Seguridad

Recomendaciones de seguridad

  • Recomendaciones generales de seguridad

    En Scotiabank Colpatria S.A. (en adelante el Banco) la seguridad en el manejo de la información de su compañía es un importante compromiso. De este modo, hemos creado una breve lista de lo que puede hacer para proteger sus datos financieros:

    1. Como norma, no entregue sus datos personales, números de identificación, información de cuentas o tarjetas de crédito por teléfono o por Internet, a menos que usted se haya autenticado debidamente en la aplicación e iniciado la operación

    2. Revise la URL suministrada para asegurar que lleva a una página web válida. Por ejemplo, compruebe la ortografía o compárela con la URL conocida que usted utiliza para acceder a su aplicación de banca electrónica.

    3. Recuerde, las páginas Web de Citibank trabajan a través de direcciones seguras tipo Https, las cuales utilizan protocolos de seguridad SSL (Secure Sockets Layer ).

    4. Como proveedor de servicios de banca electrónica, Scotiabank Colpatria S.A. se comunica frecuentemente con sus clientes por correo electrónico. La mayoría de estas comunicaciones son para darle información y actualizaciones sobre nuestros servicios. Citi NUNCA envía correos pidiendo contraseñas, números de tarjeta de crédito, cuentas u otra información sensible.

    Si se le solicita que introduzca información personal para realizar una transacción, siempre se hará desde un sitio seguro con tecnología SSL (puede saberlo porque habrá el icono de un candado en la parte de abajo de su pantalla o en la parte derecha de la dirección URL).

    Muy importante: Si Usted hace clic en el candado, aparecerá una pequeña ventana que le indicará el tipo de certificado de seguridad utilizado por el sistema; dicha ventana tiene una parte en el cual hay una sección que dice "Issued to:." Si está en un sitio que realmente es de Scotiabank Colpatria, entonces la URL terminará en "scotiabankcolpatria.com, Colpatria.com"

    5. En caso de recibir un correo electrónico, revise la dirección del remitente para verificar que pertenece a una cuenta de correo válida que incluya los siguientes dominios @ScotiabankColpatria, @Colpatria.

    Si la dirección de correo parece sospechosa en cualquier aspecto, notifíquelo a Citibank inmediatamente llamando a la Línea de atención en Bogotá al 605 7000 y en el resto del país al 01 800 052 7000.

    6. No responda ningún correo que solicite su información personal. En caso que reciba un correo electrónico que dice que es de Scotiabank Colpatria, pidiéndole esta información, por favor infórmelo inmediatamente a su representante de servicio de Scotiabank Colpatria. Así mismo, Scotiabank Colpatria NUNCA incluye links dentro de los emails que lleven a la página.

    7. Salga de cualquier sitio web sospechoso si tiene dudas. No siga ninguna de las instrucciones que allí se indiquen.

  • Seguridad en Banca Pyme online

    Banca Pyme Online es una plataforma en Internet de Banca Electrónica e intercambio de información, para clientes de pequeñas y medianas empresa. Banca Pyme Online provee un único punto de acceso a una extensa suite de herramientas de administración de productos y auto servicio.

    Entendiendo la importancia de la confidencialidad y la seguridad de la información, Scotiabank Colpatria aplica las mejores prácticas, políticas y estándares de tecnología de la industria para entregar un sistema de banca electrónica seguro a sus clientes.

    El acceso a Banca Pyme Online será administrado directamente por el cliente a través de sus usuarios maestros (es importante que se designen responsables de la seguridad en la empresa todo en temas de accesos bancarios). Ellos serán personas de confianza designadas por la empresa y especialmente configuradas por Scotiabank Colpatria con la potestad de crear, modificar y eliminar de los usuarios de la empresa autorizados para usar la plataforma.

    Así mismo, los usuarios maestros definen los privilegios de los perfiles de cada usuario, tales como: el acceso a las cuentas, niveles de autorización y funcionalidades. Las actividades del usuario maestro son realizadas en la forma Maker/Checker (Preparador/Verificador), lo cual significa que se requiere que dos usuarios maestros actúen juntos.

    De otra parte, Banca Pyme Online utiliza una aproximación Multi-Nivel y Sistémica para manejar su seguridad y autenticación, lo cual incluye:

    • Autenticación Multi-Factor.
    • Pruebas de penetración (Ethical Hacking)
    • Cumple con las indicaciones del U.S. Federal Financial Institutions Examination Council (FFIEC)
    • Tecnología y procesos de vanguardia en la industria para la administración de la identidad.

    A continuación se describe en qué consisten los puntos mencionados:

    Autenticación Multifactor

    La forma de autenticar usuarios en la aplicación es solicitándoles que presenten por lo menos dos tipos de factores para comprobar su identidad. Los factores de autenticación que utiliza Banca Pyme Online incluyen los siguientes aspectos:

    • Algo que la persona conozca –Un usuario y una contraseña. Si la persona ingresa tanto el usuario como la contraseña correctamente, se permitirá el acceso.
    • Algo que la persona tenga – Un dispositivo físico, el token o tarjeta inteligente, que genera una clave para ser ingresada.

    Adicionalmente, Banca Pyme Online crea un registro de auditoría cada vez que un usuario ingresa, así como también de los detalles de la actividad del usuario durante cada sesión. Estos registros pueden ser revisados en cualquier momento.

    Pruebas de penetración (Ethical Hacking)

    Banca Pyme Online es expuesto a pruebas de Ethical Hacking con el propósito de identificar vulnerabilidades en el sistema por penetración de fuentes externas. Estas pruebas son realizadas periódicamente y cada vez que se pone en producción una nueva versión de Banca Pyme Online. Cualquier potencial vulnerabilidad que se identifique durante las pruebas se evalúa y corrige inmediatamente.

    Indicaciones del U.S. Federal Financial Institutions Examination Council (FFIEC)

    El FFIEC es una agencia establecida y empoderada para prescribir principios universales, estándares y formatos de reportes para la evaluación de instituciones financieras. Las indicaciones del FFIEC para tecnologías de información cubre temas tales como: Banca Electrónica, Tecnologías de Información, Continuidad del Negocio y temas relacionados.

    Banca Pyme Online cumple con las indicaciones mencionas por la FFIEC y es examinado regularmente de acuerdo con sus especificaciones.

    Procesos y Tecnologías para la Administración de Identidad

    Banca Pyme Online se encuentra habilitado para aceptar ingresos y actividades transaccionales con el uso de credenciales digitales, uno de los métodos multi factor descritos en este documento.

    1. Autenticación Usando Claves seguras

    El método de claves seguras dentro de Banca Pyme Online está disponible para todos los usuarios que tengan acceso. Una clave segura debe:

    • No ser igual al nombre de usuario
    • Tener al menos 6 caracteres que mezclen letras y números
    • No debe tener dos caracteres iguales consecutivos
    • Ser cambiada al menos cada 30 días

    Los usuarios de claves seguras son bloqueados por el sistema después de un número consecutivo de intentos errados para el ingreso. Las claves seguras pueden ser restablecidas por el Gerente de Seguridad del cliente o por el usuario directamente.

    Banca Pyme Online tiene un manejo estricto y versátil de la Administración del Riesgo para cada acceso con una clave segura, mediante el uso de algoritmos de seguridad de vanguardia en la industria.

    2. Autenticación usando Claves Dinámicas

    El acceso a Banca Pyme Online con claves dinámicas implica el uso de una tarjeta SAFEWORD. La tarjeta SAFEWORD es un dispositivo físico el cual se usa conjuntamente con la autenticación que la pantalla de acceso de Banca Pyme Online exige cada vez que un usuario ingresa a la aplicación.

    Para poder usar la tarjeta SAFEWORD, el usuario debe ingresar el código de cuatro dígitos de identificación personal en la tarjeta. Después de que se ha ingresado el código válido la tarjeta genera una clave de respuesta. Cuando esta clave se ingresa en el campo adecuado en la pantalla de ingreso de Banca Pyme Online, el usuario tiene acceso a las funciones que tenga asignadas en su perfil de Banca Pyme Online. Las claves asíncronas reducen drásticamente el riesgo de un acceso por parte de alguien no autorizado a Banca Pyme Online que esté adivinando u obteniendo una clave.

    Sí en la autenticación con SAFEWORD, el usuario entra una clave inválida un número predeterminado de veces, el token queda inutilizable por un tiempo definido. Con cada entrada adicional de un número inválido, el tiempo que queda inutilizable aumenta. Después de un número definido de intentos incorrectos, el servidor de autenticación bloqueará la tarjeta SAFEWORD hasta que sea reactivada manualmente. El usuario debe contactar a Scotiabank Colpatria para poder reactivar la tarjeta SAFEWORD.

    Estos dispositivos de hardware (tokens) permiten cumplir con los más altos estándares de identificación, ya que el dispositivo debe estar en poder del usuario, el usuario debe saber el número clave para generar otra clave y también debe estar en una terminal para poder realizar todo el proceso.

    Adicionalmente, la tarjeta SAFEWORD tiene dos mecanismos de defensa contra los intentos de ingreso con claves erradas, para frustrar cualquier intento posterior de fraude. Primero, después de los intentos fallidos de acceso con clave, el Token responde con una clave “dummy” que no es válida y que no alerta a la persona sobre el error. Si la persona continúa entrando claves inválidas el token queda en “Modo de Ataque” y la pantalla del dispositivo muestra líneas en movimiento y queda inutilizable por un periodo determinado de tiempo. Intentos adicionales de ingreso con una clave errada hacen que se duplique el tiempo de espera entre cada nuevo intento. Es imposible detener las líneas en movimiento durante esta falla y el dispositivo tiene que dejarse encendido para que complete la rutina de error.

    Los intentos excesivos de ingresos fallidos desactivarán la tarjeta SAFEWORD tanto a nivel del servidor de autenticación como a nivel de la aplicación. Se debe contactar a la línea de Servicio al Cliente para el servidor de autenticación y reactivación de los tokens.

    La mayoría de los usuarios en el mundo se autentican en Banca Pyme Online mediante el método de Clave dinámica de autenticación Multi-Factor. Todos los usuarios en Colombia que tienen autoridad sobre pagos o iniciación de transacciones actualmente, tienen una tarjeta SAFEWORD y hacen su acceso usando una clave dinámica. Este es considerado un método de alta seguridad. La información de marcas de máquina, tal como la dirección IP es capturada para propósitos de auditoría y monitoreo.

    3. Configuraciones avanzadas para perfiles de usuario, perfiles de acceso y flujos de pago.

    Banca Pyme Online permite que las empresas realicen directamente configuraciones especiales según sus políticas de seguridad internas; tal es el caso de la limitación en las horas de acceso así como los días de la semana en los cuales el(los) usuario(s) podrán acceder a la plataforma. Esta limitación será realizada mediante una solicitud escrita del cliente a Scotiabank Colpatria.

    Los perfiles asignados a cada uno de los usuarios serán definidos por los Gerentes de Seguridad de acuerdo a los permisos que el cliente considere apropiados. Las posibilidades de restricción están dadas de acuerdo a las funciones que se le quiera dar acceso al usuario.

    En complemento a las configuraciones indicadas, la plataforma permite que los procesos de pagos sean controlados por diferentes flujos de pago bajo diversos niveles de autorización.

    Finalmente, Banca Pyme Online permite configurar hasta 3 Autorizaciones independientes distribuidas en 3 niveles de Autorización.

  • Acceso a Banca Pyme online

    Entrega de Claves y Dispositivos:

    Por seguridad de nuestros clientes, la tarjeta de ingreso SafeWord y el PIN se envían por separado y desactivados en sobres sellados. Para activarlos, un contacto autorizado debe comunicarse a la línea de Servicio al Cliente Línea de atención en Bogotá al 605 7000 y en el resto del país al 01 800 052 7000. También puede comunicarse con enviando un correo electrónico a la siguiente dirección: citiservice.colombia@citi.com.

    Procedimiento inicial - Cambio de PIN

    Una vez reciba la tarjeta, debe cambiar su PIN, de la siguiente manera:

    1. Digite su PIN en la tarjeta y Presione el botón PIN.
    2. Cuando la tarjeta pregunte “NEW PIN” ingrese el nuevo PIN de cuatro dígitos.
    3. Cuando la tarjeta pregunte “AGAIN” confirme el nuevo PIN.
    4. En la pantalla de la tarjeta aparecerá “SUCCESS

    Recomendaciones:

    • Es muy importante recordar su PIN de seguridad y guardar la tarjeta en un sitio seguro al que solo usted tenga acceso.
    • Si Usted ha olvidado definitivamente su PIN, debe pedir la asignación de una nueva tarjeta de ingreso a su usuario, enviando a Scotiabank Colpatria una carta con la respectiva solicitud de reasignación de PIN.

    Creación/ Modificación / Eliminación de Usuario:

    Se debe pedir la asignación de una tarjeta SafeWord a través de su usuario maestro. En caso que la compañía cuente con uno, o en caso contrario, enviando a Scotiabank Colpatria el formato respectivo. Dicho formato puede ser solicitado en la línea de Servicio al Cliente.

    Es importante resaltar que los procesos de configuración avanzada para los perfiles de usuario, perfiles de acceso y flujos de pago, deben ser realizados directamente por el gerente de seguridad de la compañía o en caso de no tenerlo debe ser solicitado formalmente por escrito a Scotiabank Colpatria.