características funcionales
A continuación se describen algunas de las características funcionales incorporadas en HSBCnet
para permitir al cliente controlar con más facilidad el uso del sistema.
x
Niveles de acceso
HSBCnet proporciona dos niveles de acceso para el personal del cliente. Los administradores de
sistema pueden realizar (bajo control dual o único) tareas administrativas generales como dar de alta
usuarios y otorgarles permisos para usar las herramientas HSBCnet, así como la suspensión y
eliminación de usuarios. Los usuarios finales no tienen acceso a las funciones administrativas. A
cualquiera de los dos tipos de usuario se puede asignar funcionalidad transaccional, pero el sistema
es lo suficientemente flexible para permitir la total segregación de las funciones administrativas y
transaccionales.
x
Control de acceso de usuarios
La herramienta de control de acceso permite a sus administradores de sistema HSBCnet designados
determinar desde los derechos y permisos de acceso individuales a los usuarios hasta la vista de
nivel de cuenta y los límites de autorización de pagos. Se puede establecer el número de usuarios
requeridos para autorizar un pago, así como las combinaciones de niveles de usuario para los
diferentes valores de pagos. Puede establecer un sistema que requiera autorización para pagos que
sobrepasen un cierto valor desde un país aparte o en la oficina central. Esto permite un control total
de acceso y autorización, al tiempo que permite que se procesen los pagos de manera eficiente.
x
Control dual de autorización
Todas las funciones administrativas y de negocios esenciales de HSBCnet se pueden controlar con
11
HSBCnet Procedimientos de Seguridad – dispositivos
una autorización dual (un usuario envía la transacción/solicitud y otro debe autorizarla). Sin embargo,
la aplicación proporciona la flexibilidad para que el cliente defina si requiere dicha autorización dual o
no. En circunstancias normales de operación, nosotros recomendamos decididamente seleccionar la
opción de control dual.
x
Herramientas de bitácora de actividad (rastro de auditoría)
HSBCnet registra en una bitácora los eventos clave administrativos y transaccionales, los cuales
están disponibles para verse en línea a través de las herramientas de consulta de la bitácora de
actividad. Se proporciona un rastro de auditoría que permite un control interno retrospectivo y la
auditoría financiera de la actividad del sistema.
x
Límite de tiempo para sesiones inactivas
HSBCnet cuenta con parámetros de límite de tiempo para sesiones inactivas. Si una sesión se
mantiene inactiva por un periodo de tiempo establecido, se le dará por terminada y el usuario deberá
iniciar sesión nuevamente en la aplicación. Más aún, las páginas que el usuario haya visto durante la
sesión vencen también para evitar que se almacenen en el navegador, donde podría verlas
posteriormente otro usuario.
4. Preguntas frecuentes
Esta sección contiene una serie de preguntas relacionadas con la seguridad que no se abarcan
explícitamente en las secciones anteriores y que pudieran ser de su interés.
¿Cómo se que estoy iniciando sesión en HSBCnet y no en un sitio falso (spoof)?
La simulación que hacen los defraudadores de sitios Web de negocios verdaderos es cada vez más
común. El objetivo es engañar a los usuarios para que capturen su información confidencial de
seguridad en el sitio falso creyendo que están iniciando sesión en el servicio verdadero, con lo que
ponen en riesgo estas credenciales. Para combatir esto, HSBCnet tiene un certificado de servidor, el
cual verifica que el servicio hospedado es verdaderamente de HSBC cuando el usuario inicia sesión.
Sin embargo, debe tenerse cuidado cuando se confía en dichos certificados de servidor. Cada
usuario debe tener el cuidado de asegurarse que, cuando establecen una conexión SSL, el certificado
presentado sea de confianza. Si el protocolo de intercambio SSL viene precedido por un mensaje de
advertencia, debe revisar dicho mensaje con cuidado antes de aceptar y crear una relación de
confianza. Si establece dicha confianza (al aceptar un nuevo certificado) con una entidad
malintencionada, entonces toda la información que capture estará en riesgo.
Vale la pena hacer notar que, si bien la técnica de spoofing antes descrita pudiera llevar al usuario a
comprometer sus credenciales de seguridad, la autenticación de dos factores que usa HSBCnet
asegura que este método por sí solo no permita a un atacante poner en peligro los servicios
transaccionales.
¿Debo especificar la dirección IP del banco en mi firewall?
HSBC está en el dominio público, por lo que no es necesario que especifique la dirección IP del
banco.
¿Qué son cookies?
Las cookies son información almacenada directamente en la computadora que esté usando. Se
utilizan para dar a usted una experiencia más eficiente y congruente en un sitio. Las cookies
contienen información acerca de las preferencias de su computadora que permiten personalizar el
12
HSBCnet Procedimientos de Seguridad – dispositivos
sitio para su uso.
Las cookies pueden contener fechas de vencimiento e instrucciones específicas sobre que sitios Web
las pueden leer.
¿HSBCnet usa cookies?
Sí, pero sólo cookies transitorias que se borran automáticamente cuando usted cierra su navegador.
Nuestras cookies se utilizan para dar a usted una experiencia más eficiente y congruente en nuestro
sitio. Las cookies contienen información acerca de las preferencias de su computadora que permiten
personalizar el sitio para su uso. Sin embargo, en el caso de HSBCnet, las cookies se usan para fines
de la gestión de sesiones. Se usa una cookie de sesión para administrar las sesiones del usuario
mientras las mantiene abiertas. Los datos que contiene la cookie no se pueden recuperar
directamente, sino que hacen referencia al perfil del usuario, el cual está guardado con seguridad en
nuestros propios servidores. No almacenamos información delicada del cliente en la cookie.
En el inicio de sesión se genera más de una cookie, pero todas son transitorias. Por ejemplo, se
establece una cookie aparte cuando el usuario entra a la pestaña Información de mercado de la
página personal.
¿Qué se deja atrás en la PC del usuario después de una sesión de HSBCnet?
Tanto la cookie de sesión como la cookie de información de mercado son transitorias y se quitarán al
final de la sesión.
Puede haber también algo de memoria RAM aún en uso después de haber finalizado el programa,
pero esto es normal y la reusan otras aplicaciones cuando así lo requieren.
Algunas aplicaciones de HSBCnet pueden cargar archivos (p.ej. copias de estados de cuenta) a las
carpetas de archivos temporales de Internet. Estos archivos los tendrá que quitar manualmente el
usuario.
¿HSBCnet usa applets?
Hasta el momento no usamos applets en ninguna de las páginas creadas por HSBC.com
¿HSBCnet usa JavaScript?
HSBCnet usa JavaScript pero restringimos su utilización a los aspectos de la interfaz de usuario del
sitio y no la usamos para el manejo de los datos del cliente.
¿Cómo se atienden las consideraciones legales siguientes respecto a la seguridad?
x
Recuperación de llave de cifrado, custodia, procesos de retiros contractuales, responsabilidad
por transacciones en controversia
Si bien HSBC tiene procesos definidos para la recuperación y gestión de llaves, cualquier
consideración legal respecto a las llaves de cifrado se manejan caso por caso.
x
Procesos de retiros contractuales, responsabilidad por transacciones en controversia
El marco para la obligación contractual y la responsabilidad por transacciones se abarca ampliamente
en el contrato de servicio celebrado con el cliente.
¿Qué monitoreo realiza HSBC para detectar los ataques de denegación de servicio (DOS) en la
aplicación?
13
HSBCnet Procedimientos de Seguridad – dispositivos
Se adoptan los pasos siguientes:
x
HSBC monitorea el proceso de inicio de sesión y, si los tiempos de respuesta sobrepasan el
umbral fijado, entonces investigamos.
x
HSBC monitorea la utilización del procesador y, si se sobrepasan los umbrales fijados, entonces
Operaciones DC investigará.
x
Ambos sistemas están sometidos a un monitoreo las veinticuatro horas del día, siete días a la
semana.
5. La alianza por la seguridad
Asegurar que la banca en línea se pueda realizar en un entorno seguro depende en última instancia
no sólo del hecho que el prestador del servicio diseñe, construya y administre sistemas robustos, sino
también del hecho que los usuarios procedan con las precauciones de seguridad razonables.
La expectativa de HSBC es que los usuarios cumplan con los principios básicos de una buena
seguridad en Internet cuando operen HSBCnet. Por ejemplo, suponemos que nuestros usuarios no
darán a conocer su contraseña o NIP a otras personas y que ejercerán los controles adecuados sobre
los dispositivos de seguridad física.
Esto se extiende también a la necesidad de que los clientes tomen precauciones razonables de
seguridad en la operación de sus propios sistemas de cómputo (proporcionales a su relativa
complejidad). Por ejemplo, suponemos que nuestros clientes instalarán firewalls de red, les darán
mantenimiento y harán revisiones en busca de virus con regularidad. Algunos de estos requisitos de
seguridad se establecen en la parte B de este resumen, llamados Procedimientos de Seguridad.
Nuestra expectativa es también que los clientes seguirán todos los consejos de seguridad que
podamos publicar periódicamente respecto a la operación del sistema.
Soporte y orientación para clientes
HSBC reconoce la importancia de brindar asistencia a nuestros clientes para que se protejan contra
una amplia gama de riesgos de seguridad informática.
Tenemos un sitio Web para crear consciencia sobre la seguridad, al cual pueden acceder vía
HSBCnet, el cual exhortamos a todos nuestros clientes que lo usen.
Los materiales adicionales relativos a esta área y otros aspectos clave de la seguridad en Internet,
como el uso del correo electrónico, la Internet y material que detalla la naturaleza de las amenazas de
seguridad que enfrentamos, que incluye consideraciones como la ingeniería social, estarán
disponibles también en línea para los usuarios de HSBCnet. Además, su representante HSBC le
puede proporcionar también, cuando usted lo solicite, asesoría sobre las prácticas de seguridad.
14
HSBCnet Procedimientos de Seguridad – dispositivos
PARTE B
Procedimientos de Seguridad
Introducción
Esta sección (los “Procedimientos”) establece los Procedimientos de Seguridad mencionados en el
Contrato Maestro de Canales Electrónicos celebrado con el cliente.
El principal objetivo de esta sección es establecer los deberes que tienen los Clientes (“usted”) y sus
Usuarios nominados. Los Procedimientos buscan también (1) describir los procesos y procedimientos
que deben cumplir los Usuarios cuando accedan al Sistema y los Servicios; (2) describir las diferentes
facultades que se pueden asignar a los Usuarios y las restricciones que se puedan imponer al uso
que hagan del Sistema y los Servicios, así como dar a usted información suficiente acerca de la
seguridad del Sistema, de manera que pueda evaluar y aceptar el riesgo que implica su uso.
Esta versión de los procedimientos (versión 3) ha sido actualizada para abarcar las características de
seguridad adicionales que se han introducido para respaldar los servicios transaccionales en
HSBCnet.
Esta sección no busca servir de guía integral del Sistema y los Servicios, por lo que se puede
encontrar más información en las guías de cliente. En caso de incongruencias entre los
Procedimientos y las guías de cliente, prevalecerán los términos de estos Procedimientos, en la
medida de la incongruencia.
Todos los términos con mayúscula inicial que aparezcan en estos Procedimientos tendrán el
significado establecido en el Contrato Maestro de Canales Electrónicos, HSBCnet celebrado con el
cliente. Además, nótese que la cláusula 6.1 del Contrato de Servicio celebrado con el cliente requiere
que los clientes cumplan con estos Procedimientos.
1 El Sistema
HSBCnet es el portal de Internet de HSBC a través del cual usted tiene acceso a sus Servicios
seleccionados. Para acceder a HSBCnet, requiere un software de navegación y una conexión a
Internet, ya sea mediante conexión por marcación o a través de su red de área local (LAN).
2 Los Servicios
HSBCnet proporciona una variedad de Servicios a los que se puede acceder incluyendo el uso de un
dispositivo de seguridad físico que le otorga el Banco (con frecuencia llamado autenticación de dos
factores).
HSBC puede variar la naturaleza de estos métodos de autenticación y mejorar la seguridad de
cualquiera o todos estos servicios cuando así lo considere. Además, puede que no todos los métodos
de autenticación estén disponibles para todos los Usuarios. A manera de guía, los niveles de
autenticación actuales de los Servicios principales de HSBCnet son:
15
HSBCnet Procedimientos de Seguridad – dispositivos
Servicio
Acceso a la información de la cuenta
Descargar reportes del sistema
Identificador
Dispositivo de seguridad que genera
contraseñas de única vez (en el inicio de
sesión)
Preparación de pagos o transacciones
Aprobación de pagos o transacciones
Alta de perfiles de usuario adicionales
Dispositivo de seguridad que genera
contraseñas de única vez (en el inicio de sesión
y al ejecutar el servidor).
Carga de archivos al sistema
3 Usuarios
En el Contrato de Servicio HSBCnet, se hace referencia a los siguientes tipos de Usuarios:
Usuarios
Usuarios son todos los representantes autorizados por usted para usar el Sistema. Los Usuarios son
dados de alta por sus Administradores de Sistema nominados. Más allá de los Administradores de
Sistema iniciales que da de alta el Banco, todos los Usuarios posteriores son dados de alta y
controlados directamente por los Administradores de Sistema.
Administradores de Sistema
Los Administradores de Sistema son los responsables de dar de alta, autorizar y administrar los
usuarios (incluidos los otros Administradores de Sistema).
Los Administradores de Sistema dan de alta a los Usuarios (incluidos otros Administradores de
Sistema) para que usen el Sistema. Definen a qué Servicios tendrán acceso los Usuarios y, cuando el
Sistema lo permita, establecen niveles de permisos en el contexto de cada Servicio. Por ejemplo, un
Administrador de Sistema pudiera otorgar permiso a un Usuario para usar el Servicio de reportes de
cuentas internacionales y luego definir qué cuentas puede realmente ver el Usuario en ese Servicio.
Los Administradores de Sistema administran el uso que del Sistema hacen todos los Usuarios. Son
los responsables de asegurar que se suspendan los perfiles de Usuarios que estén de vacaciones,
por ejemplo, y que se eliminen cuando corresponda. Los Administradores de Sistema están
autorizados para dar mantenimiento a los perfiles de usuario cuando se requiera. Puede encontrar
información adicional sobre cómo los Administradores de Sistema dan de alta a los Usuarios y les
otorgan permisos para usar los Servicios en las guías de cliente de HSBCnet.
Identificación de usuario
Usted es el responsable de verificar la identidad de sus Usuarios, en particular de aquellos que
tengan permiso para hacer transacciones en su nombre.
Los Administradores de Sistema normalmente necesitarán identificarse formalmente y someterse a
una verificación de las direcciones que proporcionen por parte del Banco para fines del cumplimiento
con la normativa en materia de lavado de dinero. Su contacto HSBC local le avisará qué documentos
se requiere presentar o si se aplica alguna excepción para ciertos tipos de compañías.
16
HSBCnet Procedimientos de Seguridad – dispositivos
4 Registro para el Sistema
El registro para HSBCnet es directo y se conforma de los sencillos pasos siguientes:
Celebración del contrato de servicio
Este es el Contrato Maestro de Canales Electrónicos, HSBCnet que se necesita firmar de
conformidad con la autorización de la compañía. Captura la información siguiente:
x
Detalles de la compañía
x
Cuentas que se van a reportar a través de HSBCnet
x
Detalles de los Administradores de Iniciales del Sistema
Si desea que una de sus subsidiarias le reporte cuentas a través de HSBCnet, será necesario que se
asegure también que llene y firme la sección de Asociado del Cliente del Contrato de Servicio que
autoriza a la oficina del Grupo HSBC o de otro banco de su subsidiaria a reportar cuentas a través de
HSBCnet.
Registro de los Administradores Iniciales del Sistema
Se le pedirá que proporcione al Banco los nombres y la información de hasta cuatro Administradores
de Iniciales del Sistema. El Banco dará de alta por usted estos Administradores de Iniciales del
Sistema. Después de esto, usted será el responsable de todos los aspectos del alta de
Administradores de Sistema adicionales y Usuarios.
Registro de Usuarios adicionales
Si bien los Administradores Iniciales del Sistema los da de alta el Banco, los Usuarios adicionales
(incluidos los Administradores de Sistema adicionales) los dan de alta los Administradores Iniciales
del Sistema. El proceso de registro para los Usuarios adicionales es similar al proceso de registro en
línea del Administrador de Sistema descrito anteriormente, en el que los Usuarios llenan un formato
en línea, el cual es aprobado posteriormente por su Administrador de Sistema. Nótese que las
identidades de los Administradores de Sistema adicionales deberán ser verificadas por el Banco
como se describe en la sección anterior "Identificación de Usuario".
Cuando procesen una nueva solicitud de registro, se recomienda a los Administradores de Sistema
que, en todos los casos, hagan una verificación cruzada de la legitimidad de su fuente mediante un
canal que no sea la Internet. Por su naturaleza, las solicitudes de nuevo registro no se envían por un
canal seguro.
Identificadores
Esta sección describe los diversos identificadores usados para acceder a los servicios HSBCnet.
Nótese que algunos o todos estos métodos se pueden usar para autenticar a sus Usuarios cuando
accedan a los servicios de HSBCnet, y su utilización puede variar periódicamente a discreción del
Banco si fuera necesario para mejorar la seguridad.
Contraseña
La contraseña es una cadena de un mínimo de ocho caracteres alfanuméricos escogida por el
Usuario durante el registro.
Respuesta de la pregunta secreta
17
HSBCnet Procedimientos de Seguridad – dispositivos
Al registrarse en HSBCnet, se pedirá a los Usuarios que seleccionen una Pregunta Secreta y su
respuesta. La respuesta de la pregunta secreta se puede solicitar al momento de iniciar sesión, como
medida adicional de seguridad.
Dispositivo de seguridad protegido con NIP
Este es un dispositivo protegido con un NIP que genera códigos de acceso dinámicos de una sola vez
para acceder a HSBCnet. Estos códigos de acceso se pueden usar sólo una vez, vencen después de
un periodo de tiempo corto y son únicos para cada dispositivo y, por lo tanto, para cada cuenta de un
Usuario individual en cualquier momento.
El dispositivo de seguridad se usa tanto para acceder al sitio durante el inicio de sesión como para
volver a autenticar la identidad cuando se acceda a ciertas herramientas como se indicó
anteriormente en la sección 2.
La tarjeta inteligente y el dispositivo de seguridad son dos ejemplos de lo que se conoce comúnmente
como autenticación de dos factores, una forma de identificación que requiere que el Usuario no sólo
sepa algo (el NIP del dispositivo), sino también que tenga físicamente el dispositivo mismo.
5 ¿Qué hacer y qué no hacer respecto a la seguridad?
Usted es responsable por sus propios sistemas y por sus comunicaciones con el Banco, por lo que
debe implementar las medidas siguientes para protegerse, las cuales incluyen:
Credenciales de seguridad
Los Usuarios deben mantener a buen resguardo sus credenciales de seguridad (contraseña,
respuesta a la pregunta secreta, respuestas de seguridad, NIP de tarjeta inteligente, NIP de
dispositivo de seguridad o cualquier otra credencial de seguridad requerida para acceder a HSBCnet
según corresponda) y asegurarse que se mantengan secretas y no se las utilice ni se trate de
utilizarlas sin autorización. En particular:
x
Nunca escriba ni registre de modo alguno estas credenciales ni las haga del conocimiento de
otra persona;
x
Destruya oportunamente cualquier aviso de credenciales del Banco o de otras partes;
x
No use credenciales de seguridad que se puedan adivinar o deducir con facilidad (p.ej. detalles
personales, combinaciones sencillas de números) y siga siempre la orientación publicada en
HSBCnet respecto a la creación de contraseñas y NIPs;
x
Nunca registre contraseñas, respuestas a las preguntas secretas, respuestas de seguridad o
NIPs en software que las pueda retener automáticamente (por ejemplo, cualquier pantalla de
computadora o característica de "guardado de contraseñas" u otros parecidos en el navegador
de Internet de un Usuario);
x
Asegúrese que no haya personas observando directamente o monitoreando a través de un
circuito cerrado de TV a los Usuarios cuando éstos inicien sesión en el Sistema;
x
Cambie los NIPs tan pronto como los reciba, y en lo sucesivo tanto las contraseñas como los
NIPs con regularidad y no alterne contraseñas;
x
Nunca revele sus credenciales de seguridad al personal de HSBC. Deberá proceder con cuidado
cuando reciba correspondencia o comunicados que le soliciten que dé a conocer sus
contraseñas o detalles de su cuenta bancaria y reportarlos al Banco cuando tenga sospechas de
dicha correspondencia o comunicado;
18
HSBCnet Procedimientos de Seguridad – dispositivos
x
Asegúrese que, si sospecha que sus credenciales puedan estar en riesgo de cualquier modo,
emprenda acciones inmediatas para proteger su cuenta, ya sea cambiándolas o solicitando que
se suspenda la cuenta en tanto se emprenden las acciones necesarias para asegurarla. Deberá
revisar también la actividad reciente de su cuenta una vez que sospeche que sus credenciales
están en riesgo para identificar toda acción no autorizada.
Dispositivos físicos de seguridad
x
Los dispositivos físicos de seguridad (y, cuando sea necesario, los NIPs) se le hacen llegar a
usted mediante una variedad de formas de entrega. Debe informar con oportunidad a HSBC si
dentro de un periodo de tiempo razonable para el envío (normalmente siete días) no ha recibido
los paquetes enviados.
x
Cuando los paquetes que contienen los materiales de seguridad no se puedan entregar
directamente a las personas correspondientes en su compañía (p.ej. cuando tenga un área
especializada que se encargue de recibir el correo) usted será el responsable de asegurarse que
ese tercero pase el paquete directamente a la persona.
x
Cuando use un dispositivo físico de seguridad para acceder a los servicios de HSBCnet una vez
que el usuario se haya autenticado con el dispositivo, se abrirá una sesión segura, la cual
permanecerá abierta hasta que el usuario la cierre. Por lo tanto, es esencial que usted cierre su
sesión en HSBCnet cuando deje sola su terminal, aun si el servicio al que haya accedido con el
dispositivo físico de seguridad se haya cerrado.
x
Nunca deberá dejar los dispositivos físicos de seguridad sin supervisión o en un lugar donde
alguien los pudiera agarrar, independientemente del hecho que están protegidos con un NIP.
Esto incluye asegurarse que los dispositivos se guarden en un lugar seguro cuando no se están
usando.
x
Nunca deberá dar ni prestar su dispositivo físico de seguridad a otra persona.
x
Toda pérdida de un dispositivo de seguridad se deberá avisar al Banco de inmediato o
procesarse en línea con los procedimientos operativos establecidos para la administración de
cualquier dispositivo físico de seguridad.
x
Los dispositivos físicos de seguridad se deben almacenar bajo condiciones seguras a fin de
garantizar que se mantengan en condiciones operativas. Evite:
x
–
Temperaturas extremas;
–
Altos niveles de humedad;
–
Luz solar directa;
–
Voltajes incorrectos;
–
Sustancias corrosivas o químicas;
–
Agua, detergente, cloro, alcohol.
Siempre deberá seguir la orientación de uso y seguridad publicada en nuestro sitio o en las guías
del cliente que le proporciona HSBC.
Nótese que el Banco se reserva el derecho de demandar la devolución del dispositivo físico de
seguridad si considera que se le está dando un mal uso.
Compatibilidad del Sistema
19
HSBCnet Procedimientos de Seguridad – dispositivos
Debe asegurarse de tener hardware y software compatibles para acceder al Sistema. Los requisitos
técnicos mínimos se detallan en las guías del cliente de HSBCnet.
Normas de seguridad
Debe revisar sus procedimientos de seguridad internos según sea necesario para asegurarse que la
protección se mantenga actualizada. En particular, debe asegurarse que:
x
La tecnología de cifrado usada o requerida por el Banco en relación con el Sistema cumpla con
la legislación local del lugar desde donde se tenga acceso al Sistema.
x
Establezca y mantenga normas de seguridad del sistema para los componentes usados para
acceder a HSBCnet, de conformidad con las normas de la industria y las instrucciones del
proveedor, y adopte todos los parches, actualizaciones y demás medidas pertinentes
relacionadas con la operación o la seguridad o recomendadas por el Banco o los proveedores de
los componentes de hardware y software. Esto incluye la implementación y el debido
mantenimiento de firewalls y protección contra virus actualizados, medidas preventivas contra la
denegación de servicio y otras medidas de seguridad como el uso de software de detección de
intrusiones, de manera proporcional al tamaño y la complejidad de sus operaciones de
tecnología de la información.
x
El Banco supondrá que usted opera controles de tecnologías de la información y sistemas
conformes con las normas regulatorias pertinentes, por ejemplo, la ley Sarbanes-Oxley, según
corresponda.
Acceso al Sistema
Para prevenir el acceso no autorizado al sistema debe asegurarse que:
x
Los Usuarios cierren su sesión en el Sistema después de usarlo y no dejen solas las terminales
de acceso mientras esté abierta la sesión;
x
Los usuarios cierren su sesión en el Sistema adecuadamente con el botón “Cerrar sesión” de la
esquina superior derecha de la pantalla en lugar de sólo cerrar la ventana del navegador;
x
Usted notifique al Banco de inmediato cualquier acceso o uso no autorizado o sospechoso del
Sistema (incluidos los Identificadores) o cualquier transacción o instrucción no autorizada,
desconocida o sospechosa;
x
Usted retire los derechos de acceso y notifique al Banco de inmediato cualquier proceder
indebido real o posible de cualquier Usuario en conexión con los Servicios o cuando un Usuario
ya no tenga autorización para usar el Sistema (debido a la terminación de la relación laboral u
otro motivo);
x
Usted cumpla con todas las solicitudes razonables de ayuda que le haga el Banco, la policía o
cualquier otra autoridad reglamentaria para identificar violaciones a la seguridad reales o
posibles.
Carga de archivo (File Upload)
A fin de entregar el archivo que contiene las Instrucciones del Cliente para el Banco, debe capturar la
información requerida en la herramienta de carga de archivo que abarca el tipo de archivo, formato,
nivel de autorización requerido y país (cuando corresponda) antes de seleccionar el archivo en la
ubicación especificada. Una vez que haya seleccionado “Ir” y el Banco haya recibido el archivo, el
Banco emitirá un acuse sencillo en pantalla confirmando que ha recibido el archivo. El Banco llevará a
20
HSBCnet Procedimientos de Seguridad – dispositivos
cabo entonces una validación inicial antes de emitir un reporte de acuse de archivo, al cual deberá
acceder mediante la función Descarga de reportes y archivos.
Usted es el responsable de avisar al Banco si ha recibido un reporte de acuse de archivo sin haber
enviado archivo alguno, cualquier inexactitud en el reporte de acuse de archivo o si no ha recibido el
reporte de acuse de archivo dentro de un periodo de tiempo razonable. La herramienta Carga de
archivo de HSBCnet tomará el archivo de las Instrucciones del cliente de la ubicación especificada en
su sitio y la enviará al Banco. Por ello, es importante que se adopten medidas para minimizar la
posibilidad que se manipule el archivo antes de enviarlo. El Cliente será el responsable de asegurar
que sólo los archivos que cuenten con la debida autorización conforme a sus propios procedimientos
internos se envíen al Banco con la herramienta Carga de archivo. El Banco tratará los archivos (y las
Instrucciones de Cliente que contienen) recibidos vía la herramienta Carga de archivo como
debidamente autorizados por el Cliente.
En todas las situaciones, pero en particular cuando se envíen archivos preautorizados de
Instrucciones del Cliente al Banco, es extremadamente importante que se adopten las medidas
anteriores.
Ninguna parte de estos Procedimientos actuará en perjuicio de los términos de la cláusula 3 del
Contrato Maestro de Canales Electrónicos celebrado con el cliente, y en particular, de su obligación
de asegurarse que las Instrucciones del Cliente se transmitan correctamente al Banco.
6 Resolución de problemas
Disponibilidad de los servicios
Los Servicios normalmente estarán disponibles en todo momento, pero podemos suspender todo o
parte del Sistema o los Servicios en cualquier momento a nuestra discreción.
Nótese que la realización de una transacción no siempre es simultánea a la emisión de una
Instrucción de Cliente. Algunos asuntos pueden llevarse un tiempo para procesarlos y ciertas
Instrucciones de Cliente sólo se pueden procesar durante horario bancario normal, aun si los
Servicios puedan estar disponibles fuera de dichos horarios.
Soporte técnico
El Banco pone a disposición de todos los Usuarios soporte técnico en relación con el Sistema o los
Servicios de la siguiente manera:
x
Texto de ayuda en línea
El texto de ayuda está disponible en el Sistema y puede ayudar a los Usuarios a identificar y resolver
los problemas técnicos comunes.
x
Soporte del Administrador de Sistemas
Para la mayoría de los problemas con HSBCnet, la idea es que los Usuarios hablen con sus
Administradores de Sistema para tratar de resolverlos. Los Administradores de Sistema tienen la
capacidad de llevar a cabo varias tareas, entre ellas las modificaciones de los permisos del Usuario y
el reajuste de sus contraseñas.
x
Soporte del centro de asistencia
Cuando los Administradores de Sistema no puedan resolver los problemas, contamos también con
soporte telefónico disponible durante el horario bancario normal. A discreción del personal de HSBC,
21
HSBCnet Procedimientos de Seguridad – dispositivos
se puede solicitar a los Usuarios que verifiquen su identidad.
Soporte bancario
En caso que el Cliente no pueda usar el Sistema, se deberá poner en contacto con su centro de
asistencia a fin de hacer los arreglos de contingencia necesarios.
El Banco puede, a su discreción, requerir al Usuario que verifique su identidad como se describió
anteriormente.
Suspensión de usuarios
El Sistema permite a los Administradores de Sistema suspender a otros Usuarios. Esta característica
está pensada para su uso en situaciones donde se requiere deshabilitar temporalmente a un Usuario
para que no use el Sistema, por ejemplo, cuando salga de vacaciones. No está pensada para usarse
en situaciones donde existen preocupaciones serias de seguridad acerca del comportamiento de un
Usuario. En esos casos, los Administradores de Sistema deberán borrar de inmediato al Usuario del
Sistema. Si la suspensión es la única opción disponible (por ejemplo, porque sea necesario
deshabilitar urgentemente al Usuario y no esté disponible otro Administrador de Sistema para aprobar
su eliminación), se deberá hacerla junto con otras medidas de protección, como la recuperación del
dispositivo de seguridad del Usuario. En caso de duda, llame al Centro de Asistencia del Banco para
solicitar ayuda.
Los Usuarios necesitan tener un estatus “Activo” o “Aprobado” antes de poder suspenderlos. Una vez
que el Usuario haya sido suspendido, es importante que no se dé más mantenimiento al perfil o los
derechos de acceso de ese Usuario antes de su eventual reactivación o eliminación.
22
Issued by HSBC Bank plc
© HSBC Bank plc 2009. All rights reserved.
No part of this publication may be reproduced or transmitted in any form by print, photocopying, microfilm, electronic, mechanical,
recording or any other means, or stored in any retrieval system of any nature, without written permission by HSBC Bank except for
permitted fair dealing under the Copyright, Designs and Patents Act 1988. HSBC Bank endeavours to ensure that the information in this
document is correct and does not accept any liability for error or omission.
Documentos relacionados
HSBC MEXICO, S.A., INSTITUCION DE BANCA MULTIPLE, GRUPO
HSBC MEXICO, S.A., INSTITUCION DE BANCA MULTIPLE, GRUPO
el pago puede hacerse en cualquier sucursal de hsbc en la
el pago puede hacerse en cualquier sucursal de hsbc en la
HSBC Negocios
HSBC Negocios
Solicitud
Solicitud
Gacetilla de Prensa: Comunicado oficial de HSBC Argentina 02/06/2015
Gacetilla de Prensa: Comunicado oficial de HSBC Argentina 02/06/2015
“RESOLUCIÓN AO-LXXXIX-1 (21-X-15). Aceptar las renuncias
“RESOLUCIÓN AO-LXXXIX-1 (21-X-15). Aceptar las renuncias
La deuda indicada en esta factura ha sido asignada a HSBC
La deuda indicada en esta factura ha sido asignada a HSBC
Comunicado de Prensa
Comunicado de Prensa
Descargar
Anuncio
Anuncio