Guías de supervisión. Identificación digital en entidades financieras

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades financieras una adecuada identificación de personas humanas en forma digital y no presencial. Entre otros aspectos, se evaluarán:

Gobierno y gestión de riesgos

• La existencia de análisis de riesgos respecto de la solución, formalizados y comunicados a las autoridades de la entidad, que alcancen como mínimo a los aspectos vinculados con la tecnología y la seguridad de la información.
• Debida diligencia terceros y canales.

Controles aplicados a la operatoria

• La utilización de características físicas (tales como reconocimiento facial, huellas digitales, iris) y/o de comportamiento (registro vocal, gestos, etc.) como base para la registración de la identificación digital, la captura mediante un sistema/aplicación, y la vinculación unívoca e inequívoca de la información con cada usuario.
• La aplicación de los siguientes criterios para la implementación de técnicas biométricas:
  - Universalidad: todas las personas deben poseer esa característica.
  - Distintividad: dos personas deberán ser suficientemente diferentes en términos de sus características.
  - Estabilidad: la característica deberá permanecer invariable a lo largo de un período de tiempo aceptable.
  - Evaluabilidad: la característica deberá poder ser medida cuantitativamente.
  - Rendimiento: los recursos empleados para el reconocimiento no deberán depender de las condiciones del entorno.
  - Aceptabilidad: los usuarios deberán estar dispuestos a emplear dichas características.
  - Fraude: los sistemas basados en estas características deberán ser suficientemente seguros para evitar ser vulnerados.

La aplicación de controles en la toma de atributos del proceso de identificación, que consideren, entre otros:
  • Los tiempos de procesamiento.
  • El algoritmo de autenticación para realizar la coincidencia.
  • La conectividad mediante mecanismos robustos de encripción.
  • Técnicas anti-spoofing para evitar fraudes.
  • Otras sanas prácticas existentes.

• La ejecución de un proceso de validación de la información, que podrá ser realizado por la propia entidad, por un organismo oficial y/o por un proveedor de servicios de tecnología informática. En este caso, se considerará, además, el cumplimiento de las disposiciones normativas vigentes respecto de la tercerización de servicios de tecnología informática.
• La definición de umbrales para las tasas de aceptación o rechazo de los resultados obtenidos en el proceso de identificación que se correspondan con los análisis de riesgo efectuados.
• La aplicación de un proceso continuo de mantenimiento en la obtención, actualización y eliminación de atributos de identificación o campos de datos, y de las políticas que regulen el acceso por parte del usuario a la información y los servicios financieros.

Esquema de seguridad y registro de actividades

• La implementación de un adecuado esquema de segregación de funciones y control por oposición de intereses para el mantenimiento de los parámetros.
• La existencia de mecanismos que aseguren la trazabilidad de las acciones realizadas en todas las etapas del proceso de identificación digital.
• La existencia de funciones para la explotación de los registros de actividad.
• La conservación de resguardos de los registros de actividad por un plazo no menor a 6 (seis) años.



Mayo, 2019. Versión inicial