(98)

ANEXO 52

LINEAMIENTOS MINIMOS DE OPERACION Y SEGURIDAD PARA LA CONTRATACION DE SERVICIOS DE APOYO TECNOLOGICO Las Instituciones debern considerar los aspectos siguientes: I. Aspectos en materia de operacin. a. Esquemas de redundancia o mecanismos alternos en las telecomunicaciones de punto a punto que permitan contar con enlaces de comunicacin que minimicen el riesgo de interrupcin en el servicio de telecomunicaciones. Estrategia de continuidad en los servicios informticos que proporcionen a la Institucin la capacidad de procesar y operar los sistemas en caso de contingencia, fallas o interrupciones en las telecomunicaciones o de los equipos de cmputo centrales y otros que estn involucrados en el servicio de procesamiento de informacin de operaciones o servicios. Mecanismos para establecer y vigilar la calidad en los servicios de informacin, as como los tiempos de respuesta de los sistemas y aplicaciones. Esquema de soporte tcnico, a fin de solucionar problemas e incidencias, con independencia, en su caso, de las diferencias en husos horarios y das hbiles. Medidas para asegurar la transmisin de la Informacin Sensible del Usuario en forma cifrada punto a punto y elementos o controles de seguridad en cada uno de los nodos involucrados en el envo y recepcin de datos. Establecimiento de funciones del oficial de seguridad. Para efectos de que la Institucin contratante se mantenga enterada del acceso y uso de la informacin, deber designar a una persona que se desempee como oficial de seguridad en la Institucin, quien gozar de independencia respecto de las reas operativas, de auditora y de sistemas, y cuya funcin consistir, entre otras cosas, en administrar y autorizar los accesos. Dichos accesos debern corresponder a la necesidad de conocer la informacin de acuerdo a las funciones documentadas del puesto. Asimismo, el oficial de seguridad deber contar en todo momento con los registros de todo el personal que tenga acceso a la informacin relacionada con las operaciones de la Institucin, incluso de aqul ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha informacin deber ser autorizado por el responsable de las funciones de contralora interna sealadas en la fraccin V del Artculo 166 de las presentes disposiciones. c. III. Esquema mediante el cual se mantendr en una oficina de la institucin de crdito contratante, la bitcora de acceso a la informacin por el personal debidamente autorizado.

b.

c. d. II.

Aspectos en materia de seguridad. a.

b.

Auditora y Supervisin. a. Polticas y procedimientos relativos a la realizacin de auditoras internas o externas sobre la infraestructura, controles y operacin del centro de cmputo del tercero, relacionado con el ambiente de produccin para la institucin de crdito, al menos una vez cada dos aos con el fin de evaluar el cumplimiento de lo mencionado en el presente anexo. Tratndose de las operaciones a que se refiere la fraccin X del Artculo 319 de las disposiciones que se realicen a travs de Administradores de Comisionistas, la auditora a que se refiere el prrafo anterior, deber realizarse por la propia Institucin, al menos una vez al ao. b. Mecanismos de acceso al ambiente tecnolgico, incluyendo informacin, bases de datos y configuraciones de seguridad, desde las instalaciones de la Institucin en territorio nacional.