Seguridad de La Informacion (ASFI)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO
RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS
TITULO VII
REQUISITOS MNIMOS DE SEGURIDAD
TABLA DE CONTENIDO
Captulo I:
Reglamento para Remesas al Banco Central de Bolivia
Captulo II:
Reglamento para la Gestin de Seguridad de la Informacin
Seccin 1:
Disposiciones generales
Seccin 2:
Planificacin estratgica, estructura y organizacin de los recursos de tecnologa de

la informacin(TI)
Seccin 3:
Administracin de la seguridad de la informacin
Seccin 4:
Administracin del control de accesos
Seccin 5:
Desarrollo, mantenimiento e implementacin de sistemas de informacin
Seccin 6:
Gestin de operaciones de tecnologa de informacin
Seccin 7:
Gestin de seguridad en redes y comunicaciones
Seccin 8:
Gestin de seguridad en transferencias y transacciones electrnicas
Seccin 9:
Gestin de incidentes de seguridad de la informacin
Seccin 10:
Continuidad del negocio
Seccin 11:
Administracin de servicios y contratos con terceros relacionados con tecnologa

de informacin
Seccin 12:
Rol de la auditora interna
Seccin 13:
Otras disposiciones
Seccin 14:
Disposiciones transitorias
Captulo III:
Reglamento para la Gestin de Seguridad Fsica
Seccin 1:
Aspectos generales
Seccin 2:
Gestin de Seguridad Fsica
Seccin 3:
Medidas generales de Seguridad Fsica
Ttulo VII * 1
Seccin 4:
Medidas especficas de Seguridad Fsica
Seccin 5:
Otras disposiciones
Seccin 6:
Rol de la Unidad de Auditoria Interna
Seccin 7:
Disposiciones transitorias
Ttulo VII * 2
CAPTULO I:
REGLAMENTO PARA REMESAS AL BANCO CENTRAL DE

BOLIVIA
Artculo 1 - (Seguridad en el envo de remesas al BCB) Con la finalidad de precautelar la

seguridad en el envo de remesas de billetes y monedas metlicas en moneda nacional al Banco
Central de Bolivia (BCB), por parte de los bancos locales, as como el control y recuento de este
material, se instruye lo siguiente:
a)
El envo de los depsitos o remesas al BCB debe efectuarse en maletas de seguridad,

cuales debern ser abiertas en la sala de recuento en presencia del personal del banco
depositante;
b)
Para efectos de un adecuado y gil registro de las remesas enviadas por los bancos, el
dinero declarado para depsito solamente deber ser verificado por lome y revisados
los marbetes de cada uno de los paquetes, es decir sin recontar el material de billetes en
detalle;
c)
Los paquetes deben estar fuertemente amarrados contando con diez lomos de cien (100)
piezas cada uno, totalizando mil (1.000) piezas en cada paquete. Asimismo los paquetes
deben estar debidamente clasificados por cortes planchados, revisados y recontados, con
marbetes impresos donde se leer claramente el nombre del banco, nombre completo y
sello del cajero, fecha y firma de ste.
Los depsitos en monedas metlicas no podrn ser inferiores a mil (1.000) piezas, y
debern estar clasificadas y en paquetes por cortes con la identificacin antes descrita.
d)
Una vez concluida la revisin del depsito en presencia de las partes que intervienen, se
proceder al cierre de la maleta de seguridad, la misma que deber contar con dos (2)
candados o chapas, por lo menos, las llaves quedarn en poder del banco depositante.
e)
Los depositantes contabilizarn el importe correspondiente al da de la entrega, al igual que

el BCB. En la papeleta de depsito, debern estampar un sello con el siguiente texto:
"DEPSITO SUJETO A RECUENTO".
f)
Los depsitos que sean iguales o inferiores a dos mil (2.000) piezas deben ser efectuados
en las cajas que habilite Tesorera del BCB. El recuento debe realizarse inmediatamente a
la vista del depositante, y en caso de que dicho depsito no haya sido recontado, cualquier
falla registrada posteriormente ser de entera responsabilidad del cajero recibidor.
g)
El BCB y/o la Autoridad de Supervisin del Sistema Financiero podrn en cualquier

momento hacer recuentos en detalle de los depsitos realizados por los bancos, aclarando
que cualquier diferencia detectada ser de entera responsabilidad del banco depositante,
hacindose pasible a sanciones dispuestas en reglamentacin complementaria. El recuento
deber efectuarse en una sala independiente por banco depositante y cada sala tendr como
mximo cinco (5) recontadores del BCB y cinco (5) veedores del banco depositante.
h)
El BCB a travs de su seccin Tesorera, reportar semanalmente a la Autoridad de

Supervisin del Sistema Financiero los faltantes y sobrantes o cualquier otra anormalidad
que existiera en los depsitos con los siguientes datos:
Circular SB/288/99 (04/99)
Inicial
Libro 3
Ttulo VII
Captulo I
Pgina 1/2
1)
Banco depositante
2)
Nombre y apellido del cajero cuyo sello figura en el marbete
3)
Nombre y apellido de la persona que llevar la remesa al BCB
4)
Nombre y apellido del cajero recibidor del BCB
5)
Nombres de los veedores y controladores del banco depositante
6)
Detalle de la anormalidad
7)
Monto por moneda
Artculo 2 - (Retiros parciales). Los bancos podrn hacer retiros parciales de sus depsitos slo
en cantidades de mil (1000) piezas, con la participacin del personal de Tesorera del BCB, para
la verificacin del dinero retirado.
Artculo 3 - (Horario de atencin de bveda del BCB). El horario de atencin de la bveda y
de las cajas recibidoras habilitadas por el BCB, ser el mismo horario de atencin al pblico del
sistema bancario comercial.
Circular SB/288/99 (04/99)
Inicial
Libro 3
Ttulo VII
Captulo I
Pgina 2/2
CAPTULO II: REGLAMENTO PARA LA GESTIN DE SEGURIDAD DE LA

INFORMACIN
SECCIN 1:
DISPOSICIONES GENERALES
Artculo 1 - (Objeto) El presente Reglamento tiene por objeto establecer los requisitos
mnimos que las entidades supervisadas sujetas al mbito de aplicacin, deben cumplir para la
gestin de seguridad de la informacin, de acuerdo a su naturaleza, tamao y complejidad de
operaciones.
Artculo 2 - (mbito de aplicacin) Estn comprendidos en el mbito de aplicacin del
presente Reglamento los Bancos, Bancos de Segundo Piso, Fondos Financieros Privados,
Mutuales de Ahorro y Prstamo, Cooperativas de Ahorro y Crdito Abiertas, Cooperativas de
Ahorro y Crdito Societarias, Instituciones Financieras de Desarrollo, Sociedades de
Arrendamiento Financiero, Cmaras de Compensacin, Burs de Informacin Crediticia,
Empresas Transportadoras de Material Monetario y/o Valores, Empresas de Servicio de Pago
Mvil, Empresas Remesadoras y Almacenes Generales de Depsito, que cuenten con licencia de
funcionamiento emitida por la Autoridad de Supervisin del Sistema Financiero (ASFI), en
adelante la entidad supervisada.
Artculo 3 definiciones:
(Definiciones) Para efectos del presente Reglamento, se usarn las siguientes
a) Activo de informacin: En seguridad de la informacin, corresponde a aquellos datos,

informacin, sistemas y elementos relacionados con la tecnologa de la informacin, que
tienen valor para la entidad supervisada.
b) Acuerdo de nivel de servicio (SLA: Service Level Agreement ): Contrato en el que se
estipulan las condiciones de un servicio en funcin a parmetros objetivos, establecidos
de mutuo acuerdo entre un proveedor de servicio y la entidad supervisada.
c) Anlisis de riesgo tecnolgico: Proceso por el cual se identifican los activos de
informacin, sus amenazas y vulnerabilidades a los que se encuentran expuestos, con el
fin de generar controles que minimicen los efectos de los posibles incidentes de seguridad
de la informacin.
d) rea de exclusin: rea de acceso restringido identificada en las instalaciones de la
entidad supervisada.
e) Banca electrnica: Servicio financiero ofertado por las entidades de intermediacin
financiera autorizadas, a travs de Internet u otros medios electrnicos para procesar de
manera automtica el registro de datos, desarrollo de transacciones y pagos, as como el
intercambio de informacin, dinero y otros.
f) Centro de procesamiento de datos (CPD): Ambiente fsico clasificado como rea de
exclusin, donde estn ubicados los recursos utilizados para el procesamiento de
informacin.
Circular SB/436/03 (07/03) Inicial

ASFI/193/13 (09/13) Modificacin 1
Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 1/4
g) Centro de procesamiento de datos alterno: Lugar alternativo provisto de equipos

computacionales, equipos de comunicaciones, estaciones de trabajo, enlaces de
comunicaciones, fuentes de energa, accesos seguros que se encuentran instalados en una
ubicacin geogrfica distinta al Centro de Procesamiento de Datos.
h) Cifrar: Proceso mediante el cual la informacin o archivos es alterada, en forma lgica,
incluyendo claves en el origen y en el destino, con el objetivo de evitar que personas no
autorizadas puedan interpretarla al verla o copiarla, o utilizarla para actividades no
permitidas.
i)
Contrasea o clave de acceso (Password): Conjunto de caracteres que una persona debe
registrar para ser "reconocida" como usuario autorizado, para acceder a los recursos de un
equipo computacional o red.
j)
Cortafuegos (Firewall): Dispositivo o conjunto de dispositivos (software y/o hardware)

configurados para permitir, limitar, cifrar, descifrar el trfico entre los diferentes mbitos
(de un sistema, red o redes) sobre la base de un conjunto de normas y otros criterios de
manera que slo el trfico autorizado, definido por la poltica local de seguridad, es
permitido.
k) Equipo crtico: Corresponde al equipo de procesamiento de datos que soporta las

principales operaciones de la entidad supervisada.
l)
Hardware: Conjunto de todos los componentes fsicos y tangibles de un computador o

equipo electrnico.
m) Incidente de seguridad de la informacin: Suceso o serie de sucesos inesperados, que

tienen una probabilidad significativa de comprometer las operaciones de la entidad
supervisada, amenazar la seguridad de la informacin y/o los recursos tecnolgicos.
n) Internet: Red de redes de alcance mundial que opera bajo estndares y protocolos
internacionales.
o) Intranet: Red interna de computadoras que haciendo uso de tecnologa de Internet,
permite compartir informacin o programas.
p) Infraestructura de tecnologa de informacin: Es el conjunto de hardware, software,
redes de comunicacin, multimedia y otros, as como el sitio y ambiente que los soporta,
que son establecidos para el procesamiento de las aplicaciones.
q) Medios de acceso a la informacin: Son servidores de datos y/o aplicacin,
computadores personales, telfonos inteligentes, terminales tipo cajero automtico, las
redes de comunicacin, Intranet, Internet y telefona.
r) Plan de contingencias tecnolgicas: Documento que contempla un conjunto de
procedimientos y acciones que deben entrar en funcionamiento al ocurrir un evento que
dae parte o la totalidad de los recursos tecnolgicos de la entidad supervisada.
s) Plan de continuidad del negocio (BCP: Business Continuity Planning): Documento
que contempla la logstica que debe seguir la entidad supervisada a objeto de restaurar los

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 2/4
servicios y aplicaciones crticas parcial o totalmente interrumpidas dentro de un tiempo

predeterminado, despus de una interrupcin o desastre.
t)
Principio de menor privilegio: Establece que cada programa y cada usuario del sistema
de informacin debe operar utilizando los privilegios estrictamente necesarios para
completar el trabajo.
u) Proceso crtico: Proceso o sistema de informacin que al dejar de funcionar, afecta la

continuidad operativa de la entidad supervisada.
v) Procedimiento de enmascaramiento de datos: Mecanismo que modifica los datos de
un determinado sistema en ambientes de desarrollo y pruebas, con el fin de garantizar la
confidencialidad de la informacin del ambiente de produccin.
w) Propietario de la informacin: Es el responsable designado formalmente para controlar
la produccin, desarrollo, mantenimiento, uso y seguridad de los activos de informacin.
x) Proteccin fsica y ambiental: Conjunto de acciones y recursos implementados para
proteger y permitir el adecuado funcionamiento de los equipos e instalaciones del Centro
de Procesamiento de Datos y del Centro de Procesamiento de Datos Alterno, dada su
condicin de reas de exclusin.
y) Pruebas de intrusin: Es una prueba controlada que permite identificar posibles
debilidades de los recursos tecnolgicos de la entidad supervisada, que un intruso podra
llegar a explotar para obtener el control de sus sistemas de informacin, redes de
computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las
pruebas de intrusin pueden ser realizadas a travs de la red interna o bien desde Internet,
Accesos Remotos o cualquier otro medio.
z) Respaldo o copia de seguridad (Backup): Copia de datos e informacin almacenada en
un medio digital, que se genera en forma peridica; con el propsito de utilizar dicha
informacin o datos, en casos de emergencia o contingencia.
aa) Seguridad de la informacin: Conjunto de medidas y recursos destinados a resguardar y
proteger la informacin, buscando mantener la confidencialidad, confiabilidad,
disponibilidad e integridad de la misma.
bb) Servicio de Pago Mvil: Conjunto de actividades relacionadas con la emisin de
billeteras mviles y procesamiento de rdenes de pago a travs de dispositivos mviles,
en el marco del Reglamento de Servicios de Pago del Banco Central de Bolivia (BCB).
cc) Sistema de informacin: Conjunto de procedimientos de recopilacin, procesamiento,
transmisin y difusin de informacin; organizados y relacionados que interactan entre
s para lograr un objetivo.
dd) Sitio externo de resguardo: Ambiente, externo al Centro de Procesamiento de Datos, de
almacenamiento de todos los medios de respaldo, documentacin y otros recursos de
tecnologa de informacin catalogados como crticos, necesarios para soportar los planes
de continuidad y contingencias tecnolgicas.

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 3/4
ee) Software: Equipamiento o soporte lgico de un sistema de informacin; comprende el

conjunto de los componentes lgicos que hacen posible la realizacin de tareas
especficas. El software incluye: software de sistema, software de programacin y
software de aplicacin.
ff) Transferencia electrnica de informacin: Forma de enviar, recibir o transferir en
forma electrnica, datos, informacin, archivos, mensajes, entre otros.
gg) Tecnologa de informacin (TI): Conjunto de procesos y productos derivados de
herramientas (hardware y software), soportes de la informacin y canales de
comunicacin relacionados con el almacenamiento, procesamiento y transmisin de la
informacin.
hh) Transaccin electrnica de fondos: Comprende a todas aquellas operaciones realizadas
por medios electrnicos que originen cargos o abonos de dinero en cuentas.
ii) Usuario del sistema de informacin: Persona identificada, autenticada y autorizada para
utilizar uno o ms sistemas de informacin. Este puede ser funcionario de la entidad
supervisada (Usuario Interno del sistema de informacin) o cliente (Usuario Externo del
sistema de informacin).
Artculo 4 - (Elementos de la seguridad de la informacin) La informacin que administra
la entidad supervisada, debe contener un alto grado de seguridad, considerando mnimamente lo
siguiente:
a)
Autenticacin: Permite identificar al generador de la informacin y al usuario de la

misma.
b)
Confiabilidad: Busca proveer informacin apropiada, precisa y veraz, para el uso de

las entidades supervisadas, tanto interna como externamente, que apoye el proceso de
toma de decisiones.
c)
Confidencialidad: Garantiza que la informacin se encuentra accesible nicamente

para el personal autorizado.
d)
Cumplimiento: Busca promover el acatamiento de las leyes, regulaciones y acuerdos

contractuales a las que se encuentran sujetos los procesos que realiza la entidad
supervisada.
e)
Disponibilidad: Permite la accesibilidad a la informacin en el tiempo y la forma que

esta sea requerida.
f)
Integridad: Busca mantener con exactitud la informacin completa tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no autorizados.
g)
No repudio: Servicio que asegura que el emisor de una informacin no puede rechazar
su transmisin o su contenido, y/o que el receptor pueda negar su recepcin o su
contenido.

Libro 3
Ttulo VII
Captulo II
Seccin 1
Pgina 4/4
SECCIN 2:
PLANIFICACIN ESTRATGICA, ESTRUCTURA Y ORGANIZACIN DE LOS

RECURSOS DE TECNOLOGA DE LA INFORMACIN (TI)
Artculo 1 - (Planificacin estratgica) La entidad supervisada debe desarrollar un Plan

Estratgico de Tecnologa de la Informacin (TI) que est alineado con la estrategia institucional,
y que considere su naturaleza, tamao, complejidad de sus operaciones, procesos, estructura y
anlisis de riesgo tecnolgico realizado. Este documento debe ser aprobado por su Directorio u
rgano equivalente.
El nivel ejecutivo de la entidad supervisada que sea responsable de tecnologa de la informacin
debe efectuar un seguimiento continuo de las tendencias tecnolgicas, as como a las regulaciones
emitidas por ASFI que normen su funcionamiento, de modo que stas sean consideradas al
momento de elaborar y actualizar la planificacin estratgica del rea de TI.
Artculo 2 - (Estrategia de seguridad de la informacin) La entidad supervisada como parte
de su Plan Estratgico de TI, debe definir la estrategia de seguridad de la informacin, que le
permita realizar una efectiva administracin y control de la informacin.
Artculo 3 - (Infraestructura del rea de TI) La infraestructura del rea de tecnologa de la
informacin debe ser consistente con la naturaleza, tamao y complejidad de las operaciones que
realiza la entidad supervisada.
Artculo 4 - (Estructura organizativa) La entidad supervisada, debe establecer una
estructura organizativa adecuada al tamao, volumen y complejidad de sus operaciones, que
delimite las funciones y responsabilidades relativas a la gestin de los recursos de tecnologa y
seguridad de la informacin, aspectos que deben estar contemplados en un manual de
organizacin y funciones, aprobados por su Directorio u rgano equivalente.
Artculo 5 - (Comit de tecnologa de la informacin) Este Comit es responsable de
establecer las polticas, procedimientos y prioridades para la administracin de informacin y
gestin de los recursos de tecnologa de la informacin.
El Comit estar conformado al menos por: un miembro del Directorio u rgano equivalente, que
ser quien lo presida, el Gerente General, Ejecutivos y/o funcionarios responsables de las reas de
servicios tecnolgicos y de las reas usuarias del sistema de informacin de acuerdo al tema a ser
tratado, cuyo funcionamiento se sujetar a su manual de organizacin y funciones.
El Comit debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones.
Artculo 6 - (Comit operativo de TI) La entidad supervisada, de acuerdo a su estructura
organizativa, debe conformar un Comit Operativo de Tecnologa de la Informacin, el cul debe
estar constituido por el nivel ejecutivo y los funcionarios encargados de las diferentes reas que
constituyen la unidad de TI. Este Comit estar encargado de coordinar el trabajo al interior de
esta unidad.
La frecuencia de las reuniones del Comit Operativo de TI estar sujeta a su manual de
organizacin y funciones. Asimismo, las decisiones y acuerdos establecidos en dicho Comit
deben registrarse en actas que deben estar archivadas.

SB/443/03 (08/03) Modificacin 1
Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 1/2
Artculo 7 - (Responsable de la funcin de seguridad de la informacin) Con el fin de

establecer los mecanismos para la administracin y el control de la seguridad sobre el acceso
lgico y fsico a los distintos ambientes tecnolgicos y recursos de informacin, la entidad
supervisada debe establecer una instancia responsable que se encargue de dicha funcin, de
acuerdo con la naturaleza, tamao, volumen y complejidad de sus operaciones. Esta instancia
puede corresponder a una Gerencia, Jefatura, Oficial o a un Comit constituido especficamente
para tratar temas relacionados a la seguridad de la informacin.
La ubicacin jerrquica de la instancia responsable de la seguridad de la informacin debe
garantizar, en forma directa, su independencia funcional y operativa del rea de tecnologa y
sistemas de informacin, unidades operativas y de la funcin de auditora.
Adicionalmente, el responsable de la funcin de la seguridad de la informacin gestionar con las
instancias que correspondan en la entidad supervisada, la implementacin, revisin, actualizacin
y difusin de la Poltica de Seguridad de la Informacin, as como de los procedimientos
establecidos.

Libro 3
Ttulo VII
Captulo II
Seccin 2
Pgina 2/2
SECCIN 3:
ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN
Artculo 1 - (Implementacin del anlisis de riesgo tecnolgico) La entidad supervisada es

responsable de efectuar el anlisis de riesgo tecnolgico, acorde a su naturaleza, tamao y
complejidad de operaciones, debiendo desarrollar e implementar procedimientos especficos para
este fin, que deben estar formalmente establecidos.
El resultado obtenido del anlisis de riesgo tecnolgico efectuado debe estar contenido en un
informe dirigido al Gerente General, para su posterior presentacin al Directorio u rgano
equivalente.
El anlisis de riesgo tecnolgico, debe constituirse en un proceso continuo por lo cual debe ser
revisado y actualizado permanentemente.
Artculo 2 - (Polticas de seguridad de la informacin) De acuerdo con su estrategia de
seguridad de la informacin y el anlisis de riesgo tecnolgico efectuado, la entidad supervisada
debe tener formalizadas por escrito, actualizadas e implementadas polticas que deben estar
aprobadas por el Directorio u rgano equivalente.
Las polticas de seguridad de la informacin, deben ser publicadas y comunicadas a las diferentes
instancias de la entidad supervisada, en forma entendible y accesible.
La entidad supervisada, al menos una vez al ao, debe revisar y actualizar las polticas de
seguridad de la informacin, considerando su naturaleza, tamao, cambios y complejidad de sus
operaciones, asegurando la correcta implementacin de las mejores prcticas de seguridad de la
informacin.
Artculo 3 - (Licencias de software) Todo software utilizado por la entidad supervisada debe
contar con las licencias respectivas.
La entidad supervisada, debe definir los procedimientos necesarios para la instalacin,
mantenimiento y administracin de software y la custodia de las licencias.
Artculo 4 - (Acuerdo de confidencialidad) Como parte de la obligacin contractual, de los
Directores, Consejeros de Administracin y Vigilancia, Ejecutivos, dems funcionarios,
consultores y el personal eventual, deben aceptar y firmar los trminos y condiciones del contrato
de empleo en el cual se establecern sus obligaciones en cuanto a la seguridad de la informacin,
en las que se debe incluir el mantenimiento de confidencialidad de la informacin a la cual tengan
acceso, inclusive despus de la finalizacin de la relacin contractual.
Artculo 5 - (Inventario de activos de informacin) La entidad supervisada debe contar y
mantener un inventario de los activos de informacin, y asignar responsabilidades respecto a su
proteccin.
Artculo 6 - (Clasificacin de la informacin) La entidad supervisada debe establecer un
esquema de clasificacin de la informacin, de acuerdo a su criticidad y sensibilidad,
estableciendo adecuados derechos de acceso a los datos administrados en sus sistemas de
informacin, as como a la documentacin fsica. Esta clasificacin debe ser documentada,
formalizada y comunicada a todas las reas involucradas.
Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 1/4
Artculo 7 - (Propietarios de la informacin) Debe asignarse la propiedad de la informacin

a un responsable de cargo jerrquico, de acuerdo al tipo de informacin y a las operaciones que
desarrolla la entidad supervisada.
Estas actividades de control deben realizarse en coordinacin con la instancia responsable de
seguridad de la informacin establecida por la entidad supervisada.
Artculo 8 - (Anlisis de vulnerabilidades tcnicas) La entidad supervisada es responsable
de implementar una gestin de vulnerabilidades tcnicas, a cuyo efecto debe contar con polticas
y procedimientos formales que le permitan identificar su exposicin a las mismas y adoptar las
acciones preventivas y/o correctivas que correspondan.
La evaluacin de vulnerabilidades tcnicas debe efectuarse por lo menos una vez por ao y ante
un cambio en la infraestructura tecnolgica. La ejecucin de pruebas de seguridad debe
considerar la realizacin de pruebas de intrusin controladas internas y/o externas.
El conjunto de polticas y procedimientos que constituyen la gestin de vulnerabilidades tcnicas
deben ser revisados y actualizados permanentemente.
La entidad supervisada debe exigir a las empresas y/o personas que prestan servicios de
evaluacin de seguridad de la informacin, la respectiva documentacin que acredite la
experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe garantizar que el
personal que realice las pruebas de intrusin controladas sea certificado y firme un acuerdo de
confidencialidad conforme se establece en el Artculo 4 de la presente Seccin.
Artculo 9 - (Clasificacin de reas de tecnologa de la informacin) La entidad
supervisada debe identificar y clasificar las reas de tecnologas de la informacin como reas de
exclusin que requieren medidas de proteccin y acceso restringido.
Artculo 10 - (Caractersticas del centro de procesamiento de datos) La entidad supervisada
debe considerar los siguientes aspectos para la instalacin del ambiente destinado al Centro de
Procesamiento de Datos:
a) Ubicacin del Centro de Procesamiento de Datos al interior de la entidad supervisada.
b) Espacio acorde y suficiente para la cantidad de equipos instalados.
c) Energa regulada de acuerdo a los requerimientos de los equipos.
d) Cableado para el uso de los equipos de cmputo por medio de sistemas de ductos a travs
de piso o techo falso, de acuerdo a la necesidad de la entidad supervisada.
e) No almacenar papel u otros suministros inflamables y/o equipos en desuso.
f) Instalacin de los servidores y los equipos de comunicacin de forma independiente,
debidamente asegurados, segn corresponda.
Artculo 11 - (Manuales de procedimientos) La entidad supervisada debe contar con
manuales de procedimientos de proteccin fsica para el Centro de Procesamiento de Datos, que
considere mnimamente los siguientes aspectos:
a)
Operacin y mantenimiento del Centro de Procesamiento de Datos.

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 2/4
b)
Administracin de accesos.
c)
Pruebas a dispositivos de seguridad para garantizar su correcto funcionamiento.
Artculo 12 - (Proteccin de equipos informticos) La entidad supervisada debe considerar

que el Centro de Procesamiento de Datos debe contar al menos con los siguientes dispositivos:
a) Sistema de ventilacin que mnimamente mantenga la temperatura y humedad en los
niveles recomendados por los fabricantes de los equipos.
b) Extintores de incendios (manuales y/o automticos) u otros segn las caractersticas de
los equipos.
c) Detectores de temperatura y humedad.
d) Equipos que aseguren el suministro de energa en forma ininterrumpida y regular.
e) Mecanismos para el control de ingreso y salida del Centro de Procesamiento de Datos.
f) Vigilancia a travs de cmaras de CCTV (Circuito Cerrado de TV).
Artculo 13 - (Suministro elctrico) Para el funcionamiento de equipos informticos, se debe
utilizar una acometida elctrica independiente del resto de la instalacin elctrica para evitar
interferencias y posibles interrupciones. La capacidad de autonoma de los equipos de suministro
ininterrumpido de energa debe ser consistente con el Plan de Contingencias Tecnolgicas y con
el Plan de Continuidad del Negocio.
La entidad supervisada debe establecer mecanismos y destinar recursos para garantizar el
suministro ininterrumpido de energa para el funcionamiento de equipos crticos y la prestacin
de servicios al pblico.
Artculo 14 - (Seguridad de cableado de red) El cableado utilizado para el transporte de
datos de la entidad supervisada, debe cumplir con estndares de cableado estructurado.
Artculo 15 - (Pruebas a dispositivos de seguridad) Los dispositivos de seguridad fsica
detallados en el Artculo 12 de la presente Seccin deben ser probados al menos dos (2) veces
por ao, de tal forma que se garantice su correcto funcionamiento. La documentacin que
respalde la realizacin de estas pruebas debe estar disponible cuando ASFI as lo requiera.
Artculo 16 - (Destruccin controlada de medios de respaldo) En el marco de lo establecido
en el Artculo 94 de la Ley N 1488 de Bancos y Entidades Financieras referido a la custodia de
los documentos relacionados con sus operaciones, microfilmados o registrados en medios
magnticos y electrnicos, por un periodo no menor a diez (10) aos, la entidad supervisada debe
establecer procedimientos para la destruccin controlada de los medios de respaldo utilizados.
La documentacin que se constituya en instrumento probatorio en un proceso administrativo,
judicial u otro, que se encuentre pendiente de resolucin, no debe ser objeto de destruccin
controlada, en resguardo de los derechos de las partes en conflicto.
Artculo 17 - (Responsabilidad en la gestin de seguridad de la informacin) La entidad
supervisada debe realizar el control y cumplimiento de lo siguiente:

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 3/4
a)
Las funciones y responsabilidades de los Directivos, Consejeros, Ejecutivos,

funcionarios, consultores y personal eventual deben ser definidas y documentadas en
concordancia con la Poltica de Seguridad de la Informacin.
b)
Se debe asegurar que los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y

personal eventual estn conscientes de las amenazas y riesgos de incidentes de seguridad
de la informacin, y que estn capacitados para aceptar y cumplir con la Poltica de
Seguridad de la Informacin en el desarrollo normal de su trabajo.
c)
Debe existir un proceso formal disciplinario para empleados que han cometido faltas y/o
violaciones a la Poltica de Seguridad de la Informacin de la entidad supervisada.

Libro 3
Ttulo VII
Captulo II
Seccin 3
Pgina 4/4
SECCIN 4:
ADMINISTRACIN DEL CONTROL DE ACCESOS
Artculo 1 - (Administracin de cuentas de usuarios) La instancia responsable de la

Seguridad de la Informacin debe implementar procedimientos formalizados, acordes a la Poltica
de Seguridad de la Informacin, respecto a la administracin de usuarios de los sistemas de
informacin, debiendo considerar al menos:
a)
La administracin de privilegios de acceso a sistemas y a la red (alta, baja y/o

modificacin).
b)
La creacin, modificacin o eliminacin de cuentas de usuarios de los sistemas de

informacin, debe contar con la autorizacin correspondiente.
c)
La gestin de perfiles de acceso debe realizarse de acuerdo al principio de menor

privilegio.
d)
La administracin y control de usuarios internos habilitados para navegacin en la

Intranet e Internet.
e)
La asignacin y responsabilidad de hardware y software.
f)
La administracin de estaciones de trabajo o PC.
Artculo 2 - (Administracin de privilegios) La entidad supervisada debe restringir y

controlar el uso y asignacin de privilegios para las cuentas de usuario y de administracin de los
sistemas de informacin, aplicaciones, sistemas operativos, bases de datos, Intranet, Internet y
otros servicios o componentes de comunicacin. Dichas cuentas, deben ser objeto de revisin
peridica, mediante un procedimiento formalmente establecido.
Los privilegios de acceso a la informacin y a los ambientes de procesamiento de informacin
otorgados a los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual,
deben ser removidos a la culminacin de su mandato, funciones, contrato o acuerdo; o deben ser
modificados en caso de cambio.
Artculo 3 - (Administracin de contraseas de usuarios) La entidad supervisada debe
definir polticas de administracin de contraseas que respondan a su anlisis de riesgo
tecnolgico y a buenas prcticas de seguridad de la informacin.
Artculo 4 - (Monitoreo de actividades de los usuarios) Para el monitoreo de las actividades
de los usuarios, la entidad supervisada debe establecer un procedimiento formalizado, con el fin
de detectar incidentes de seguridad de la informacin.
Artculo 5 - (Registros de seguridad y pistas de auditora) Con el objeto de minimizar los
riesgos internos y externos relacionados con accesos no autorizados, prdidas y daos de la
informacin, la entidad supervisada con base en el anlisis de riesgo tecnolgico debe
implementar pistas de auditora que contengan los datos de los accesos y actividades de los
usuarios, excepciones y registros de los incidentes de seguridad de la informacin.

Libro 3
Ttulo VII
Captulo II
Seccin 4
Pgina 1/1
SECCIN 5:
DESARROLLO, MANTENIMIENTO E IMPLEMENTACIN DE SISTEMAS DE

INFORMACIN
Artculo 1 - (Polticas y procedimientos) La entidad supervisada debe establecer polticas y

procedimientos, para el desarrollo, mantenimiento e implementacin, de sistemas de informacin
considerando las caractersticas propias relacionadas a las soluciones informticas que requiere y
el anlisis de riesgo tecnolgico efectuado.
Artculo 2 - (Desarrollo y mantenimiento de programas, sistemas de informacin o
aplicaciones informticas) La entidad supervisada que realice el desarrollo o mantenimiento de
programas, sistemas de informacin o aplicaciones informticas, debe garantizar que su diseo e
implementacin se enmarque en la legislacin y normativa emitida segn corresponda, as como
en sus polticas internas.
Artculo 3 - (Requisitos de seguridad de los sistemas de informacin) La instancia
responsable de la seguridad de la informacin de la entidad supervisada, debe considerar en el
diseo de los sistemas de informacin, el establecimiento de controles de seguridad, identificados
y consensuados con las reas involucradas.
Artculo 4 - (Estndares para el proceso de ingeniera del software) De acuerdo con la
estructura y complejidad de sus operaciones, la entidad supervisada debe contar con metodologas
estndar para el proceso de adquisicin, desarrollo y mantenimiento del software, que
comprendan aspectos tales como: estudio de factibilidad, anlisis y especificaciones, diseo,
desarrollo, pruebas, migraciones de datos preexistentes, implementacin y mantenimiento de los
sistemas de informacin.
Artculo 5 - (Implementacin de controles) Para el desarrollo y mantenimiento de los
sistemas de informacin, la entidad supervisada debe considerar como mnimo, la
implementacin de controles segn los requerimientos regulatorios y la normativa vigente
establecida por ASFI.
Artculo 6 - (Integridad y validez de la informacin) La entidad supervisada en el
desarrollo y mantenimiento de los sistemas de informacin, debe tomar en cuenta al menos los
siguientes aspectos:
a)
Implementar controles automatizados que permitan minimizar errores en la entrada de

datos, en su procesamiento y consolidacin, en la ejecucin de los procesos de
actualizacin de archivos y bases de datos, as como en la salida de la informacin.
b)
Verificar peridicamente que la informacin procesada por los sistemas de informacin

sea integra, vlida, confiable y razonable.
c)
Establecer controles que limiten la modificacin y la eliminacin de datos en cuanto a

movimientos, saldos, operaciones concretadas por los clientes y otros.
Artculo 7 - (Controles criptogrficos) En el desarrollo de los sistemas de informacin, la

entidad supervisada debe implementar mtodos de cifrado estndar que garanticen la
confidencialidad e integridad de la informacin.
Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 1/2
Artculo 8 - (Control de acceso al cdigo fuente de los programas) El acceso al cdigo

fuente de programas y a la informacin relacionada con diseos, especificaciones, planes de
verificacin y de validacin, debe ser estrictamente controlado para prevenir la introduccin de
funcionalidades y/o cambios no autorizados.
Artculo 9 - (Procedimientos de control de cambios) La entidad supervisada debe establecer
procedimientos formales (documentacin, especificacin, prueba, control de calidad e
implementacin) para el control de cambios en los sistemas de informacin. Se debe documentar
y resguardar cada versin del cdigo fuente de los sistemas de informacin.
Artculo 10 - (Ambientes de desarrollo, prueba y produccin) Se debe implementar
controles que garanticen la separacin de los ambientes de desarrollo, prueba y produccin,
acorde a la segregacin de funciones que debe existir en cada caso.
Artculo 11 - (Datos de prueba en ambientes de desarrollo) Para utilizar informacin de
produccin en los ambientes de desarrollo y pruebas se debe aplicar un procedimiento de
enmascaramiento de datos a efectos de preservar la confidencialidad de dicha informacin.
Artculo 12 - (Migracin de sistemas de informacin) El proceso de migracin de un sistema
de informacin, debe estar basado en un plan de accin y procedimientos especficos que
garanticen la disponibilidad, integridad y confidencialidad de la informacin.
Es responsabilidad de la Gerencia General designar a la instancia que realice el control de calidad
durante el proceso de migracin. El mismo que debe estar debidamente documentado y a
disposicin de ASFI.
La Unidad de Auditora Interna debe evaluar los resultados obtenidos en el proceso de migracin.
Artculo 13 - (Parches de seguridad) La actualizacin del software o la aplicacin de un
parche de seguridad debe ser previamente autorizada en funcin a un procedimiento formalmente
establecido. Esta autorizacin debe ser otorgada o no segn corresponda, considerando la
estabilidad del sistema, las necesidades funcionales de la organizacin y los criterios de seguridad
de la informacin establecidos en las polticas de la entidad supervisada. Adicionalmente, todo el
software debe mantenerse actualizado con las mejoras de seguridad distribuidas o liberadas por el
proveedor, previa realizacin de pruebas en ambientes controlados.

Libro 3
Ttulo VII
Captulo II
Seccin 5
Pgina 2/2
SECCIN 6:
GESTIN DE OPERACIONES DE TECNOLOGA DE INFORMACIN
Artculo 1 - (Gestin de operaciones) La gestin de operaciones de tecnologa de la

informacin, debe estar basada en polticas y procedimientos establecidos por la entidad
supervisada, en las cuales se consideren al menos:
a)
La planificacin y documentacin de los procesos y actividades que se desarrollen

dentro del Centro de Procesamiento de Datos.
b)
La revisin peridica de los procedimientos relacionados a la gestin de operaciones en

funcin a los cambios operativos y/o tecnolgicos.
Artculo 2 - (Administracin de las bases de datos) La entidad supervisada debe realizar la

administracin de bases de datos, en funcin a procedimientos formalmente establecidos para este
propsito, los cuales consideren mnimamente lo siguiente:
a)
Instalacin, administracin, migracin y mantenimiento de las bases de datos.
b)
Definicin de la arquitectura de informacin para organizar y aprovechar de la mejor

forma los sistemas de informacin.
c)
Establecimiento de mecanismos de control de acceso a las bases de datos.
d)
Documentacin que respalde las actividades de administracin de las bases de datos.
e)
Realizacin de estudios de capacidad y desempeo de las bases de datos que permitan

determinar las necesidades de expansin de capacidades y/o la afinacin en forma
oportuna.
Artculo 3 - (Respaldo o copia de seguridad Backup) La entidad supervisada debe

efectuar copias de seguridad de todos los datos e informacin que considere necesaria para el
continuo funcionamiento de la misma, cumpliendo al menos con las siguientes disposiciones:
a)
Contar con polticas y procedimientos que aseguren la realizacin de copias de

seguridad.
b)
La informacin respaldada debe poseer un nivel adecuado de proteccin lgica, fsica y

ambiental, en funcin a la criticidad de la misma.
c)
Los medios de respaldo deben probarse peridicamente, a fin de garantizar la

confiabilidad de los mismos con relacin a su eventual uso en casos de emergencia.
d)
El ambiente fsico destinado al resguardo de la informacin crtica, debe contar con

condiciones fsicas y ambientales suficientes para garantizar mnimamente la proteccin
contra daos, deterioro y hurto.
e)
El sitio externo de respaldo donde se almacenan las copias de seguridad debe mantener
al menos diez (10) aos de informacin crtica de la entidad supervisada.
f)
Cualquier traslado fsico de los medios digitales de respaldo, debe realizarse con
controles de seguridad adecuados, que eviten una exposicin no autorizada de la
informacin contenida en los mismos.
Circular ASFI/193/13 (09/13)
Inicial
Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 1/2
g) Se debe realizar el etiquetado de todos los medios de respaldo y mantener un inventario

actualizado de los mismos.
Artculo 4 - (Mantenimiento preventivo de los recursos tecnolgicos) La entidad
supervisada debe realizar peridicamente el mantenimiento preventivo de los recursos
tecnolgicos que soportan los sistemas de informacin y de los recursos relacionados, mediante el
establecimiento formal y documentado de un procedimiento que incluya el cronograma
correspondiente.
Inicial
Libro 3
Ttulo VII
Captulo II
Seccin 6
Pgina 2/2
SECCIN 7:
GESTIN DE SEGURIDAD EN REDES Y COMUNICACIONES
Artculo 1 - (Polticas y procedimientos) La entidad supervisada debe contar con polticas y

procedimientos para la instalacin y mantenimiento del hardware y su configuracin base, a fin
de asegurar que proporcionen la plataforma tecnolgica que permita soportar las aplicaciones
relacionadas con las redes y comunicaciones, y minimice la frecuencia e impacto de las fallas de
desempeo de las mismas.
Asimismo, debe desarrollar polticas y procedimientos para la correcta administracin de la
infraestructura de redes y telecomunicaciones. Para este efecto, la entidad supervisada debe
considerar lo siguiente:
a)
Garantizar que los planes de adquisicin de hardware y software reflejen las

necesidades identificadas en el plan estratgico de TI.
b)
Garantizar la proteccin de los datos que se trasmiten a travs de la red de

telecomunicaciones, mediante tcnicas de cifrado estndar a travs de equipos o
aplicaciones definidas para tal fin.
c)
Asegurar que las redes de voz y/o datos cumplan con estndares de cableado
estructurado.
d)
Definir los niveles de acceso de los usuarios del sistema de informacin a las redes y
servicios de red, en funcin de las autorizaciones predefinidas.
e)
Controlar el acceso a los puertos de diagnstico.
f)
Establecer controles de acceso para redes compartidas, particularmente respecto a

aquellas que se extienden a usuarios fuera de la entidad supervisada.
Artculo 2 - (Estudio de capacidad y desempeo) La entidad supervisada debe realizar

estudios peridicos de capacidad y desempeo del hardware y las lneas de comunicacin que
permitan determinar las necesidades de expansin de capacidades y/o actualizacin de equipos en
forma oportuna.
Artculo 3 - (Exclusividad del rea de telecomunicaciones) El ambiente fsico en el que se
encuentran instalados los equipos de telecomunicaciones debe ser de uso exclusivo para el fin
sealado, con excepcin del destinado a los equipos de seguridad o procesamiento de
informacin.
Artculo 4 - (Activos de informacin componentes de la red) Los equipos como
concentradores, multiplexores, puentes, cortafuegos (firewall), enrutadores, conmutadores y
componentes del cableado estructurado de la red, deben instalarse sobre estructuras dedicadas
para equipos de telecomunicacin.
Artculo 5 - (Configuracin de hardware y software) La entidad supervisada, debe
establecer un registro formal que contenga toda la informacin referente a los elementos de
configuracin del hardware, software, parmetros, documentacin, procedimientos y
herramientas para operar, acceder y utilizar los sistemas de informacin. Asimismo, debe
considerar los siguientes aspectos:
Circular ASFI/193/13 (09/13) Inicial
Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 1/2
a)
Contar con procedimientos formalmente establecidos para: Identificar, registrar y

actualizar los elementos de configuracin existentes en el repositorio de
configuraciones.
b)
Revisar y verificar de manera regular el estado de los elementos de configuracin para

confirmar la integridad de la configuracin de datos actual e histrica.
c)
Revisar peridicamente, la existencia de cualquier software de uso personal o no

autorizado que no se encuentre incluido en los acuerdos de licenciamiento actuales.
Artculo 6 - (Documentacin tcnica) La documentacin tcnica asociada a la

infraestructura de redes y telecomunicaciones debe conservarse actualizada, resguardada y
contemplar como mnimo las siguientes disposiciones:
a)
Caractersticas, topologa y diagrama de red.
b)
Descripcin de los elementos de cableado.
c)
Planos de trayectoria del cableado y ubicacin de puntos de salida.
d)
Diagrama del sistema de interconexin de cables de red, distribucin de regletas y

salidas.
e)
Certificacin del cableado estructurado de la red.
Libro 3
Ttulo VII
Captulo II
Seccin 7
Pgina 2/2
SECCIN 8:
GESTIN DE SEGURIDAD EN TRANSFERENCIAS Y TRANSACCIONES

ELECTRNICAS
Artculo 1 - (Requisitos de los sistemas de transferencia y transaccin electrnica) Para

habilitar un sistema de transferencia electrnica de informacin o transaccin electrnica de
fondos mediante banca electrnica o servicios de pago mvil, la entidad supervisada debe
adquirir e implementar los elementos de hardware y software necesarios para la proteccin y
control de su plataforma tecnolgica. Adicionalmente y en forma complementaria debe dar
cumplimiento de los siguientes requisitos mnimos:
a)
Seguridad del sistema: El sistema debe proveer un perfil de seguridad que garantice
que las operaciones slo puedan ser realizadas por personas debidamente autorizadas
para ello, debiendo resguardar, adems, la privacidad o confidencialidad de la
informacin transmitida o procesada por ese medio.
Dicho sistema, debe contener los mecanismos fsicos y lgicos de seguridad para
controlar y detectar cualquier alteracin o intervencin a la informacin transmitida,
entre el punto en que sta se origina y aquel en que es recibida por el destinatario.
Los procedimientos deben asegurar que tanto el originador como el destinatario, en su
caso, conozcan la autora de las transacciones o mensajes y la conformidad de su
recepcin, debiendo utilizar las polticas y procedimientos de seguridad de la
informacin indicadas en el Artculo 2 de la Seccin 3 del presente Reglamento,
incluyendo mtodos de cifrado estndar de datos, que permitan asegurar su
confiabilidad, no repudio, autenticidad e integridad.
La entidad supervisada, es responsable de implementar mecanismos de control de
acceso y/o contraseas adicionales a los clientes, as como del nivel de robustez del
sistema de autenticacin para aquellas transacciones que sean realizadas a travs de
Internet, caso contrario no se podr atribuir ninguna responsabilidad a un usuario del
sistema en el caso de que se materialice un fraude a travs de estos sistemas de
transacciones y transferencias electrnicas.
El mecanismo de acceso y/o contrasea al Sistema Web debe ser diferente al
mecanismo que permita realizar transferencias de fondos en lnea.
b)
Canal de comunicacin: La entidad supervisada debe mantener permanentemente

abierto y disponible un canal de comunicacin que permita al cliente realizar consultas
y solicitar el bloqueo de cualquier operacin que intente efectuarse utilizando sus
medios de acceso a la informacin o claves de autenticacin. Cada sistema que opere en
lnea y en tiempo real, debe permitir dicho bloqueo tambin en tiempo real.
Toda informacin relacionada a transferencia y transacciones electrnicas, debe
contemplar en los canales de comunicacin mecanismos de cifrado estndar durante
todo el flujo operativo de los sistemas de informacin tanto al interior como al exterior
de la entidad supervisada.
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 1/3
c)
Difusin de polticas de seguridad: La entidad supervisada debe difundir sus polticas

de seguridad relativas al tema de transferencias y transacciones electrnicas tanto al
interior de la misma, como a los clientes externos que utilizan dicho sistema.
d)
Certificacin: La existencia de las pginas Web utilizadas por las entidades

supervisadas, debe estar avalada en cuanto a su propiedad y seguridad de la informacin
expuesta, por una certificadora nacional o internacional. En el caso de la certificadora
nacional, sta debe estar respaldada por una certificadora internacional.
e)
Continuidad operativa: La entidad supervisada, debe contar con procesos alternativos

que puedan asegurar la continuidad de todos los procesos definidos como crticos
relacionados con los servicios de transferencias y transacciones electrnicas. Es decir,
las instalaciones y configuraciones de los equipos, sistemas y de las redes deben
garantizar la continuidad de las operaciones frente a eventos fortuitos o deliberados,
para lo cual debe considerar lo previsto en la Seccin 10, del presente Reglamento.
f)
Disponibilidad de la informacin (informes): Los sistemas de transaccin y

transferencia electrnica de fondos deben generar la informacin necesaria para que el
cliente pueda conciliar los movimientos de dinero efectuados, tanto por terminales
como por usuario habilitado, incluyendo, cuando corresponda, totales de las
operaciones realizadas en un determinado perodo.
g)
Registro de pistas de auditora: Los sistemas utilizados, adems de permitir el registro

y seguimiento ntegro de las operaciones realizadas, deben generar archivos que
permitan respaldar los antecedentes de cada operacin electrnica, necesarios para
efectuar cualquier seguimiento, examen o certificacin posterior, tales como, fechas y
horas en que se realizaron, contenido de los mensajes, identificacin de los operadores,
emisores y receptores, cuentas y montos involucrados, as como la identificacin de
terminales desde las cuales se realizaron.
La conservacin de esta informacin se regir por lo establecido en el Artculo 94 de la
Ley N 1488 de Bancos y Entidades Financieras referido a la custodia de los
documentos relacionados con sus operaciones, microfilmados o registrados en medios
magnticos y electrnicos, por un periodo no menor a diez (10) aos.
h)
i)
Verificacin y control de transacciones y transferencias electrnicas: La entidad

supervisada debe implementar mnimamente las siguientes medidas de seguridad:
i.
Regionalizacin de operaciones electrnicas nacionales e internacionales de los

clientes.
ii.
Fijar lmites monetarios en transferencias y transacciones electrnicas.
Acuerdos privados: Para la realizacin de transacciones y/o transferencias de

informacin entre entidades supervisadas, BCB, ASFI, usuarios y todas las que estn
relacionadas con la actividad de intermediacin financiera, deben celebrarse acuerdos
privados que estn debidamente firmados y protocolizados entre las partes interesadas y
que consideren las medidas de seguridad que se indican en el Artculo 2 de la Seccin
3 del presente reglamento.
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 2/3
Artculo 2 - (Contrato formal) Debe celebrarse un contrato entre la entidad supervisada y el

cliente, en el cual queden claramente establecidos los derechos y responsabilidades de cada una
de las partes que intervienen en este tipo de operaciones electrnicas. Este contrato debe contener
de manera enunciativa y no limitativa, los siguientes puntos:
a)
El cliente, ser responsable exclusivo del uso y confidencialidad de la clave de acceso,

que utilizar en sus operaciones. Adems se debe indicar, que la contrasea ser
bloqueada automticamente despus de tres intentos fallidos, as como el procedimiento
para su desbloqueo debe estar claramente especificado.
b)
El tipo de operaciones que puede efectuar el cliente.
c)
El horario y consideraciones de cierre diario de cada entidad supervisada, junto al

procedimiento alternativo en caso de que el servicio no est disponible.
d)
Las medidas de seguridad que ha tomado la entidad supervisada para la transferencia

electrnica de informacin y transaccin electrnica de fondos.
e)
Los sistemas que permitan ejecutar transacciones con fondos, adems de reconocer la
validez de la operacin que el cliente realice, deben controlar que los importes girados
no superen el saldo disponible o el lmite que para el efecto haya sido fijado por ste,
salvo la existencia previa de contratos de anticipo o adelanto en cuenta, debiendo
cumplir para tal efecto con las formalidades del Cdigo de Comercio y reglamentacin
vigente.
f)
Todas las condiciones, caractersticas y cualquier otra estipulacin determinante que

conlleve el uso de este servicio.
Artculo 3 - (Cifrado de mensajes y archivos) Para que una entidad supervisada, efecte
transferencias electrnicas de informacin y transacciones electrnicas de fondos, debe tener
implementado un sistema de cifrado estndar que garantice como mnimo que las operaciones
realizadas por los usuarios internos o externos de los sistemas de informacin sean efectuadas en
un ambiente seguro y no puedan ser observadas por usuarios no autorizados.
Libro 3
Ttulo VII
Captulo II
Seccin 8
Pgina 3/3
SECCIN 9:
GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
Artculo nico - (Gestin de incidentes de seguridad de la informacin) La entidad

supervisada debe tener formalizado por escrito, actualizado, implementado y aprobado por el
Directorio u rgano equivalente, un procedimiento para la gestin de incidentes de seguridad de
la informacin, en concordancia con el Plan de Contingencias definido en el Artculo 1, Seccin
10 del presente Captulo. Este procedimiento debe contar mnimamente con lo siguiente:
a)
Responsabilidades y procedimientos: La Gerencia General debe establecer

formalmente las responsabilidades y procedimientos para asegurar una rpida, efectiva
y ordenada respuesta a los incidentes de seguridad de la informacin.
b)
Registro, cuantificacin y monitoreo de incidentes de seguridad de la informacin:

La entidad supervisada debe establecer los mecanismos necesarios que permitan que los
tipos, volmenes y costos de los incidentes de seguridad de la informacin sean
registrados, cuantificados y monitoreados. De igual manera, debe ejecutar las acciones
correctivas oportunas.
c)
Clasificacin de incidentes de seguridad de la informacin: La entidad supervisada

debe considerar al menos las siguientes categoras:
A. Prdida de servicio, equipo o instalaciones.
B.
Sobrecargo o mal funcionamiento del sistema.
C. Errores humanos.
D. Incumplimiento de polticas o procedimientos.
E.
Deficiencias de controles de seguridad fsica.
F.
Cambios incontrolables en el sistema.
G. Mal funcionamiento del software o hardware.

H. Violacin de accesos.
I.
Cdigo malicioso.
J.
Negacin de servicio.
K. Errores resultantes de datos incompletos o no actualizados.

L.
Violaciones en la confidencialidad e integridad de la informacin.
M. Mal uso de los sistemas de informacin.

N. Accesos no autorizados exitosos, sin perjuicios visibles a componentes
tecnolgicos.
O. Intentos recurrentes y no recurrentes de acceso no autorizado.
Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 1/2
d)
Registro de incidentes de seguridad de la informacin: La entidad supervisada para

efectos de control, seguimiento y solucin, debe mantener una base de datos para el
registro de los incidentes de seguridad de la informacin que considere la clasificacin
establecida en el inciso c) del presente artculo.
Libro 3
Ttulo VII
Captulo II
Seccin 9
Pgina 2/2
SECCIN 10: CONTINUIDAD DEL NEGOCIO

Artculo 1 - (Plan de contingencias tecnolgicas) La entidad supervisada debe tener
formalizado por escrito, actualizado, implementado y aprobado por el Directorio u rgano
equivalente, un documento denominado plan de contingencias tecnolgicas, que considere
mnimamente:
a) Objetivo del plan de contingencias tecnolgicas.
b) Metodologa del plan de contingencias tecnolgicas que incluya lo siguiente:
i. Anlisis de riesgo tecnolgico.
ii. Definicin de eventos que afecten la operacin de los sistemas de informacin.
iii. Definicin de procesos crticos relacionados a los sistemas de informacin.
c) Procedimientos de recuperacin de operaciones crticas para cada evento identificado en
el inciso b), numeral ii) del presente artculo.
d) Descripcin de responsabilidades, funciones e identificacin del personal que ejecutar el
plan.
e) Medidas de prevencin.
f) Recursos mnimos asignados para la recuperacin.
g) Convenios realizados para la recuperacin.
h) Revisin anual y evaluaciones ms frecuentes del plan de contingencias tecnolgicas de
acuerdo con el anlisis de riesgo tecnolgico efectuado y/o los incidentes de seguridad de
informacin acontecidos.
i)
Pruebas al plan de contingencias tecnolgicas.
j)
Situaciones no cubiertas y supuestos.
Artculo 2 - (Plan de continuidad del negocio - BCP) La entidad supervisada debe tener
formalizado por escrito, actualizado, implementado y aprobado por el Directorio u rgano
equivalente, un plan de continuidad del negocio, que incluya al menos:
a) Inicio del proyecto.
b) Anlisis de riesgo tecnolgico.
c) Anlisis de impacto al negocio (BIA: Business Impact Analysis).
d) Desarrollo de estrategias para el BCP.
e) Respuesta ante emergencias.
f) Desarrollo e implementacin del BCP.
g) Programa de Concientizacin y Capacitacin.
h) Mantenimiento y Ejercicio del BCP.
Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 1/2
i)
Comunicacin de crisis.
Artculo 3 - (Capacitacin en la aplicacin de los planes de contingencias tecnolgicas y

de continuidad del negocio) La entidad supervisada debe asegurarse que todas las partes
involucradas en los planes de contingencias tecnolgicas y de continuidad del negocio reciban
sesiones de capacitacin de forma regular respecto a los procesos, sus roles y responsabilidades
en caso de presentarse algn incidente de seguridad de la informacin.
Artculo 4 - (Pruebas de los planes de contingencias tecnolgicas y continuidad del
negocio) La entidad supervisada debe efectuar al menos una prueba al ao de los planes de
contingencias tecnolgicas y continuidad del negocio, debiendo los resultados de ambas pruebas
ser exitosas en toda su dimensin, caso contrario se deben ejecutar las acciones correctivas que
correspondan y ejecutar las pruebas necesarias hasta cumplir con el objetivo planteado.
La entidad supervisada debe documentar la realizacin de las pruebas y de la implementacin de
los planes de accin correctivos o preventivos que correspondan. El cronograma de realizacin de
pruebas, conforme a los planes de contingencias tecnolgicas y de continuidad del negocio para
la gestin que se planifica, debe ser remitido a ASFI para su conocimiento, hasta el 20 de
diciembre del ao anterior a su ejecucin.
El alcance de las pruebas de recuperacin debe considerar aplicaciones individuales, escenarios
de pruebas integrados, pruebas de punta a punta y pruebas integradas con el proveedor. El
resultado de stas debe estar disponible para ASFI.
Artculo 5 - (Control de los planes de contingencias tecnolgicas y de continuidad del
negocio) La entidad supervisada a travs de los funcionarios involucrados en las pruebas y
ejecucin de los planes de contingencias tecnolgicas y de continuidad del negocio, es
responsable de mantener los niveles de seguridad definidos para cada etapa del mismo.
Artculo 6 - (Establecimiento del centro de procesamiento de datos alterno) La entidad
supervisada debe contar con un mecanismo alterno de procesamiento de informacin que sea
consistente con su naturaleza y tamao y est de acuerdo al anlisis de riesgo tecnolgico
realizado y a la criticidad de sus operaciones, el cual le permita dar continuidad a los servicios
que ofrece. En caso de ocurrir una contingencia que interrumpa las operaciones del Centro de
Procesamiento de Datos principal, el centro alterno deber funcionar hasta que se resuelva la
contingencia.
Libro 3
Ttulo VII
Captulo II
Seccin 10
Pgina 2/2
SECCIN 11: ADMINISTRACIN DE SERVICIOS Y CONTRATOS CON TERCEROS RELACIONADOS

CON TECNOLOGA DE LA INFORMACIN
Artculo 1 - (Administracin de servicios y contratos con terceros) La entidad supervisada

debe contar con polticas y procedimientos para la administracin de servicios y contratos con
terceros, a fin de asegurar que los servicios y contratos requeridos sean provistos en el marco de
un adecuado nivel de servicios que minimicen el riesgo relacionado y se enmarquen en las
disposiciones contenidas en el presente Reglamento segn corresponda.
La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para la
administracin de servicios y contratos con terceros.
Artculo 2 - (Evaluacin y seleccin de proveedores) Para la contratacin de proveedores
externos de tecnologa de informacin, la entidad supervisada debe poseer un procedimiento
documentado y formalizado para realizar la evaluacin y seleccin de los mismos, previo a
proceder con su contratacin.
Artculo 3 - (Procesamiento de datos o ejecucin de sistemas en lugar externo) Para la
contratacin de empresas encargadas del procesamiento de datos o ejecucin de sistemas en lugar
externo, la entidad supervisada debe considerar al menos los siguientes aspectos:
a)
Es deber del Directorio u rgano equivalente, Gerencia General y dems administradores

responsables, asegurarse que la empresa proveedora cuente con la experiencia y capacidad
necesarias para el procesamiento de datos relacionados al giro de la entidad supervisada y
que respondan a las caractersticas del servicio que se desea contratar.
b)
La infraestructura tecnolgica y los sistemas que se utilizarn para la comunicacin,

almacenamiento y procesamiento de datos, deben ofrecer la seguridad suficiente para
resguardar permanentemente la continuidad operacional, la confidencialidad, integridad,
exactitud y calidad de la informacin y los datos. Asimismo, se debe verificar que las
condiciones garantizan la obtencin oportuna de cualquier dato o informacin que necesite,
para fines de la entidad supervisada o para cumplir con los requerimientos de las
autoridades competentes, como es el caso de la informacin que en cualquier momento
puede solicitar ASFI.
c)
Es responsabilidad de la entidad supervisada, verificar y exigir al proveedor de

tecnologas de informacin el cumplimiento de las polticas y procedimientos de
seguridad de la informacin pertinentes del presente Reglamento.
d)
Es responsabilidad de la entidad supervisada asegurar las medidas necesarias que

garanticen la continuidad operacional del procesamiento de datos, en caso de cambio de
proveedor externo u otro factor no previsto.
e)
En caso de que el procesamiento de datos se realice fuera del territorio nacional, la

entidad supervisada debe comunicar esta situacin a ASFI, adjuntando la siguiente
documentacin:
i. Detalle de las actividades descentralizadas.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 1/4
ii. Descripcin del entorno de procesamiento.

iii. Lista de encargados del procesamiento.
iv. Responsables del control de procesamiento.
v. Informe del Gerente General, dirigido al Directorio u rgano equivalente, que
seale el cumplimiento de lo dispuesto en los incisos precedentes.
Dicha documentacin debe permanecer actualizada en la entidad supervisada, a
disposicin de ASFI.
f)
El Gerente General de la entidad supervisada debe remitir anualmente a ASFI hasta el

31 de marzo de cada ao, un informe con carcter de declaracin jurada refrendado por
el auditor interno, en el que se especifique que el sistema de procesamiento de datos,
cumple con los criterios establecidos en el presente Reglamento.
Artculo 4 - (Contrato con proveedor de procesamiento externo) Es responsabilidad del

Directorio u rgano equivalente y el Gerente General de la entidad supervisada, la suscripcin
del contrato con la empresa proveedora de los servicios de procesamiento, el que entre otros
aspectos debe especificar lo siguiente:
a)
La naturaleza y especificaciones del servicio de procesamiento contratado.
b)
La responsabilidad que asume la empresa proveedora, para mantener polticas y

procedimientos que garanticen la seguridad de la informacin, el secreto bancario y la
confidencialidad de la informacin, en conformidad con la legislacin boliviana, as
como para prever prdidas, atrasos o deterioros de la misma.
c)
La responsabilidad que asume la empresa proveedora de tecnologas en caso de ser

vulnerados sus sistemas, ya sea por ataques informticos internos y/o externos,
deficiencias en la parametrizacin, configuracin y/o rutinas de validacin inmersas en
el cdigo fuente.
d)
La facultad de la entidad supervisada, para practicar evaluaciones peridicas en la

empresa proveedora del servicio, directamente o mediante auditoras independientes.
La entidad supervisada debe mantener los documentos y antecedentes de los contratos suscritos
con empresas proveedoras de servicios de tecnologa de informacin a disposicin de ASFI.
Artculo 5 - (Adquisicin de sistemas de informacin) La entidad supervisada debe evaluar
la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisicin, en
base a un anlisis que considere como mnimo lo siguiente:
a) Fuentes alternativas para la compra.
b) Revisin de la factibilidad tecnolgica y econmica.
c) Anlisis de riesgo tecnolgico y de costo-beneficio.
d) Eleccin del proveedor, que permita un nivel de dependencia aceptable.
e) Disponibilidad de cdigo fuente.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 2/4
Asimismo, los contratos con el proveedor deben indicar los requisitos de seguridad establecidos
por la entidad supervisada. Si la funcionalidad del producto ofrecido, no satisface los requisitos
de seguridad de la informacin establecidos por la entidad supervisada, se debe reconsiderar los
riesgos y controles asociados antes de adquirir el producto.
Artculo 6 - (Desarrollo y mantenimiento de programas, sistemas o aplicaciones a travs
de proveedores externos) Para la contratacin de empresas encargadas del desarrollo y
mantenimiento de sistemas de informacin, la entidad supervisada debe considerar al menos los
siguientes aspectos:
a)
Es deber del Gerente General y de los administradores responsables, asegurarse que la

empresa contratada cuente con solidez financiera, organizacin y personal con
conocimiento y experiencia en el desarrollo de sistemas y/o en servicios financieros
relacionados al giro de la entidad supervisada; asimismo, asegurarse que sus sistemas de
control interno y procedimientos de seguridad de la informacin, responden a las
caractersticas del servicio que se requiere contratar.
b)
La infraestructura tecnolgica, sistemas operativos y las herramientas de desarrollo,

referidos a licencias de software, que se utilizarn estn debidamente licenciados por el
fabricante o representante de software.
c)
Es responsable de asegurar la adopcin de medidas que garanticen la continuidad del

desarrollo de sistemas, en caso de cambio de proveedor externo u otro factor no previsto.
d)
Es responsable de exigir al proveedor de tecnologas de informacin que cumpla con las

polticas y procedimientos de seguridad de la informacin sealados en el Artculo 1 de la
presente Seccin.
Artculo 7 - (Contrato con empresas encargadas del desarrollo y mantenimiento de

programas, sistemas o aplicaciones) El contrato con empresas de desarrollo externo debe
contener como mnimo las siguientes clusulas:
a) Se debe aclarar a quien pertenece la propiedad intelectual en el caso de desarrollo de
programas, sistemas o aplicaciones.
b) Se debe indicar en detalle la plataforma de desarrollo, servidores, sistemas operativos y las
herramientas de desarrollo, tales como lenguaje de programacin y sistema de gestin de
base de datos.
c) El proveedor debe tener el contrato del personal que participa en el proyecto, actualizado y
con clusulas de confidencialidad para el manejo de la informacin. Adicionalmente, debe
enviar al cliente - entidad supervisada - el currculo de todos los participantes en el proyecto,
indicando al menos antecedentes profesionales y personales.
d) Se debe indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo,
incluyendo las pruebas de programas.
e) Con la finalidad de proteger a la entidad supervisada, junto a las clusulas normales de
condiciones de pago se debe establecer multas por atrasos en la entrega. Al mismo tiempo,
indemnizacin por daos y perjuicios en caso de fraudes o ataques informticos.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 3/4
f) En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores de la
entidad supervisada, debe regirse y cumplir las polticas y procedimientos de la misma en lo
referido a la seguridad de la informacin.
g) Al trmino del proyecto, al adquirir un producto previamente desarrollado y/o cuando el
proveedor no est en disponibilidad de continuar operando en el mercado, la entidad
supervisada debe asegurarse el acceso oportuno a los programas fuentes.
h) Acorde a los cambios realizados al sistema de informacin, la entidad supervisada debe
asegurarse de que el proveedor actualice y entregue mnimamente la siguiente
documentacin:
1)
Diccionario de datos.
2)
Diagrama Entidad Relacin (ER).
3)
Manual tcnico.
4)
Manual de usuario.
5)
Documentacin que especifique el flujo de la informacin entre los mdulos y

los sistemas.
Artculo 8 - (Otros servicios) La entidad supervisada podr tercerizar otros servicios como el
mantenimiento de equipos, soporte de sistemas operativos, hospedaje de sitios Web, para los
cuales debe considerar al menos los siguientes aspectos:
a) Tipo de servicio.
b) Soporte y asistencia.
c) Seguridad de datos.
d) Garanta y tiempos de respuesta del servicio.
e) Disponibilidad del servicio.
f) Multas por incumplimiento.
Artculo 9 - (Acuerdo de nivel de servicio - SLA) La entidad supervisada de forma previa a
la contratacin de un proveedor externo de tecnologa de informacin, debe establecer un SLA en
el contrato respectivo, de acuerdo a su anlisis de riesgo tecnolgico y de acuerdo a la criticidad
de sus operaciones.
Los parmetros del SLA, pueden referirse al tipo de servicio, soporte y asistencia a clientes,
provisiones para seguridad y datos, garantas del sistema y tiempos de respuesta, disponibilidad
del sistema, conectividad, multas por cada del sistema y/o lneas alternas para el servicio.
Libro 3
Ttulo VII
Captulo II
Seccin 11
Pgina 4/4
SECCIN 12: ROL DE LA AUDITORA INTERNA

Artculo nico (Auditora Interna) La Unidad de auditora interna es un elemento clave en la
gestin de seguridad de la informacin, debiendo entre otras, cumplir con las siguientes
funciones:
a) Verificar el cumplimiento del presente Reglamento, en los doce meses precedentes,
debiendo la entidad supervisada remitir a ASFI hasta el 15 de enero de cada ao, o el
siguiente da hbil en caso de feriado o fin de semana, el informe elaborado. Dicha labor
podr realizarse a travs, de evaluaciones internas y/o externas.
b) Verificar la ejecucin de las pruebas solicitadas en el Artculo 8 de la Seccin 3, del
presente Captulo y comunicar el resultado del anlisis de vulnerabilidades a ASFI, hasta
el 15 de noviembre de cada ao, o el siguiente da hbil en caso de feriado o fin de
semana a travs del informe elaborado por la Unidad de auditora interna.
c) Emitir un informe sobre el resultado de las pruebas realizadas a los planes de
contingencias tecnolgicas y de continuidad del negocio.
Libro 3
Ttulo VII
Captulo II
Seccin 12
Pgina 1/1
SECCIN 13: OTRAS DISPOSICIONES

Artculo 1 - (Responsabilidad) El Gerente General de la entidad supervisada, es responsable
del cumplimiento, implementacin y difusin interna del presente Reglamento.
Artculo 2 - (Normas y estndares internacionales aplicables) En caso de existir
situaciones no previstas en el presente Reglamento, la entidad supervisada, debe aplicar normas
y/o estndares internacionales de Tecnologas de Informacin y Seguridad de la Informacin,
debiendo identificar la referencia de la(s) norma(s) y/o estndares utilizados en sus polticas.
Artculo 3 - (Herramientas informticas) Para realizar evaluaciones de seguridad de la
informacin y auditora de sistemas a entidades supervisadas, ASFI podr utilizar herramientas
informticas cuando lo considere pertinente.
Asimismo, ASFI podr evaluar a la entidad supervisada de acuerdo a su naturaleza, tamao y
complejidad de sus operaciones, aplicando normas y/o estndares internacionales de Tecnologas
de Informacin y Seguridad de la informacin.
Artculo 4 - (Sanciones) El incumplimiento o inobservancia al presente Reglamento dar
lugar a la aplicacin del Artculo 99 de la Ley N 1488 de Bancos y Entidades Financieras y a lo
dispuesto por el Reglamento de Sanciones Administrativas contenido en la RNSF a travs de
proceso administrativo sancionatorio establecido en la Ley de Procedimiento Administrativo N
2341 de 23 de abril de 2002 y en el Reglamento a la Ley de Procedimiento Administrativo para el
Sistema de Regulacin Financiera SIREFI aprobado mediante Decreto Supremo N 27175 de
15 de septiembre de 2003.
Libro 3
Ttulo VII
Captulo II
Seccin 13
Pgina 1/1
SECCIN 14: DISPOSICIONES TRANSITORIAS

Artculo nico (Adecuacin y cronograma) La entidad supervisada debe cumplir con las
disposiciones establecidas en el presente Reglamento hasta el 31 de diciembre de 2014.
La entidad supervisada debe elaborar un cronograma para el cumplimiento y adecuacin a la
presente normativa, el cual debe ser aprobado por su Directorio u rgano equivalente y
permanecer a disposicin de ASFI.
Libro 3
Ttulo VII
Captulo II
Seccin 14
Pgina 1/1
CAPTULO III: REGLAMENTO PARA LA GESTIN DE SEGURIDAD FSICA

SECCIN 1:
ASPECTOS GENERALES
Artculo 1 (Objeto) El presente Reglamento tiene por objeto establecer lineamientos y

condiciones para la Gestin de Seguridad Fsica, que deben implementar las Entidades de
Intermediacin Financiera (EIF) y las Empresas de Servicios Financieros Complementarios para
la prestacin de servicios a sus clientes y usuarios.
Artculo 2 (mbito de aplicacin) Se encuentran sujetos al mbito de aplicacin del
presente Reglamento, los Bancos, Mutuales de Ahorro y Prstamo, Entidades Financieras de
Vivienda, Cooperativas de Ahorro y Crdito Abiertas, Cooperativas de Ahorro y Crdito
Societarias, Instituciones Financieras de Desarrollo, Empresas de Arrendamiento Financiero,
Empresas de Servicios de Pago Mvil, Casas de Cambio, Empresas de Giro y Remesas de Dinero
y Empresas de Transporte de Material Monetario y Valores, que cuenten con licencia de
funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero (ASFI),
denominadas en adelante entidades supervisadas.
Artculo 3 (Definiciones) Para efectos de las disposiciones, contenidas en el presente
Reglamento, se considerarn las siguientes definiciones:
a) rea de exclusin: rea de acceso restringido identificada en las instalaciones de la
entidad supervisada;
b) Botn de pnico: Dispositivo electrnico que genera una seal de auxilio no audible que
comunica la ocurrencia de un incidente de seguridad fsica a la central de monitoreo;
c) Bveda principal: rea destinada a la custodia y atesoramiento del material monetario
y/o valores;
d) Bveda auxiliar: rea destinada a la custodia y atesoramiento transitorio del material
monetario y/o valores, durante la atencin de las operaciones y/o al cierre del da;
e) Caja fuerte bveda: Equipo fsico destinado a la custodia y atesoramiento del material
monetario y/o valores;
f) Caja fuerte auxiliar: Equipo fsico destinado a la custodia y atesoramiento transitorio de
una parte del material monetario y/o valores;
g) Caja tipo buzn: Permite el atesoramiento transitorio de material monetario y/o valores
con ubicacin en el rea de ventanillas de atencin al pblico;
h) Camino de ronda: Recorrido que el guardia privado o polica de seguridad, realiza a lo
Circular ASFI/178/13 (05/13) Modificacin 1
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 1/4
largo de los pasillos, salidas de emergencia, gradas, reas de carga o descarga, garajes,
reas comunes y otras reas, con el objeto de velar por la integridad fsica de las personas
y la seguridad de los activos de la entidad;
i)
Circuito cerrado de televisin: Sistema de transmisin de imgenes compuesto por un

nmero determinado de cmaras que transmiten las seales capturadas a uno o ms
monitores, que forman un conjunto cerrado y limitado, en adelante CCTV;
j) Central de monitoreo: rea de exclusin donde estn instaladas las centrales para la
recepcin de seales provenientes de los sistemas de alarma y almacenamiento de las
grabaciones de las cmaras de Circuito Cerrado de TV (CCTV);
k) Corresponsal financiero: Puede ser corresponsal financiero, la Entidad de
Intermediacin Financiera con Licencia Funcionamiento, la Cooperativa de Ahorro y
Crdito Societario, previa autorizacin de ASFI, la Institucin Financiera de Desarrollo
con Certificado de Adecuacin, la Empresa de Transporte de Material Monetario y
Valores y la Casa de Cambio con Personalidad Jurdica, que cuenten con Licencia de
Funcionamiento;
l)
Corresponsal no financiero: Es la persona natural o jurdica legalmente constituida que

no realiza actividades de intermediacin financiera o de servicios financieros
complementarios;
m) Contacto magntico: Dispositivo electrnico que se activa al separar un contacto

elctrico de un imn, rompiendo el campo magntico y activando el sistema de alarma,
utilizado para el control de apertura de puertas y ventanas;
n) Detector inercial: Dispositivo electrnico que activa el sistema de alarma ante la
deteccin de vibraciones en el suelo o paredes;
o) Diagnstico de seguridad fsica: Resultado del anlisis que se realiza a la
infraestructura, entorno y medidas de seguridad fsica de una entidad supervisada, que
tiene como fin conocer las caractersticas especficas, vulnerabilidades y amenazas a las
que estn expuestas las instalaciones, operaciones y/o servicios de la entidad supervisada;
p) Empresa privada de vigilancia: Empresa privada autorizada por la instancia competente
para prestar servicios remunerados de seguridad fsica a entidades financieras y empresas
de servicios financieros complementarios, que incluyen la provisin de guardias, sistemas
de alarma, monitoreo y/o vigilancia motorizada entre otros;
q) Equipo anti-skimming: Equipo instalado en el cajero automtico que previene el robo
de identidad y reduce el fraude;
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 2/4
r) Gestin de seguridad fsica: Conjunto de objetivos, polticas, procedimientos, planes y

acciones que implementa la entidad supervisada con el objeto de proteger la integridad
fsica de las personas, as como los activos que se encuentren bajo su custodia, en el
interior o fuera de sus instalaciones, asimismo, la seguridad de su personal cuando estos
realicen operaciones y servicios fuera de las dependencias de la entidad;
s) Guardia privado: Personal dependiente de una empresa privada de vigilancia,
autorizada por la instancia competente, que vigila, protege y custodia la integridad fsica
de las personas y/o activos asignados;
t) Grupo electrgeno: Equipo generador de electricidad por medio de un motor de
combustin interna, que garantiza el suministro ininterrumpido de energa para los
sistemas elctricos de seguridad fsica;
u) Incidente de seguridad fsica: Cualquier evento o acontecimiento que causa daos o
prdidas de vidas humanas, activos e imagen institucional de la entidad supervisada;
v) Medidas de seguridad fsica: Son los procesos fsicos, humanos y tecnolgicos
adoptados por la entidad supervisada que en forma aislada o combinada, minimizan,
retardan, impiden y/o neutralizan riesgos de incidentes de seguridad fsica y sus
consecuencias;
w) Nivel de riesgo ante incidentes de seguridad fsica: Es el grado de exposicin a daos o
prdidas ocasionadas por incidentes de seguridad fsica;
x) Particionado: Es el procedimiento por el cual se divide un sistema de alarma en dos o
ms reas de forma que puedan activarse o desactivarse en forma independiente;
y) Personal de Vigilancia: Personal perteneciente a la Polica Boliviana o Empresas
Privadas de Vigilancia que brinda seguridad a las personas en las instalaciones y los
activos de la entidad;
z) Plan de seguridad fsica: Documento aprobado por la instancia competente, que
establece los cursos de accin, medios y recursos que sern implementados para
proporcionar seguridad fsica en las instalaciones de la entidad supervisada, as como a
las operaciones y servicios que realice;
aa) Polica de seguridad: Personal de la Polica Boliviana provisto de armas de fuego, que
presta servicios de proteccin y/o custodia de la integridad fsica de las personas y/o
activos asignados;
bb) Punto de Atencin Financiero (PAF): Instalacin o establecimiento equipado para
realizar operaciones de intermediacin financiera o servicios financieros
Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 3/4
complementarios, segn corresponda, en el marco de la Ley N 393 de Servicios

Financieros (LSF) en el territorio nacional y de acuerdo a lo establecido en la
Recopilacin de Normas para Servicios Financieros (RNSF);
cc) Sensor infrarrojo: Dispositivo electrnico que emite un rayo infrarrojo continuo, cuya
interferencia por elementos extraos, activa el sistema de alarma;
dd) Sensor de ruptura de cristal: Dispositivo electrnico que detecta las frecuencias del
sonido que producen los vidrios al astillarse, a travs de un micrfono instalado en su
interior;
ee) Sensor ssmico: Dispositivo electrnico que detecta golpes o vibraciones, instalados en
el suelo o paredes alrededor de bveda(s) o caja(s) fuerte(s) bveda;
ff) Sirenas de Alarma: Dispositivo que emite sonidos y luces de alarma u otros elementos
disuasivos que alerten a los transentes o personal de vigilancia de un incidente de
seguridad fsica;
gg) Skimming: Robo de informacin de tarjetas de dbito o crdito al momento de efectuar
una transaccin, con la finalidad de reproducir o clonar la tarjeta de crdito o dbito para
su posterior uso fraudulento;
hh) Vigilancia motorizada: Patrullaje disuasivo realizado por unidades motorizadas a las
instalaciones de la entidad supervisada;
ii) Transporte de material monetario y/o ttulos valores: Traslado fsico de material
monetario y/o valores, de un PAF a otro;
jj) Unidad de Seguridad Fsica: Unidad organizacional dependiente de la instancia
ejecutiva que corresponda, responsable de operativizar e informar sobre la gestin de
seguridad fsica en la entidad supervisada. Su tamao y estructura interna debe estar en
relacin con el nivel de riesgo, incidentes de seguridad fsica y volumen de operaciones
de los PAF.

Libro 3
Ttulo VII
Captulo III
Seccin 1
Pgina 4/4
SECCIN 2:
GESTIN DE SEGURIDAD FSICA
Artculo 1 - (Gestin de Seguridad Fsica) La entidad supervisada, debe constituir un

sistema para la Gestin de Seguridad Fsica, que permita identificar, monitorear, controlar y
mitigar en forma preventiva o correctiva, impidiendo y/o neutralizando los riesgos a incidentes de
seguridad fsica y sus consecuencias.
Artculo 2 - (Nivel de riesgo) La entidad supervisada, debe realizar un diagnstico de
seguridad fsica que identifique el nivel de riesgo ante incidentes de seguridad fsica al que se
encuentran expuestas sus instalaciones, considerando mnimamente las zonas geogrficas de
riesgo identificadas por la autoridad competente en temas de seguridad ciudadana y el valor
monetario de los activos que se encuentran bajo su resguardo.
Para la aplicacin de las medidas especficas de seguridad fsica establecidas en la Seccin 4 del
presente Reglamento, la entidad supervisada, debe clasificar el nivel de riesgo de sus PAF en las
categoras de riesgo alto, medio o bajo, considerando mnimamente los aspectos mencionados en
el prrafo anterior.
ASFI podr instruir, a la entidad supervisada, modificar el nivel de riesgo determinado para sus
PAF en funcin a la ocurrencia de incidentes de seguridad fsica reportados en cumplimiento al
Artculo 490 de la Ley N 393 de Servicios Financieros o como producto de la supervisin
realizada por las Direcciones correspondientes.
Artculo 3 - (Polticas) La entidad supervisada debe contar con polticas de seguridad fsica
aprobadas por el Directorio u rgano equivalente, orientadas a priorizar el fortalecimiento de la
seguridad fsica en sus instalaciones, operaciones y/o servicios, las mismas que deben incluir
referencias de la(s) Norma(s) Internacional(es) de seguridad fsica adoptada(s) por la entidad.
Dichas polticas deben considerar los siguientes principios, segn se enuncian en orden de
prioridad:
a) Proteccin a la vida de las personas que se encuentren dentro de las instalaciones de las
Entidades Supervisadas y de su personal cuando estos realicen operaciones y/o servicios
fuera de las mismas;
b) Proteccin de los activos propios y en custodia, incluida la documentacin e informacin
en medios impresos o electrnicos;
c) Proteccin de la imagen institucional.
La entidad supervisada debe implementar polticas de capacitacin en seguridad fsica para todo
su personal, sin exclusiones.

Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 1/5
Artculo 4 - (Manuales de funciones y procedimientos) La entidad supervisada debe contar

con manuales de funciones y de procedimientos de seguridad fsica, que establezcan
mnimamente el personal responsable y la periodicidad para su realizacin. Los manuales de
funciones y procedimientos mnimos que debe considerar la entidad supervisada son:
a) Manuales de funciones para:
1)
Personal de vigilancia y vigilancia motorizada, que incluya la prohibicin de que el

mencionado personal realice actividades no relativas a la seguridad fsica;
2)
Miembros del Comit de Seguridad Fsica y Personal de la Unidad de Seguridad

Fsica, que establezca la interaccin con reas relacionadas;
3)
Personal de la entidad supervisada y personal de vigilancia, que interacta en la

recepcin, envo y transporte del material monetario y/o valores.
b) Manuales de procedimientos para:

1)
Asistencia a personas afectadas por incidentes de seguridad fsica ocurridos en

instalaciones de la entidad supervisada que debe ser inmediata, adecuada y en base
a capacitacin previa;
2)
Resguardo de la privacidad en las transacciones financieras realizadas por clientes

y usuarios en ventanillas de atencin al pblico;
3)
Administracindellavesdeingresoalasinstalacionesdelaentidadsupervisada,
accesoalasreasdeexclusin,clavesdesistemasdealarmayclavesdeequipos
deatesoramientosegncorresponda.Lasclavessealadasdebensermodificadas
al menos cada seis (6) meses o cuando se realice el cambio del personal
encargado;Pruebas de funcionamiento de los sistemas de seguridad, que incluya el
inventario de equipos e instalaciones sujetos a revisin;
4)
Mantenimiento preventivo y correctivo de los sistemas de atesoramiento,

dispositivos de proteccin, sistemas de monitoreo y alarmas, al menos una vez al
ao;
5)
Transporte de material monetario y/o valores por parte del personal de la entidad
supervisada y personal de vigilancia, cuando corresponda;
6)
Abastecimiento de material monetario en los cajeros automticos u otros Puntos de

Atencin Financiero, cuando corresponda;

Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 2/5
7)
Ubicacin, construccin, instalacin y manejo de bveda(s) y caja(s) fuerte(s)

bveda;
8)
Instalacin de medidas de seguridad fsica en los ambientes destinados a cajeros

automticos;
9)
Funcionamiento de centrales de monitoreo que incluya tiempo de almacenamiento,

modalidad y resguardo de las grabaciones de monitoreo, para atencin de
denuncias y reclamos de los usuarios o clientes;
10)
Activacin y atencin de sistemas de alarma.
Artculo 5 - (Estructura organizacional) La entidad supervisada, debe establecer una

estructura organizacional adecuada al nivel de riesgo y nmero de PAF en funcionamiento, que
delimite las funciones y responsabilidades relativas a la gestin de seguridad fsica.
Artculo 6 - (Unidad de Seguridad Fsica) La entidad supervisada que cuente con un
patrimonio contable igual o mayor a UFV30.000.000,00 (Treinta Millones de Unidades de
Fomento a la Vivienda) o su equivalente, debe contar con una Unidad de Seguridad Fsica, que
ser responsable de operativizar y monitorear la gestin de seguridad fsica, emitir reportes e
informes para las instancias de decisin, proponer medidas preventivas o correctivas que se
requieran para fortalecer la seguridad fsica en las instalaciones de la entidad supervisada, entre
otras tareas operativas.
Cuando corresponda, las tareas de la Unidad de Seguridad Fsica sern asignadas por el Comit
de Seguridad Fsica a otra unidad organizacional de la entidad supervisada.
Cuando la Entidad Supervisada sea una ETM, debe contar con un Jefe de Operaciones,
independientemente del patrimonio contable, conforme a lo establecido en el Reglamento
Operativo para Empresas Privadas de Vigilancia aprobado mediante Resolucin Ministerial N
21 de 4 de febrero de 2013 y modificado mediante la Resolucin Ministerial N 168 de 16 de
agosto de 2013, ambas emitidas por el Ministerio de Gobierno.
Artculo 7 - (Comit de Seguridad Fsica) La entidad supervisada debe conformar un
Comit de Seguridad Fsica, que ser responsable de analizar y evaluar las situaciones de riesgo
de vulneracin a los sistemas de seguridad fsica, as como las medidas preventivas y correctivas
que debe poner en consideracin del Directorio u rgano equivalente para su aprobacin.
El Comit estar conformado mnimamente por un Director, el Gerente General y un Gerente del
rea relacionada o instancia equivalente (con derecho a voz y voto) y el responsable de la Unidad
de Seguridad Fsica u rgano equivalente con derecho a voz, cuando corresponda.
El Comit debe llevar un registro en actas de los temas y acuerdos tratados en sus reuniones.
Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 3/5
Artculo 8 - (Responsabilidades y funciones del Directorio) El Directorio u rgano

equivalente es responsable de la gestin de seguridad fsica en la entidad supervisada, debiendo
cumplir, entre otras, las siguientes funciones:
a) Aprobar, revisar, actualizar y realizar el seguimiento a las estrategias, polticas,
procedimientos y planes de seguridad fsica, mnimamente una vez al ao y cuando
corresponda;
b) Aprobar los manuales de funciones y procedimientos relativos a la gestin de seguridad
fsica, as como asegurar que se encuentren debidamente actualizados;
c) Designar a los miembros del Comit de seguridad fsica;
d) Disponer la conformacin de una Unidad de Seguridad Fsica y designar al responsable
de la misma, cuando corresponda.
Artculo 9 (Responsabilidades y funciones de la Gerencia General) La Gerencia
General es responsable de la implementacin y cumplimiento de las polticas, estrategias, planes,
manuales y procedimientos, aprobados por el Directorio u rgano equivalente para la gestin de
seguridad fsica, as como de implementar las acciones correctivas o preventivas que se requieran.
Tambin es responsable del cumplimiento estricto de las disposiciones contenidas en el presente
Reglamento.
Artculo 10 - (Brigada de auxilio) La entidad supervisada, debe capacitar un grupo de
funcionarios por cada PAF identificado con riesgo alto, para ejecutar procedimientos de
asistencia orientados a proteger la vida de las personas afectadas por incidentes de seguridad
fsica. Dichos funcionarios deben interactuar con el personal de vigilancia segn procedimiento
predefinido.
Artculo 11 - (Gestin de seguridad fsica para las Casas de Cambio Unipersonales) Las
casas de cambio unipersonales deben contar mnimamente con procedimientos destinados a
afrontar incidentes de seguridad fsica, considerando al menos los sealados en los numerales 1 al
6, y 8) del inciso b), Artculo 4, Seccin 2 del presente Reglamento (en lo que corresponda).
Los procedimientos establecidos por las casas de cambio unipersonales deben considerar en orden
de prioridad, los principios descritos en el Artculo 3 de la presente Seccin. Las disposiciones
restantes contenidas en la misma, no son de aplicacin obligatoria para las casas de cambio
unipersonales, sin embargo no se restringe su aplicacin voluntaria.
Artculo 12 - (Transporte de material monetario y valores por cuenta propia) Las
Entidades de Intermediacin Financiera que ante la ausencia de una ETM con Licencia de
Funcionamiento otorgada por la Autoridad de Supervisin del Sistema Financiero, realicen el
transporte de material monetario y valores, por cuenta propia, en el marco de lo establecido en el
Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 4/5
segundo prrafo del Artculo 4, Seccin 1 del Reglamento para Empresas de Transporte de
Material Monetario y Valores, deben realizar una evaluacin de riesgos inherentes a dicho
transporte, cuyos resultados deben estar plasmados en un informe, el cual debe estar a disposicin
de ASFI.

Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 2
Pgina 5/5
SECCIN 3:
MEDIDAS GENERALES DE SEGURIDAD FSICA
Artculo 1 - (Clasificacin de reas de exclusin) Con base en un anlisis de riesgo ante

incidentes de seguridad fsica, la entidad supervisada debe identificar las reas de exclusin que
requieran medidas de mxima seguridad. El citado anlisis, debe estar plasmado en un informe, el
cual estar a disposicin de ASFI.
Artculo 2 - (Equipos de atesoramiento) La entidad supervisada, en funcin al nivel de
riesgo al que se encuentran expuestos sus PAF, debe contar con equipos de atesoramiento que
cumplan con estndares de calidad establecidos en la Norma Internacional, definida en sus
polticas, respecto a la resistencia contra ataques por medios mecnicos, elctricos, explosivos u
otros.
A continuacin se detalla la lista referencial de equipos de atesoramiento que pueden ser
utilizados por la entidad supervisada:
a) Bveda principal: Construida de hormign reforzado, provista de puerta de bveda con
cerraduras de retardo y control horario;
b) Bveda auxiliar: Construida de hormign armado reforzado, provista de puerta de
bveda con cerraduras de retardo y control horario, con ubicacin diferente a la bveda
principal, sin embargo ambas se encuentran instaladas en el mismo PAF;
c) Caja fuerte bveda: Equipo con estructura blindada, anclada al piso y provista de
cerradura de retardo;
d) Caja fuerte auxiliar: Equipo con estructura blindada, anclada al piso, y provista de
cerradura de retardo, con ubicacin diferente a la caja fuerte bveda, sin embargo ambas
se encuentran instaladas en el mismo PAF;
e) Caja tipo buzn: Equipo, con estructura blindada, con cerradura de retardo y anclada al
piso, ubicada en el rea de ventanillas de atencin al pblico.
Artculo 3 - (Ventanillas de atencin al pblico) El rea de ventanillas de atencin al
pblico debe contar con dispositivos de control que permitan el acceso solo a personas
autorizadas.
En los PAF identificados con nivel de riesgo alto, ubicados en ciudades capitales de departamento
y adicionalmente en las ciudades que tengan una poblacin mayor a 100.000 habitantes y
localidades fronterizas, las ventanillas de atencin al pblico deben contar con vidrios con
resistencia balstica u otro material de igual consistencia que cumpla estndares de calidad
internacional, definidos en las polticas de seguridad fsica de cada entidad supervisada.

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 1/4
Artculo 4 - (Condiciones para el personal de vigilancia) La entidad supervisada es la

responsable de que el personal de vigilancia contratado, cuente mnimamente con el siguiente
equipamiento para la prestacin de sus servicios:
a) Polica de seguridad: arma de fuego, chaleco antibalas con una resistencia balstica
mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el fabricante,
as como otros implementos adecuados a las funciones asignadas segn se establece en
el Anexo 1.
b) Guardia privado: mnimamente arma(s) de defensa, chaleco antibalas con una
resistencia mnima a proyectiles calibre 9mm y 44magnum, certificada al menos por el
fabricante, as como otros implementos adecuados a las funciones segn se establece en
el Anexo 1.
Artculo 5 - (Dotacin de personal de vigilancia) En los PAF ubicados en localidades que no
cuenten con suficiente disponibilidad de personal de vigilancia en los Batallones de Seguridad
Fsica, Comandos Departamentales de la Polica Boliviana o Empresas Privadas de Vigilancia,
autorizadas por la instancia competente, la entidad supervisada debe contar como mnimo con un
(1) polica de seguridad o un (1) guardia privado. Adicionalmente, en caso de que no exista
personal de vigilancia en la localidad, la entidad debe adoptar medidas de seguridad que suplan la
carencia del personal de vigilancia, segn lo establecido en sus polticas de seguridad fsica.
Los recintos para cajeros automticos que cuenten con ms de dos (2) equipos sean estos de una o
de diferentes entidades supervisadas, deben contar al menos con un (1) guardia privado. Las
entidades supervisadas podrn suscribir, entre s, convenios para que el personal de vigilancia
brinde proteccin a todos los cajeros automticos ubicados en el recinto. El personal de vigilancia
que preste el servicio en los recintos de cajeros automticos debe realizarlo las veinticuatro (24)
horas del da, siete (7) das a la semana de forma ininterrumpida.
De acuerdo a la ubicacin fsica del cajero automtico, la entidad supervisada debe habilitar
casetas para la permanencia del personal de vigilancia instaladas a una distancia no menor de dos
(2) metros ni mayor a diez (10) metros de ste. Las casetas podrn ser fijas o plegables segn se
establece en el Anexo 2.
La entidad supervisada debe asegurarse que el personal de vigilancia cuente con la capacitacin y
los conocimientos bsicos, segn se establece en el Anexo 3.
Artculo 6 - (Dotacin adicional de personal de vigilancia) Respecto a los PAF donde se
verifique la necesidad de brindar mayor seguridad para la atencin a los clientes y usuarios, ASFI
se reserva el derecho de exigir personal de vigilancia adicional al establecido por la entidad
supervisada.

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 2/4
Artculo 7 (Horarios) El personal de vigilancia debe permanecer en ejercicio de sus

funciones en el PAF, durante el tiempo que disponga el manual de funciones del personal de
vigilancia definido por la entidad supervisada, el mismo que al menos debe abarcar el tiempo de
atencin al pblico o de permanencia de funcionarios en las instalaciones del PAF.
Artculo 8 (Sistema de alarma) La entidad supervisada debe contar con un sistema de
alarma debidamente particionado, zonificado, interconectado a una central de monitoreo de
alarma y habilitados para detectar incidentes de seguridad fsica en reas de atencin al pblico y
reas de exclusin que hubieran sido identificadas, de acuerdo a lo sealado en el Artculo 1 de
la presente Seccin.
Artculo 9 (Dispositivos para la seguridad fsica) En funcin al nivel de riesgo y la
clasificacin de las reas de exclusin, la entidad supervisada debe implementar dispositivos para
la seguridad fsica entre los cuales podr considerar, en relacin a su funcionalidad, los
siguientes:
a) Sistemas para control de accesos biomtricos;
b) Sensores infrarrojos;
c) Contactos magnticos;
d) Sensores de ruptura de cristal;
e) Detectores inerciales;
f) Sensores ssmicos;
g) Detectores de humo;
h) Botones de pnico;
i)
Sirenas de alarmas;
j) Grupo electrgeno;
k) Extintores de incendio (porttiles).
Artculo 10 - (Central de monitoreo) La entidad supervisada, debe controlar desde una
Central de Monitoreo propia o tercerizada, en forma permanente e ininterrumpida los sistemas de
alarma instalados en los PAF, debiendo reportar a las autoridades competentes la ocurrencia de
incidentes de seguridad fsica de forma oportuna, as como resguardar la informacin de
monitoreo de los sistemas de CCTV en medios de grabacin adecuados para su almacenamiento.

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 3/4
La entidad supervisada es responsable de velar por la adecuada prestacin del servicio tercerizado
y el resguardo de la informacin que se genere, dando cumplimiento a los requisitos establecidos
por el Reglamento Operativo para Empresas Privadas de Vigilancia.
Adicionalmente, la entidad supervisada que cuente con ms del 50% de sus PAF identificados
con nivel de riesgo alto, debe contar con una Central de Monitoreo de respaldo funcionando en
una ubicacin geogrfica diferente.
La Central de Monitoreo debe funcionar de forma ininterrumpida durante veinticuatro (24) horas
al da, siete (7) das a la semana.
Artculo 11 - (Sistema de circuito cerrado de televisin) La entidad supervisada, debe
contar con sistemas de CCTV propios o tercerizados, acorde a la distribucin y cantidad de
cmaras instaladas en sus PAF. Las grabaciones de las cmaras de seguridad, deben permitir la
identificacin de personas, actividades u otros, ocurridos en incidentes de seguridad fsica.
La entidad supervisada debe priorizar la ubicacin de cmaras de seguridad en las reas de
ventanillas de atencin al pblico, cajeros automticos y accesos al PAF, bvedas, camino de
ronda y reas de exclusin, segn corresponda.
La entidad supervisada debe mantener el registro efectuado por el sistema de vigilancia y
monitoreo, por un perodo no menor a ciento ochenta (180) das.
Artculo 12 - (Vigilancia motorizada) La entidad supervisada debe contar con unidades
motorizadas a cargo de personal que realice la vigilancia de los PAF in situ, de acuerdo a planes
definidos para el efecto, los cuales deben incluir al menos la ruta de recorrido y rol de turnos,
dando prioridad a los PAF con niveles de riesgo alto ubicados en ciudades capitales de
departamento y adicionalmente en las ciudades con una poblacin mayor a 100.000 habitantes.
Artculo 13 - (Medidas generales de seguridad fsica para las Casas de Cambio
Unipersonales) Las disposiciones contenidas en la presente Seccin, no son de aplicacin
obligatoria para las Casas de Cambio unipersonales, excepto por el Artculo 3 y el inciso k) del
Artculo 9 de la presente Seccin, sin embargo, no se restringe la aplicacin voluntaria de las
mencionadas disposiciones.

Libro 3
Ttulo VII
Captulo III
Seccin 3
Pgina 4/4
SECCIN 4:
MEDIDAS ESPECFICAS DE SEGURIDAD FSICA
Artculo 1 - (Medidas especficas) La entidad supervisada, adicionalmente a lo establecido

en la Seccin 3 del presente Reglamento, debe implementar las medidas de seguridad especficas
contenidas en la presente Seccin.
Las oficinas externas y feriales, se regirn por lo establecido en el Artculo 5 de la presente
Seccin.
Artculo 2 - (Oficinas centrales o sucursales) La entidad supervisada en funcin al nivel de
riesgo al que se encuentran expuestas su oficina central y sucursales, debe implementar
mnimamente las siguientes medidas especficas de seguridad fsica:
Requisitos de Seguridad Fsica
Equipos de Atesoramiento
Bveda Principal
Bveda Auxiliar
Caja Fuerte Bveda
Caja Fuerte Auxiliar
Puertas de Acceso reas de Exclusin
1 Caja fuerte tipo buzn anclada por ventanilla
1 Caja fuerte tipo buzn anclada por rea de ventanillas
Personal de Vigilancia
Un (1) Polica de Seguridad o un (1) Guardia Privado
Dos (2) Policas de Seguridad
= Indispensable
Riesgo
Bajo
Niveles de Seguridad
Riesgo
Medio
Riesgo
Alto
-= No indispensable
Adicionalmente, la entidad supervisada debe contar al menos con un (1) polica de seguridad o un
(1) guardia privado por cada puerta de acceso a la oficina central o sucursal, en correlacin a lo
dispuesto en el Artculo 5 de la Seccin 3 del presente Reglamento.
Las oficinas centrales o sucursales que no manipulen material monetario y/o valores en sus
instalaciones, no estn obligadas a contar con equipos de atesoramiento.
Artculo 3 - (Agencias fijas) La entidad supervisada en funcin al nivel de riesgo al que se
encuentran expuestas sus agencias fijas debe implementar mnimamente las siguientes medidas
especficas de seguridad fsica:
Caja Fuerte Bveda
Caja Fuerte Auxiliar
Puerta de Acceso reas de Exclusin
1 Caja fuerte tipo buzn anclada por ventanilla
1 Caja fuerte tipo buzn anclada por rea de ventanillas
Un (1) Polica de Seguridad
Un (1) Polica de Seguridad o Un (1) Guardia Privado

Riesgo
Bajo
Riesgo
Medio
Riesgo
Alto
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 1/5

Un (1) Guardia Privado
= Indispensable
Riesgo
Bajo
Riesgo
Medio
-
Riesgo
Alto
-
-= No indispensable
Artculo 4 - (Agencia mvil) La entidad supervisada debe implementar en sus agencias

mviles, las medidas de seguridad fsica sealadas en el Reglamento Operativo para las Empresas
Privadas de Vigilancia, en lo referido a Banca Mvil.
Artculo 5 - (Oficina externa y oficina ferial) En funcin al tipo de operaciones que realizan
y el nivel de riesgo al que se encuentran expuestas las oficinas externas y feriales, la entidad
supervisada determinar la implementacin de sistemas de alarma, monitoreo y condiciones para
la instalacin de ventanillas, segn corresponda, a lo sealado en la Seccin 3 del presente
Reglamento.
Adicionalmente, de acuerdo al volumen del material monetario que circule en los PAF, la entidad
supervisada debe contar con equipos de atesoramiento para el adecuado resguardo de los activos,
as como con personal de vigilancia, para la proteccin de la integridad fsica de las personas que
se encuentran en sus instalaciones.
Artculo 6 - (Ventanilla de cobranza) La entidad supervisada en funcin al nivel de riesgo al
que se encuentran expuestas sus ventanillas de cobranza, debe contar al menos con el siguiente
personal de vigilancia:
a) Un (1) polica de seguridad, cuando la ventanilla de cobranza sea identificada con un
nivel de riesgo alto en correlacin al Artculo 5 de la Seccin 3 del presente
Reglamento;
b) Un (1) polica de seguridad o un (1) guardia privado cuando la ventanilla de
cobranza sea identificada con un nivel de riesgo medio o bajo.
Cuando la ventanilla de cobranza se encuentre instalada en instituciones pblicas o privadas que
cuenten con personal de vigilancia, la entidad supervisada podr suscribir convenios para
compartir el servicio de vigilancia, siendo responsabilidad de la entidad supervisada velar por el
cumplimiento de las tareas establecidas en el manual de funciones del personal de vigilancia
aprobado por las instancias correspondientes.
Artculo 7 - (Corresponsales financieros y no financieros) La entidad financiera contratante
de la Corresponsala, es responsable de velar por el cumplimiento de las medidas de seguridad
fsica generales y especificas contenidas en el presente Reglamento, segn corresponda al tipo de
corresponsal y en funcin al nivel de riesgo y tipo de operaciones realizadas en los puntos de
atencin contratados.
Artculo 8 - (Cajero automtico) Para la instalacin y funcionamiento de cajeros
automticos, independientemente si estos son internos o externos, la entidad de intermediacin
financiera debe cumplir con los siguientes requerimientos mnimos:

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 2/5
a) Medidas de seguridad fsica del cajero automtico externo: Los cajeros automticos
externos deben contar con una de las siguientes medidas de seguridad:
1) Ser instalado en recinto;
2) Contar con personal de vigilancia si no cuenta con recinto.
a.1 Cajero automtico con recinto: Los recintos en los que se encuentran
instalados los cajeros automticos, debe contar con:
i. Vidrios templados y/o laminados que permitan observar el interior del
recinto, desde el exterior y viceversa, para detectar eventuales amenazas,
sea contra la mquina o contra el usuario;
ii. El vidrio a utilizarse en las puertas de ingreso, as como aquel que forme
parte de la estructura del recinto de los cajeros automticos, debe ser
templado y/o laminado;
iii. La puerta de acceso debe contar con un dispositivo de cierre interno, de
tipo mecnico, que impida el acceso de terceros al interior del recinto
cuando el usuario se encuentre operando el cajero automtico.
a.2 Cajero automtico sin recinto: La entidad supervisada debe contratar personal
de vigilancia, ya sea un polica de seguridad o guardia privado y habilitar
casetas segn lo establecido en el Artculo 4, Seccin 3, del presente
Reglamento.
b) Circuito cerrado de televisin: La entidad supervisada debe instalar una cmara en el
interior del cajero automtico que permita captar las imgenes de los tarjetahabientes al
momento de realizar la operacin, no debiendo dirigir la cmara hacia el teclado de los
cajeros. De la misma manera, la entidad supervisada podr instalar una cmara exterior,
para la vigilancia del permetro externo para cajeros automticos con recinto identificados
con riesgo alto;
c) Dispositivos de seguridad: Los cajeros automticos internos o externos deben contar con
dispositivos que permitan privacidad en el registro de operaciones de los clientes o
usuarios de tarjetas de dbito o crdito. Los dispositivos mnimos de seguridad son los
siguientes:
1) Pantalla. Debe estar instalada en ngulos apropiados o contar con medidas
antirreflectantes, que eviten que la accin del reflejo del sol afecte la privacidad
de operacin por parte del usuario;
2) Iluminacin. El espacio donde se encuentra ubicado el cajero automtico, debe
estar adecuadamente iluminado;

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 3/5
3) Protector de teclado. Todos los cajeros automticos deben contar con

protectores de teclado para evitar que durante el marcado de la clave, esta pueda
ser vista por terceras personas;
4) Equipo anti skimming. El cajero automtico debe contar con equipos anti
skimming en la ranura de ingreso de la tarjeta para garantizar las operaciones de
los tarjetahabientes;
5) Accesorios. Los cajeros automticos deben contar con accesorios adicionales de
aseo y decoracin y deben prevenir, desde su diseo e instalacin, la comisin de
actos de vandalismo a travs de elementos de cierre y fijacin, que eviten su
retiro o la instalacin de artefactos explosivos.
d) Elementos disuasivos y telfonos de informacin: Los cajeros automticos deben
contar con carteles y seales que anuncien que el cajero automtico cuenta con medidas
de seguridad, as como con los nmeros telefnicos de emergencia para comunicarse con
la Entidad Supervisada a la que pertenecen y con la empresa de liquidacin y
compensacin de tarjetas de pago; estos nmeros deben ser de fcil identificacin tanto
en el ambiente del recinto como en la pantalla del cajero automtico;
e) Cerradura de la caja fuerte: La puerta de la caja fuerte del cajero automtico, debe
poseer un mecanismo adicional a la cerradura que permita el bloqueo automtico de sta
ante un incidente de seguridad fsica;
f) Anclaje: El cajero automtico debe encontrarse slidamente anclado al piso;
g) Proteccin del cableado: Todo el cableado para el funcionamiento del cajero automtico
y el sistema de alarmas deben estar debidamente protegidos para evitar posibles
accidentes o actos de sabotaje, debiendo inclusive proteger los compartimientos del
sistema de comunicacin.
Artculo 9 - (Casas de cambio) Las Casas de Cambio con Personalidad Jurdica, deben
identificar el nivel de riesgo ante incidentes de seguridad fsica al que se encuentran expuestas su
oficina central y agencias de cambio de acuerdo a lo establecido en el Artculo 2, Seccin 2 del
presente Reglamento e implementar mnimamente las medidas especificas de seguridad fsica,
sealadas a continuacin:
Caja Fuerte Bveda
Un (1)Polica de Seguridad
= Indispensable
Riesgo
Bajo
Riesgo
Medio
Riesgo
Alto
-
-
-= No indispensable
Artculo 10 - (Empresas de giro y remesas de dinero) Las Empresas de Giro y Remesas de

Dinero, deben identificar el nivel de riesgo ante incidentes de seguridad fsica al que se
Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 4/5
encuentran expuestos sus puntos de atencin financiero de acuerdo a lo establecido en el Artculo

2, Seccin 2, del presente Reglamento e implementar mnimamente las medidas especficas de
seguridad fsica, sealadas a continuacin:
Riesgo
Bajo
Caja Fuerte Bveda
Un (1)Polica de Seguridad
= Indispensable
Riesgo
Medio
Riesgo
Alto
-
-
-= No indispensable
Artculo 11 - (Empresas de transporte de material monetario y valores) La Empresa de

Transporte de Material Monetario y Valores (ETM) que brinda servicio al Sistema Financiero o la
Entidad de Intermediacin Financiera con servicio propio de transporte de material monetario y
valores (ESPT), debe cumplir con las medidas de seguridad sealadas en el Reglamento
Operativo para Empresas Privadas de Vigilancia, para la prestacin de sus servicios.
Adicionalmente, la ETM que realiza la custodia de material monetario y valores en sus oficinas,
determinar la implementacin de equipos de atesoramiento, ambientes especficos para el
procesamiento de efectivo (cuando corresponda), sistemas de alarmas, monitoreo y dotacin de
personal, en funcin a lo establecido en la Poltica de Seguridad Fsica aprobada por el Directorio
u rgano equivalente considerando el nivel de riesgo.
Finalmente, la entidad supervisada para realizar el transporte de material monetario y/o valores
entre localidades que no sean ciudades capitales de departamento, debe implementar las medidas
de seguridad fsica que considere necesarias en funcin a los riesgos asociados al traslado de
material monetario y/o valores a dichas reas, tomando en cuenta al menos los siguientes
aspectos:
a) Preservacin de la seguridad de la vida de las personas;
b) Accesibilidad a la localidad;
c) Zonas geogrficas de riesgo identificadas por la autoridad competente en temas de
seguridad ciudadana;
d) Montos o valor de material monetario y/o valores a ser trasladado.
Artculo 12 - (Local compartido) La entidad supervisada, en funcin al tipo de servicios que
realice y el nivel de riesgo al que se encuentra expuesto el local compartido, determinar la
implementacin de medidas de seguridad, en el marco de lo dispuesto en la Seccin 3 del
presente Reglamento, de conformidad al acuerdo establecido con la entidad financiera que le
comparte el espacio fsico.

Libro 3
Ttulo VII
Captulo III
Seccin 4
Pgina 5/5
SECCIN 5:
OTRAS DISPOSICIONES
Artculo 1 - (Registro de hechos delictivos) En el marco de lo establecido en el Artculo 490,

Captulo II, Titulo VIII de la Ley N 393 de Servicios Financieros, la entidad debe llevar un
registro de los incidentes de seguridad fsica que se presenten en sus instalaciones o durante el
desarrollo de sus operaciones, contemplando aspectos cualitativos y cuantitativos, con el fin de
establecer las medidas correctivas o preventivas que correspondan.
Artculo 2 - (Empresas de arrendamiento financiero) En funcin a la poltica de seguridad
aprobada por el Directorio u rgano equivalente, la empresa de arrendamiento financiero es
responsable de velar porque las transacciones de efectivo realizadas con sus clientes, a travs de
PAF de entidades de intermediacin financiera, cuenten con las medidas de seguridad fsica
necesarias segn lo establecido en el presente Reglamento.
Artculo 3 - (Empresas de servicio de pago mvil) En funcin a la Poltica de Seguridad
Fsica aprobada por el Directorio u rgano equivalente, la Empresa de Servicio de Pago Mvil
(ESPM), es responsable de la implementacin de medidas de seguridad fsica adecuadas para la
prestacin de sus servicios en las instalaciones de los corresponsales contratados, segn lo
establecido en el Articulo 7 de la Seccin 4 del presente Reglamento.
Artculo 4 - (Reportes de informacin) La entidad supervisada debe contar con mecanismos
que permitan el flujo de informacin adecuado para la toma de decisiones oportunas, relativas a la
gestin de seguridad fsica en sus instalaciones.
Artculo 5 - (Resguardo de la informacin de seguridad fsica) La entidad supervisada
debe disponer de la custodia en la bveda o caja fuerte, de los planes de seguridad fsica, planos o
croquis que contengan referencias sobre los sistemas de seguridad implementados, estando
prohibida la obtencin de copias o fotocopias que no hubieran sido reportadas por escrito al
Comit de seguridad fsica.
Artculo 6 - (Situaciones de fuerza mayor) Por motivos fundados, razones de fuerza mayor
o situaciones de riesgo imprevistas que impidan la continuidad en la prestacin del servicio del
personal de vigilancia, la entidad supervisada podr utilizar el personal de las Fuerzas Armadas
del Estado Plurinacional de Bolivia, previa autorizacin de las instancias competentes del
Gobierno, debiendo comunicar oportunamente estas medidas a la Autoridad de Supervisin del
Sistema Financiero.
Artculo 7 - (Sanciones) El incumplimiento o inobservancia al presente Reglamento dar
lugar al inicio del proceso administrativo sancionatorio.

Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 5
Pgina 1/1
SECCIN 6:
ROL DE LA UNIDAD DE AUDITORA INTERNA
Artculo nico - (Rol de auditora interna) La Unidad de Auditoria Interna debe desempear
un rol independiente en la Gestin de Seguridad Fsica, debiendo, mnimamente cumplir con las
siguientes funciones:
a) Verificar la implementacin de lo dispuesto en las polticas, procedimientos y planes
diseados para la Gestin de Seguridad Fsica;
b) Verificar que la Unidad de Seguridad Fsica cumpla con las obligaciones y
responsabilidades encomendadas;
c) Elevar informes al Directorio u rgano equivalente, a travs de su Comit de Auditora
o Consejo de Vigilancia, segn corresponda, acerca de los resultados obtenidos y las
recomendaciones sugeridas, derivadas de las revisiones;
d) Efectuar seguimiento de las observaciones y/o recomendaciones emitidas y comunicar
los resultados obtenidos al Directorio u rgano equivalente, a travs de su Comit de
Auditora o Consejo de Vigilancia, segn corresponda.
Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 6
Pgina 1/1
SECCIN 7:
DISPOSICIONES TRANSITORIAS
Artculo nico (Plazo de implementacin) Las entidades supervisadas deben adecuarse a lo

determinado en el presente Reglamento en un plazo no mayor a dieciocho (18) meses, apartir de
su emisin.
Inicial
Libro 3
Ttulo VII
Captulo III
Seccin 7
Pgina 1/1

Seguridad de La Informacion (ASFI)

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad de La Informacion (ASFI)

Încărcat de

Drepturi de autor:

Formate disponibile

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Reglamento para Remesas al Banco Central de Bolivia

Reglamento para la Gestin de Seguridad de la Informacin

Planificacin estratgica, estructura y organizacin de los recursos de tecnologa de

Administracin de la seguridad de la informacin

Administracin del control de accesos

Desarrollo, mantenimiento e implementacin de sistemas de informacin

Gestin de operaciones de tecnologa de informacin

Gestin de seguridad en redes y comunicaciones

Gestin de seguridad en transferencias y transacciones electrnicas

Gestin de incidentes de seguridad de la informacin

Continuidad del negocio

Administracin de servicios y contratos con terceros relacionados con tecnologa

Rol de la auditora interna

Reglamento para la Gestin de Seguridad Fsica

Gestin de Seguridad Fsica

Medidas generales de Seguridad Fsica

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Medidas especficas de Seguridad Fsica

Rol de la Unidad de Auditoria Interna

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

REGLAMENTO PARA REMESAS AL BANCO CENTRAL DE

Artculo 1 - (Seguridad en el envo de remesas al BCB) Con la finalidad de precautelar la

El envo de los depsitos o remesas al BCB debe efectuarse en maletas de seguridad,

Los depositantes contabilizarn el importe correspondiente al da de la entrega, al igual que

El BCB y/o la Autoridad de Supervisin del Sistema Financiero podrn en cualquier

El BCB a travs de su seccin Tesorera, reportar semanalmente a la Autoridad de

Circular SB/288/99 (04/99)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

Nombre y apellido del cajero cuyo sello figura en el marbete

Nombre y apellido de la persona que llevar la remesa al BCB

Nombre y apellido del cajero recibidor del BCB

Nombres de los veedores y controladores del banco depositante

Monto por moneda

Circular SB/288/99 (04/99)

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

CAPTULO II: REGLAMENTO PARA LA GESTIN DE SEGURIDAD DE LA

(Definiciones) Para efectos del presente Reglamento, se usarn las siguientes

a) Activo de informacin: En seguridad de la informacin, corresponde a aquellos datos,

Circular SB/436/03 (07/03) Inicial

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

g) Centro de procesamiento de datos alterno: Lugar alternativo provisto de equipos

Cortafuegos (Firewall): Dispositivo o conjunto de dispositivos (software y/o hardware)

k) Equipo crtico: Corresponde al equipo de procesamiento de datos que soporta las

Hardware: Conjunto de todos los componentes fsicos y tangibles de un computador o

m) Incidente de seguridad de la informacin: Suceso o serie de sucesos inesperados, que

Circular SB/436/03 (07/03) Inicial

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

servicios y aplicaciones crticas parcial o totalmente interrumpidas dentro de un tiempo

u) Proceso crtico: Proceso o sistema de informacin que al dejar de funcionar, afecta la

Circular SB/436/03 (07/03) Inicial

AUTORIDAD DE SUPERVISIN DEL SISTEMA FINANCIERO

RECOPILACIN DE NORMAS PARA SERVICIOS FINANCIEROS

ee) Software: Equipamiento o soporte lgico de un sistema de informacin; comprende el

Autenticacin: Permite identificar al generador de la informacin y al usuario de la

Confiabilidad: Busca proveer informacin apropiada, precisa y veraz, para el uso de

Confidencialidad: Garantiza que la informacin se encuentra accesible nicamente