GACETA OFICIAL DE LA REPBLICA BOLIVARIANA DE VENEZUELA

Nmero 39.597
Caracas, mircoles 19 de enero de 2011
REPBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR
DE PLANIFICACIN Y FINANZAS
SUPERINTENDENCIA DE BANCO
Y OTRAS INSTITUCIONES FINANCIERAS
Resolucin N 641.10
Caracas, 24 de diciembre de 2011
200 y 151
Resolucin:
Visto que el artculo 117 de la Constitucin de la Repblica Bolivariana de Venezuela
consagra, entre otros aspectos, que todas las personas tendrn derecho a disponer de
bienes y servicios de calidad; as como, a una informacin adecuada y no engaosa
sobre el contenido y caractersticas de los productos y servicios que consumen.
Visto que este Ente Regulador, debe velar por un desarrollo armnico y ordenado de la
red de distribucin de los servicios bancarios a los fines que stos cubran
racionalmente las expectativas de crecimiento de la demanda de tales servicios.
Visto la necesidad de fomentar el uso de los servicios ofrecidos a travs de la Banca
Electrnica por parte de los clientes y/o usuarios de las Instituciones Financieras, de
una forma segura, econmica y rpida.
Visto que esta Superintendencia tiene la obligacin de instruir a los Bancos y dems
Instituciones Financieras, mecanismos y controles de seguridad asociados a la
plataforma tecnolgica para proteger a sus clientes y/o usuarios contra los fraudes
electrnicos.
Visto que la Banca Electrnica constituye un canal efectivo para lograr un mayor nivel
de bancarizacin y brindar servicios bancarios a todas las localidades del pas.
Visto que el artculo 43 de la Ley General de Bancos y Otras Instituciones Financieras
establece que los Bancos, Entidades de Ahorro y Prstamo y dems Instituciones deben
mantener sistemas de seguridad adecuados a fin de evitar la comisin de delitos que
afecten los depsitos del pblico; as como brindar atencin y oportuna respuesta,
tanto a los clientes como a los depositantes que denuncien cargos no reconocidos u
omisiones presentadas en sus cuentas.
Visto que en el numeral 9 del artculo 235 de la Ley General de Bancos y Otras
Instituciones Financieras, confiere a este Organismo la atribucin de promulgar todas
aquellas normativas prudenciales y preventivas necesarias para la seguridad del
Sistema Bancario Nacional y la proteccin de los usuarios de los servicios bancarios.
Visto lo anterior, esta Superintendencia de Bancos y Otras Instituciones Financieras,
resuelve dictar las siguientes:
"NORMAS QUE REGULAN EL USO DE LOS SERVICIOS DE LA BANCA
ELECTRNICA"
Artculo 1Las presentes Normas estn dirigidas a los Bancos y dems Instituciones
Financieras que ofrecen a sus clientes productos y servicios bancarios autorizados por
la Superintendencia de Bancos y Otras Instituciones Financieras, a travs de la Banca
Electrnica.
Artculo 2A los efectos de interpretar la presente Normativa, se definen los
trminos que se mencionan a continuacin, los cuales tendrn el significado que indica
el presente artculo, pudiendo ser utilizados tanto en plural como singular, masculino,
femenino o cualquier forma verbal segn el contexto en que se presente:

 Afiliacin: Incorporacin de productos y servicios a la Banca Electrnica, por parte

de los clientes naturales y jurdicos, para efectos de realizar operaciones o
transacciones.
Autenticacin: Conjunto de tcnicas y procedimientos tecnolgicos utilizados para
verificar la identidad de un usuario persona natural o jurdica.
Banca Electrnica: Productos y servicios ofrecidos por los Bancos y dems
Instituciones Financieras a travs de canales electrnicos.
Banca por Internet: Canal electrnico colectivo utilizado por los Bancos y dems
Instituciones Financieras para ofrecer a sus clientes los productos y servicios, a travs
de sus portales transaccionales.
Banca Mvil: Canal electrnico utilizado por los Bancos y dems Instituciones
Financieras para ofrecer a sus clientes los productos y servicios, basados en una
aplicacin instalada en un dispositivo mvil.
Banca Telefnica: Canal electrnico utilizado por los Bancos y dems Instituciones
Financieras para ofrecer a sus clientes los productos y servicios, a travs de los centros
de atencin telefnica.
Biometra: Mtodos automticos para el reconocimiento nico de humanos, basados
en uno o ms rasgos conductuales o fsicos intrnsecos.
Canal Electrnico: Medio que permite el intercambio de informacin a travs de la
utilizacin de cajeros automticos, puntos de ventas, puntos de ventas virtuales, Robot
de Voz Interactivo (IVR), Banca por Internet, televisin interactiva, entre otros.
Claves Dinmicas: Son claves criptogrficas simtricas de un slo uso, formadas a
travs de una secuencia aleatoria.
Certificado Digital: Credencial digital basada en el estndar X.509 recomendada por
el Sector de Normalizacin de las Telecomunicaciones de la Unin Internacional de
Telecomunicaciones (UIT-T).
Cifrado o Encriptacin: Proceso de convertir en ilegible un mensaje que se encuentra
en texto claro, usualmente mediante la utilizacin de algoritmos matemticos y una
clave.
Dato Sensible: Datos con carcter confidencial del cliente y/o usuario de la Banca
Electrnica, tales como: Nmero de cuenta; nmero de identificacin personal; claves
del cliente; nmero de la tarjeta; cdigo de seguridad de la tarjeta.
Desafiliacin: Es el proceso mediante el cual los clientes solicitan a los Bancos y
dems Instituciones Financieras desincorporar los productos y servicios ofrecidos por
stas, a travs de los canales electrnicos.
Dispositivos de Autoservicio: Equipos electrnicos ofrecidos a los clientes para
realizar operaciones bancarias no monetarias, que habitualmente son efectuadas a
travs de las agencias de los Bancos y dems Instituciones Financieras.
Factor de Autenticacin: Tcnica de verificacin de identidad basada en dispositivos
o informacin que slo el cliente posea, sea, haga o conozca.
Firma Electrnica: Informacin creada o utilizada por el Signatario (es la persona
titular de una Firma Electrnica o Certificado Electrnico) asociada al Mensaje de
Datos, que permite atribuirle su autora bajo el contexto en el cual ha sido empleado,
conforme lo consagra el Decreto con Fuerza de Ley N 1.204 de fecha 10 de febrero de
2001, de Mensaje de Datos y Firmas Electrnicas, publicada en la Gaceta Oficial de la
Repblica Bolivariana de Venezuela N 37.148 del 28 de febrero de 2001.
Identificacin: Validacin de la identidad del cliente para el uso del servicio de
Banca Electrnica, mediante la utilizacin de datos e informacin que conozca tanto la
Institucin como el cliente.
IVR: Son las siglas en ingls de Robot de Voz Interactivo, la cual consiste en un
sistema telefnico que es capaz de recibir una llamada e interactuar con el humano a

travs de grabaciones de voz y el reconocimiento de respuestas simples.

No Repudio: Es un mtodo de seguridad que permite probar la participacin de las
partes en una comunicacin. Existirn por tanto dos (2) posibilidades:
No repudio en origen: El emisor no puede negar que lo envi porque el destinatario
tiene pruebas del envo.
No repudio en destino: El receptor no puede negar que recibi el mensaje porque el
emisor tiene pruebas de la recepcin.
El origen o recepcin de un mensaje especfico debe ser verificable por parte de un
tercero de confianza.
Mantenimiento de Servicios: Son todos los cambios a los parmetros y/o
condiciones asociadas a los productos y servicios afiliados.
Mantenimiento de Contraseas: Son todos los cambios que realizan los clientes a sus
claves de acceso.
Medio de Comunicacin Electrnica: Medio electrnico utilizado para la
transmisin de mensajes desde el banco y hacia el cliente.
Operaciones Bancarias no Monetarias: Son operaciones financieras que no requiere
de la dispensacin de dinero tales como: Dispensacin de chequeras, estados de
cuentas y referencias bancarias.
Pago Mvil: Es un servicio ofrecido por los Bancos y dems Instituciones Financieras
con la finalidad que los clientes realicen pagos o transferencias desde un dispositivo
mvil a travs de su lnea telefnica.
Perfil Transaccional: Es el conjunto de caractersticas asociadas al comportamiento
transaccional de un cliente, de acuerdo a los anlisis sistematizados realizados por la
Institucin, para proteger a stos.
Programaciones de Pago: Es la autorizacin por parte del cliente para el cobro
automtico en sus cuentas bancarias.
Token: Dispositivo electrnico utilizado para facilitar el proceso de autenticacin.
Puede ser utilizado para la generacin de contraseas de un solo uso; as como, para
almacenar contraseas, firmas electrnicas o datos biomtricos de la persona.
CAPTULO I
DE LA AFILIACIN, IDENTIFICACIN Y LA AUTENTICACIN
DEL CLIENTE EN LOS SERVICIOS DE BANCA ELECTRNICA
Artculo 3Los Bancos y dems Instituciones Financieras que ofrecen los servicios de
Banca Electrnica, deben informar a sus clientes de forma escrita, impresa o a travs de
medios electrnicos, lo siguiente:
Servicios ofrecidos y las responsabilidades de su uso.
Procedimientos para la afiliacin, cancelacin, suspensin y reactivacin del servicio.
Lmites diarios de montos y transacciones electrnicas.
Comisiones y tarifas por el uso de servicio de Banca Electrnica.
Riesgos inherentes a la utilizacin del servicio de Banca Electrnica.
Procedimiento para informar cualquier irregularidad detectada.
Artculo 4Los Bancos y dems Instituciones Financieras deben obtener la firma
autgrafa de los clientes titulares, previa identificacin de stos, para contratar los
productos de tarjetas de crdito y dbito. En cuanto a la afiliacin del servicio de Banca
por Internet y Banca Mvil, las Instituciones Financieras podrn implementar la
aceptacin de contratos electrnicos, utilizando Factor de autenticacin categora 1 a
que hace referencia el artculo 5 de las presentes normas. Lo anterior, se considerar
como la confirmacin y autorizacin de uso de los servicios de Banca Electrnica.
Artculo 5Los Bancos y dems Instituciones Financieras debern utilizar factores de
autenticacin para verificar la identidad de sus clientes y la cualidad de stos para
realizar operaciones mediante la Banca Electrnica. Dichos factores de autenticacin

sern los siguientes:

Factor de autenticacin categora 1: Se compone de la informacin obtenida de la
ficha del cliente y del uso de productos, servicios u operaciones efectuadas por stos
mediante los diversos canales. Esta informacin ser utilizada mediante la aplicacin
de cuestionarios al cliente a travs del servicio de IVR, Banca por Internet y la
asistencia de operadores telefnicos. Para este tipo de factor los Bancos y dems
Instituciones Financieras debern:
- Definir previamente los cuestionarios que sern aplicados para la identificacin
positiva de los clientes y modificar su contenido al menos una (1) vez al ao.
- Establecer generadores aleatorios de las preguntas de los cuestionarios.
- Cuando intervenga el operador, ste no podr consultar o conocer anticipadamente
las respuestas para la identificacin positiva del cliente, las cuales deben ser validadas
con el uso de sistemas informticos.
Factor de Autenticacin categora 2: Se compone de contraseas que slo el cliente
conoce e ingresa mediante un mecanismo o dispositivo de acceso, el cual debe cumplir
con las siguientes caractersticas:
Su longitud mnima debe ser de:
Cuatro (4) caracteres para los servicios ofrecidos a travs de cajeros automticos,
puntos de ventas, Banca Telefnica, servicio de IVR y Pago Mvil.
Ocho (8) caracteres para Banca por Internet y Banca Mvil.
Cuando el dispositivo de acceso lo permita, la composicin de este factor de
autenticacin deber incluir caracteres alfabticos, numricos y especiales.
Se debe validar el uso de las ltimas cinco (5) contraseas.
Su vencimiento no ser superior a ciento ochenta (180) das para todos los canales
electrnicos; no obstante, los Bancos y dems Instituciones Financieras estn en la
obligacin de ofrecer a sus clientes la posibilidad de realizar el cambio de las
contraseas cuando stos lo requieran.
En el caso de las contraseas asignadas por los Bancos y dems Instituciones
Financieras, para el acceso a la Banca Electrnica, se debe requerir en forma automtica
que el cliente la modifique inmediatamente despus de iniciar la primera sesin.
Garantizar que la primera sesin se efecte como mximo al siguiente da hbil
bancario de la generacin de la contrasea por parte de la Institucin; en caso
contrario, sta debe ser inhabilitada automticamente.
En ningn caso se podr utilizar como contrasea, la siguiente informacin:
El identificador del cliente.
El nombre de la Institucin.
Ms de tres (3) caracteres iguales consecutivos numricos o alfabticos.
Fecha de nacimiento, nombres, apellidos y nmero telefnico, registrado por el
cliente en la Institucin.
Factor de Autenticacin Categora 3: Se compone de claves dinmicas de un nico
uso, generadas por dispositivos electrnicos o cualquier otro medio, las cuales deben
cumplir con las siguientes caractersticas:
Contar con mecanismos que impidan su duplicacin o alteracin.
Una vez generada la clave dinmica, sta tendr vigencia:
Hasta dos (2) minutos, en el caso de que sean generados por Tokens.
Hasta el cierre de sesin, para los canales de Banca por Internet y Banca Mvil.
Hasta seis (6) horas, para los servicios de cajeros automticos y Pago Mvil.
No ser conocida antes de su generacin ni durante su uso, por los funcionarios,
empleados, representantes o por terceros de la Institucin.
Se podrn utilizar tablas aleatorias de contraseas como factor de autenticacin de
esta categora, siempre y cuando cumplan con las caractersticas listadas en este factor

de autenticacin.
Los Bancos y dems Instituciones Financieras deben facilitar a los Clientes los
mecanismos, dispositivos o medios generadores de las claves dinmicas. Asimismo,
podrn considerar dentro de esta categora la informacin contenida en el circuito
integrado (chip) de las tarjetas bancarias, siempre y cuando dichas tarjetas se utilicen
nicamente para operaciones que se realicen a travs de cajeros automticos y
terminales de puntos de ventas y obtengan la informacin de la tarjeta a travs de
dicho circuito o chip. Las Instituciones, debern considerar lo siguiente:
Si la autenticacin es esttica, la validacin de los datos deber realizarse en tiempo
real en los computadores centrales de la Institucin Financiera.
Si la autenticacin es dinmica, la validacin de los datos podr realizarse fuera de
lnea.
Los Bancos y dems Instituciones Financieras que ejecuten y autoricen transacciones
mediante el uso de tarjetas bancarias sin circuito integrado, en cajeros automticos y
terminales de puntos de ventas o sin el uso de un factor de autenticacin de la
categora tipo 3, como mnimo, asumirn los riesgos y por lo tanto los costos de las
operaciones no reconocidas por los Clientes.
Los reclamos derivados de estas operaciones debern ser atendidos en el plazo
establecido por la Ley General de Bancos y Otras Instituciones Financieras y las normas
vigentes.
Factor de Autenticacin categora 4: Se refiere a la utilizacin de firmas electrnicas
certificadas debidamente emitidas a nombre del Cliente por un Proveedor de Servicios
de Certificacin (PSC).
Los Bancos y dems Instituciones Financieras que aprueben operaciones mediante el
uso de tarjetas bancarias con circuito integrado (chip), en cajeros automticos y
terminales de punto de venta, podrn implementar este factor en dichas tarjetas para
operaciones donde sea requerido la autenticacin del Cliente; as como, el no repudio.
Factor de Autenticacin categora 5: Se compone de informacin del Cliente
derivada de sus caractersticas Biomtricas.
Artculo 6Los sistemas de Banca Electrnica de los Bancos y dems Instituciones
Financieras debern requerir a sus Clientes un factor para inicio de sesin ms un
segundo factor de autenticacin de categoras 3, 4 5 a que hace referencia el artculo 5
de las presentes normas. Estos factores sern aplicados de acuerdo con el siguiente
esquema:

Operaciones
Afiliacin y desafiliacin de productos y servicios.
Mantenimiento de productos, servicios y programaciones
de pago.
Pagos o transferencias electrnicas a terceros.
Retiros o adelantos de efectivo.
Aperturas de segundas cuentas o productos financieros.
Actualizacin de datos de la ficha del Cliente a travs de
Banca por Internet.
Mantenimiento de contraseas, activacin y desactivacin
de Tarjetas de Crdito y desactivacin de Tarjetas de
Dbito.
Consultas.

Factores
Factor Base
2
2

Requeridos
Factor
Adicional
3, 4 5
3, 4 5

2
2
2
2

3, 4 5
3, 4 5
4
4

1 2

N/A

N/A

Transacciones ofrecidas a travs de dispositivos de

autoservicio.
Pagos o transferencia electrnica mismo titular y mismo
banco.

N/A

N/A

*Factor base: Es el factor mnimo requerido para realizar la autenticacin inicial del
Cliente.
Factor adicional: Es el segundo factor o grupo de factores de autenticacin que se debe
requerir al Cliente.
Artculo 7Para las operaciones de pagos o transferencias electrnicas a terceros que
no requieran la afiliacin o registro de cuentas, se deber utilizar el factor adicional, a
que hace referencia el artculo anterior.
Artculo 8En cuanto al servicio de Pago Mvil, los Bancos y dems Instituciones
Financieras podrn ofrecer las operaciones de transferencias y pagos a terceros sobre
cuentas y tarjetas de crdito previamente afiliadas por los Clientes, validando un factor
de autenticacin de categora 2, a que hace referencia el artculo 5 de las presentes
normas.
Artculo 9Para el uso del servicio de Banca Telefnica los Clientes debern
autenticarse a travs del Robot de Voz Interactivo (IVR) con un factor de autenticacin
de categora 2, a que hace referencia el artculo 5 de las presentes normas.
Artculo 10.Para permitir el inicio de sesin a los Clientes a travs de los servicios
ofrecidos por la Banca por Internet, Banca Mvil u otro canal electrnico que as lo
requiera, los Bancos y dems Instituciones Financieras debern solicitar y validar al
menos:
Un identificador de Cliente de por lo menos seis (6) caracteres,
Un factor de autenticacin de las categoras 2, 3 4.
El identificador del Cliente deber ser nico y permitir a los Bancos y dems
Instituciones Financieras, determinar todas las operaciones realizadas por el propio
cliente mediante estos canales.
Tratndose de Pago Mvil, el identificador de cliente deber ser el nmero de la lnea
del telfono mvil asociado al uso de dicho servicio, debiendo las Instituciones; en todo
caso, obtenerlo de manera automtica e inequvoca del telfono mvil correspondiente.
Artculo 11.Los Bancos y dems Instituciones Financieras deben inhabilitar
inmediatamente el acceso a los servicios ofrecidos por la Banca Electrnica cuando el
Cliente lo solicite de forma escrita o cese su relacin con la Institucin. En caso de ser
realizada la solicitud por medio de la Banca Telefnica, se efectuar un bloqueo
preventivo hasta su formalizacin.
Artculo 12.En la Banca por Internet, los Bancos y dems Instituciones Financieras
deben proveer informacin al Cliente, de acuerdo con lo siguiente:
Elementos que identifiquen a la Institucin, antes de ingresar todos los elementos de
autenticacin. Para ello, debern usar certificados digitales (SSL) u otros mecanismos
que permitan autenticar el sitio transaccional. Adicionalmente, podrn utilizar la
siguiente informacin:
- Aquella que el Cliente conozca y haya proporcionado a la Institucin, o bien, que
haya sealado para este fin, tales como nombres y apellidos, imgenes, entre otros.
- La provista por el factor de autenticacin de categora 4.
Una vez que el Cliente verifique que se trata de la Institucin e inicie una sesin
segura, se deber proporcionar de forma notoria y visible, al menos la siguiente
informacin:
- Fecha y hora del ingreso a su ltima sesin; y,

- Nombre y apellido del Cliente.

Artculo 13.Para el uso de los factores de autentificacin, los Bancos y dems
Instituciones Financieras se sujetarn a lo siguiente:
Debern mantener procedimientos que proporcionen seguridad a la informacin de
sus Clientes durante la generacin, custodia, distribucin, asignacin y reposicin de
dichos factores.
Tratndose de los servicios prestados a las personas jurdicas, a travs de la Banca
por Internet, los Bancos y dems Instituciones Financieras podrn implementar
mecanismos mediante los cuales una persona autorizada por el Cliente, realice la
solicitud para efectuar las operaciones, y otra persona distinta que sea designada por el
propio Cliente, autorice su ejecucin. En estos casos, se podr exceptuar a las
Instituciones Financieras de la obligacin de fijar lmites de sesiones simultneas,
siempre y cuando el Cliente cuente con factores de autenticacin indicados en las
categoras 4 y 5 a que se refiere el artculo 5.
Tendrn prohibido divulgar la informacin protegida por los factores de
autenticacin.
Tendrn prohibido solicitar a sus Clientes, a travs de sus funcionarios, empleados,
representantes o terceros, la informacin parcial o completa, establecida en los factores
de autenticacin de las categoras 2 3 a que se refiere el artculo 5 de las presentes
normas.
Artculo 14.Los Bancos y dems Instituciones financieras podrn establecer mtodos
adicionales de autenticacin a los previstos en esta norma para las transacciones
realizadas en la Banca Electrnica.
CAPTULO II
DE LA OPERACIN DE LOS SERVICIOS DE BANCA ELECTRNICA
Artculo 15.Los Bancos y dems Instituciones financieras deben establecer montos
mximos diarios para cada canal electrnico, con base a estudios realizados por su
Unidad de Administracin Integral de Riesgo (UAIR), sin perjuicio de lo establecido en
la legislacin y las normas vigentes. Para el servicio de pago mvil, los montos
mximos diarios no debern ser mayores a los establecidos para los retiros en los
cajeros automticos.
Artculo 16.Los Bancos y dems Instituciones Financieras debern generar
comprobantes electrnicos para todas las operaciones realizadas en el servicio de
Banca Electrnica.
Artculo 17.Con respecto a la sesin del Cliente, los Bancos y dems Instituciones
Financieras deben garantizar lo siguiente:
Finalizar la sesin en forma automtica en los casos siguientes:
Cuando la inactividad alcance l tres (3) minutos en la Banca por Internet y Banca
Mvil.
Cuando el perodo de inactividad alcance los diez (10) segundos en las operaciones
realizadas mediante cajeros automticos y puntos de ventas.
Cuando se detecten sesiones simultneas.
Los Bancos y dems Instituciones Financieras que ofrezcan enlaces a empresas
mediante su pgina web, debern comunicar a sus Clientes que al momento de
ingresar a stos, su seguridad no depende ni es responsabilidad de dicha Institucin.
Artculo 18.Los Bancos y dems Instituciones Financieras debern informar a sus
Clientes, mediante campaas educacionales, sobre el funcionamiento de los canales
electrnicos que pongan al alcance de stos, a fin de prevenir actos que pudieran
derivar en operaciones irregulares o ilegales que afecten a los Clientes o a las propias
Instituciones.
Artculo 19.Los Bancos y dems Instituciones Financieras podrn enviar a solicitud

de sus Clientes, estados de cuenta a travs de medios de comunicacin electrnica,

siempre y cuando la informacin se transmita de forma cifrada y garanticen la
autenticacin empleando como mnimo un factor de autenticacin de categora 2 a que
se refiere el artculo 5 de las presentes normas.
Artculo 20.Los Bancos y dems Instituciones Financieras que ofrezcan el servicio de
puntos de ventas virtuales, deben garantizar lo siguiente:
Elementos que identifiquen a la Institucin, antes de ingresar todos los datos de
autenticacin.
Proteger el canal de comunicacin utilizando cifrado robusto.
Mantener los lmites diarios establecidos en la red para el monto de los pagos.
Utilizar un Factor de autenticacin de categora 2 a que se refiere el artculo 5 de las
presentes normas, aunado a los datos de la tarjeta con la cual se va a realizar la
operacin.
Los puntos de ventas virtuales siempre deben ser dispuestos por las Instituciones
Financieras. En este sentido, no afiliaran comercios que pretendan instalar sus propios
puntos de ventas virtuales.
CAPTULO III
DE LA INFORMACIN TRANSMITIDA, ALMACENADA O PROCESADA
A TRAVS DE LOS CANALES ELECTRNICOS
Artculo 21.Para las operaciones que se realicen a travs de la Banca Electrnica, los
Bancos y dems Instituciones financieras deben implementar mecanismos de cifrado
en la transmisin y almacenamiento de la informacin, a fin de evitar que los datos
sensibles sean conocidos por terceros no autorizados.
Artculo 22.En ningn caso, los Bancos y dems Instituciones Financieras podrn
transmitir las contraseas de categora 2 a que se refiere el artculo 5 de las presentes
normas o nmeros de identificacin personal y de productos, a travs de algn medio
de comunicacin electrnica.
Artculo 23.Los datos sensibles de las tarjetas de dbito y crdito slo podrn ser
almacenados por las Operadoras de Tarjetas durante el tiempo que tome los procesos
de validacin, grabacin y autorizacin de las transacciones.
Artculo 24.Las operaciones de compras nacionales, a travs de los terminales de
puntos de venta con tarjetas de dbito, debern hacer uso de sistemas de transportes de
datos dentro del territorio de la Repblica Bolivariana de Venezuela.
CAPTULO IV
DEL MONITOREO Y CONTROL DE LAS OPERACIONES
Y SERVICIOS DE BANCA ELECTRNICA
Artculo 25.Los Bancos y dems Instituciones Financieras deben notificar en forma
inmediata a los Clientes, las alertas asociadas a las operaciones realizadas a travs de
los canales electrnicos de acuerdo al perfil transaccional del cliente, determinado
oportuna y automticamente por la Institucin, a travs de mensajes de texto (SMS) al
telfono mvil registrado. En caso que el Cliente no posea el mencionado dispositivo o
manifieste no desear el servicio, la Institucin podr realizar la notificacin por
cualquier otro medio de comunicacin electrnica.
El mensaje enviado deber incluir al menos la siguiente informacin: fecha y hora de la
transaccin, monto de la operacin, serial o nmero de referencia de la transaccin,
nombre y nmero de telfono de la Institucin, canal utilizado y tipo de operacin.
Para ello, los Bancos y dems Instituciones Financieras debern asegurar que los Robot
de Voz Interactivo (IVR) permitan al Cliente acceder a opciones para reportar, de
forma expedita, los presuntos fraudes y obtener asistencia debida a su reclamo.
Artculo 26.Los Bancos y dems Instituciones Financieras debern establecer
procesos y mecanismos automticos para bloquear preventivamente el acceso a la

Banca Electrnica, en los siguientes casos:

Cuando se intente ingresar al servicio utilizando informacin de autenticacin
incorrecta. En ningn caso, los intentos de acceso fallidos podrn exceder tres (3)
intentos consecutivos.
Cuando los sistemas de monitoreo detecten comportamiento transaccional irregular
o los sistemas de seguridad detecten un ataque informtico que comprometa los datos
sensibles.
Cuando existan situaciones que comprometan la seguridad de los sistemas de
informacin y del Cliente.
Artculo 27.Cuando los Sistemas de Banca Electrnica determinen fallas de
dispensacin de efectivo en los cajeros automticos, los Bancos y dems Instituciones
Financieras debern reintegrar los montos comprometidos de manera inmediata sin la
necesidad de reclamo del Cliente, sin que esto incluya el cobro de comisiones.
Adicionalmente, debern mantener a disposicin de este Organismo los reportes o
estadsticas producto de estos eventos.
Artculo 28.Los Bancos y dems Instituciones Financieras deben definir mecanismos
de monitoreo y control para asegurar el adecuado funcionamiento de los canales
electrnicos.
CAPTULO V
REGIMEN SANCIONATORIO
Artculo 29.La infraccin a las presentes normas podr ser sancionada de
conformidad con lo previsto en el numeral 5 del artculo 363 de la Ley General de
Bancos y Otras Instituciones Financieras, sin perjuicio de otras medidas
administrativas e instrucciones que este Organismo pueda Imponer en atencin a sus
competencias.
CAPTULO VI
DISPOSICIONES FINALES
Artculo 30.La gestin de la seguridad, contingencias y comunicaciones deben estar
en concordancia con lo establecido en:
La Circular N SBIF-DSB-IO-GGT-GRT-01907 de fecha 30 de enero de 2008,
contentiva de la Normativa de Tecnologa de la Informacin, Servicios Financieros
Desmaterializados, Banca Electrnica Virtual y en Lnea para los Entes sometidos al
Control, Regulacin, Vigilancia y Supervisin de la Superintendencia de Bancos y
Otras Instituciones Financieras.
De igual forma podrn tener como referencia:
El Estndar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS por
sus siglas en ingls).
Artculo 31.La presente Resolucin entrar, en vigencia a partir de la fecha de su
publicacin en la Gaceta Oficial de la Repblica Bolivariana de Venezuela.
Artculo 32.Los Bancos y dems Instituciones Financieras tendrn un plazo de cuatro
(4) meses a partir de la entrada en vigencia de esta normativa para consignar a esta
Superintendencia de Bancos y Otras Instituciones Financieras, un plan de trabajo con
su respectivo anlisis de brechas en los sistemas de informacin y dieciocho (18) meses
adicionales, contados a partir de la entrega de la citada informacin, para efectuar las
adecuaciones que aseguren el cumplimiento de las disposiciones establecidas.