De acuerdo con el proyecto, el sistema de Banca en Línea debe cumplir con las regulaciones para garantizar la seguridad del sistema de información en el nivel 3 o superior de acuerdo con las disposiciones de la ley sobre garantizar la seguridad del sistema de información en el nivel y las regulaciones del Banco Estatal sobre la seguridad del sistema de información en las actividades bancarias.

Garantizar la confidencialidad e integridad de la información del cliente; Garantizar la disponibilidad del sistema de Banca en Línea para brindar servicios de forma continua.

Las transacciones de los clientes se evalúan para determinar el nivel de riesgo mínimo de acuerdo con cada grupo de clientes, tipo de transacción, límite de transacciones (si lo hay) y sobre esa base, se proporcionan métodos de autenticación de transacciones adecuados para que los clientes elijan, cumpliendo con las regulaciones: Aplicar autenticación multifactor al cambiar la información de identificación del cliente; Aplicar métodos de autenticación para cada grupo de clientes, tipo de transacción y límite de transacciones de acuerdo con la normativa; Para las transacciones de varios pasos, se debe aplicar al menos una medida de autenticación en el paso de aprobación final.

Realizar controles y evaluaciones de seguridad anuales del sistema de Banca en Línea.

Identificar periódicamente los riesgos, los riesgos potenciales y determinar las causas de los riesgos, tomar rápidamente medidas para prevenir, controlar y manejar los riesgos en la prestación de servicios bancarios en Internet.

Los equipos de infraestructura de tecnología de la información que brinden servicios de Banca en Línea deben tener derechos de autor, origen y fuente claros. Para los equipos que están llegando al final de su ciclo de vida útil y ya no recibirán soporte del fabricante, la unidad debe tener un plan de actualización y reemplazo de acuerdo al anuncio del fabricante, asegurando que el equipo de infraestructura sea capaz de instalar la nueva versión del software.

Tiene firewall, sistema de monitoreo, advertencia de comportamiento anormal.

La unidad deberá establecer un sistema de red, comunicaciones y seguridad que cumpla los siguientes requisitos mínimos:

Existen soluciones de seguridad mínimas que incluyen: Firewall de aplicaciones; firewall de base de datos; Sistema centralizado de monitoreo y alerta para ataques o comportamiento inusual.

La información del cliente no se almacena en la partición de conexión a Internet ni en la partición DMZ (partición intermedia entre la red interna e Internet).

Establecer una política para limitar los servicios y pasarelas que se conectan al sistema de Banca en Línea.

La conexión desde fuera de la red interna al sistema de Banca en Línea para fines de administración sólo deberá realizarse en los casos en que no sea posible la conexión desde la red interna y deberá garantizar la seguridad y cumplir al menos con las siguientes normas: Deberá ser aprobada por una persona autorizada después de revisar el propósito y el método de conexión; Debe existir un plan de acceso remoto seguro y administración del sistema como el uso de una red privada virtual o equivalente; Los dispositivos que se conecten deben tener instalado un software de seguridad; debe utilizar autenticación multifactor al iniciar sesión en el sistema; Utilice protocolos de comunicación cifrados seguros y no almacene claves secretas en el software de utilidad.

La conexión de red que proporciona el servicio debe garantizar una alta disponibilidad y la prestación continua del servicio.

Establecer un mecanismo para detectar y prevenir intrusiones y ataques de red al sistema

El proyecto también establece claramente que la unidad debe gestionar las vulnerabilidades y debilidades del sistema de Banca en Línea con los siguientes contenidos básicos:

Disponer de medidas para prevenir, detectar y detectar cambios en el sitio web y el software de la aplicación de Banca en Línea.

Establecer un mecanismo para detectar y prevenir intrusiones y ataques de red al sistema de Banca en Línea.

Coordinar con las unidades de gestión estatales y los socios de tecnología de la información para captar con prontitud incidentes y situaciones de pérdida de seguridad y protección de la información para tomar medidas preventivas oportunas.

Actualizar la información sobre las vulnerabilidades de seguridad publicadas relacionadas con el software del sistema, los sistemas de gestión de bases de datos y el software de aplicación de acuerdo con la información del Sistema Común de Puntuación de Vulnerabilidades.

Analice las vulnerabilidades y debilidades del sistema de Banca en Línea al menos una vez al año o cuando reciba información relacionada con nuevas vulnerabilidades y debilidades. Evaluar el impacto y el riesgo de cada vulnerabilidad y debilidad técnica descubierta del sistema y proponer soluciones y planes para su manejo.

Implementar actualizaciones de parches de seguridad o medidas preventivas oportunas según la evaluación de impacto y riesgo.