Sistemas de Seguridad y Protección aplicados a los ATM´s. Antecedentes y Situación Actual. Juan...
-
Upload
teodosio-casias -
Category
Documents
-
view
38 -
download
7
Transcript of Sistemas de Seguridad y Protección aplicados a los ATM´s. Antecedentes y Situación Actual. Juan...
Sistemas de Seguridad y
Protección aplicados a los ATM
´s.Antecedentes y Situación Actual.
Juan Carlos Camacho Martínez Sub-comité de
Cajeros Automáticos ABM – México
Septiembre 1°, 2008.
Sistemas de Seguridad y Protección aplicados a los ATM´s.Esquemas de Protección Actual.
Antecedentes Regulatorios de Seguridad
LEY REGLAMENTARIA DEL SERVICIO PÚBLICO DE BANCA Y CRÉDITO (1985-1990)
• Art. 76 Las sociedades nacionales de crédito deberán establecer medidas básicas de seguridad que incluyan la instalación y funcionamiento de los dispositivos, mecanismos y equipo indispensables, con objeto de contar con la debida protección en las oficinas bancarias para el público, sus trabajadores y su patrimonio.
• Art. 67 La instalación y el uso de equipos y sistemas automatizados, que se destinen a la celebración de operaciones y a la prestación especializada de servicios directos al público, se sujetarán a las reglas generales que dicte la SHCP.
CIRCULAR 101-470 DE LA SHCP. REGLAS SOBRE LA INSTALACIÓN Y USO DE EQUIPOS Y SISTEMAS AUTOMATIZADOS.
• TERCERA. La instalación de cajeros automáticos, dispensadores de efectivo y otros equipos automatizados para su uso directo por el público, en lugares distintos a las oficinas bancarias y locales autorizados por la SHCP, sólo podrá realizarse cuando se permita el uso compartido a las demás sociedades nacionales de crédito.
Antecedentes Regulatorios de Seguridad
REGLAS GENERALES QUE ESTABLECEN LAS MEDIDAS BASICAS DE SEGURIDAD, A QUE SE REFIERE EL ARTÍCULO 96 DE LA LEY DE INSTITUCIONES DE CRÉDITO (3-OCT-2003).
• SEXTA. Los cajeros automáticos ubicados en las Sucursales deberán observar lo siguiente:
a) Abastecerse desde el interior de la Sucursal,
b) Contar con sistemas de grabación de imágenes,
c) Contar con un programa de mantenimiento continuo a las puertas de acceso a dichos cajeros automáticos, y
d) Contar con dispositivos y procedimientos que permitan identificar al usuario y a la operación que se realice a través de los cajeros automáticos.
Normativa Aplicable
Normatividad Normatividad
UL 291 y 140 (Underwriters Laboratories Inc.)• Normas de construcción de los cofres o cajas fuerte • Equipo de Seguridad en cerraduras
VISA, MASTER CARD y PROSA• Encripción de Información de clientes• Intercambio de información cliente-servidor• Tiempos de respuesta en el intercambio de información• Infraestructura
Manual Tipo de la SHCP• Anclaje• Sistemas de alarmas• Puerta con acceso controlado• Señalización disuasiva• Abastecimiento de efectivo en horario variable• Dispositivos y procedimientos para identificar operaciones y
usuarios
Situación Actual
En términos generales los Bancos cubren con las Normas anteriores para los diferentes modelos y marcas de ATMs y se hacen esfuerzos para su homologación.
Medidas Físicas • Cofre de seguridad con 15 min. de resistencia al ataque físico• Reforzamiento en bisagras, estructura de facias• Peso mínimo vacío de 750 lbs.• Anclaje al piso del cofre de seguridad• Teclado antivandálico, Pantalla con filtro de privacidad y antivandalismo• Cerradura electrónica con señal de amago• Detección de objetos extraños en dispensador de efectivo• Detectores de puerta abierta• Detectores de temperatura y vibración en el cofre• Detector de desprendimiento
Medidas Electrónicas• Prevención contra retención forzada de tarjeta (Anti-libaness loop )• Sensores de bloqueo de puerta de efectivo, de entrega de efectivo• Alarmas de falla al servidor central/Central de seguridad• Encripción de datos sensitivos• Seguridad de acceso y control de sistema y aplicativo
Regulaciones Aplicables
MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS
DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO. ENTIDAD REGULATORIA
DESCRIP-CIÓN DE LAMEDIDA
MANUAL TIPO DE
SEGURIDAD Y
PROTECCIÓN BANCARIA
SHCP
VISAMASTER
CARDPROSA
UL 291 Y 140
SEGURIDADFISICA
EQUIPO ANCLADO AL PISOCUBICULO PARA LA
DOTACIÓN DE EFECTIVOCABLEADO DE
ENERGÍA Y DATOS PROTEGIDOILUMINACIÓN
SUFICIENTE TRANSPARENCIA DEL
CUBICULO DE CLIENTES DESDE LA CALLE
RECOMIENDA QUE UN ATM DEBE ESTAR DISPONIBLE LAS 24 HORAS DEL DIA LOS 7 DÍAS DE LA SEMANARECOMIENDA EL
USO DE TECLADOS NUMERICOS EN LOS ATMS
EL BANCO EMISOR DEBE ADVERTIR AL TARJETAHABIENTE QUE ÉL ES RESPONSABLE DE MEMORIZAR SU PIN, TOMAR LAS PRECAUCIONES PARA QUE NO SEA VISTO CUANDO LO TECLEE EN UN ATM, NUNCA COMUNICARLO VERBALMENTE, NO TECLEARLO EN UN CAJERO QUE NO PAREZCA GENUINO O TENGA ADOSADO ALGUN OBJETO SOSPECHOSO
EN LO POSIBLE EL ATM ESTARA LOCALIZADO EN VESTIBULOS DE ACCESO RESTRINGIDO AREAS DEL CAJERO
CONSTRUIDAS DE MATERIALES SÓLIDOS Y PUERTA DE BUENA CALIDAD CON MECANISMO INTERNO DE PROTECCIÓN CONTRA APERTURAEN LO POSIBLE
CONTARA CON VIGILANCIA NO UNIFORMADAVECINDAD DEL ATM
SEGURA E ILUMINADA
EL COFRE BLINDADO DEBE TENER UNA CERTIFICACIÓN UL TL15 O SEA 15 MINUTOS DE RESISTENCIA AL ATAQUE FÌSICOEL COFRE DEBE
CONTAR CON CUATRO OJIVAS DE ANCLAJE EN SUS CUATRO ESQUINAS EN EL PISO DEL MISMOCON DIAL DE
APERTURA ANTI-VANDÁLICO
Regulaciones Aplicables
MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y MATRIZ COMPARATIVA DE LAS PRINCIPALES REGULACIONES Y RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS RECOMENDACIONES QUE APLICAN A LOS CAJEROS AUTOMATICOS DE LAS
DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.DISTINTAS INSTITUCIONES FINANCIERAS EN MEXICO.
ENTIDAD REGULATORIA
DESCRIP-CIÓN DE LAMEDIDA
MANUAL TIPO DE
SEGURIDAD Y
PROTECCIÓN BANCARIA
SHCP
VISAMASTER
CARDPROSA
UL 291 Y 140
SEGURIDADELECTRÓNIC
A
SENSORES DE PUERTA ABIERTA, DE TEMPERATURA Y DE VIBRACION-IMPACTO O DESPRENDIMIENTODIAL ELECTRONICO
CON CLAVE DE AMAGOCONECTADOS A UNA
CENTRAL DE MONITOREO DE ALARMASCONTROL DE
ACCESOS AL CUBICULO DE CLIENTESSISTEMA DE VIDEO
EN EL CUBICULO DE CLIENTES
LOS ATMS DEBEN CUMPLIR CON EL ESTANDAR DE UN SISTEMA TRIPLE DE ENCRIPCIÓN DE INFORMACIÓNEL ATM DEBE
TENER UN TAMPER DE DETECCIÓN DE CARACTERÍSTI-CAS QUE EVITE UNA INTRUSIÓN EXITOSA O EL DECIFRAMIEN-TO DE CLAVES ENCRIPTADAS
COMO MEDIDA DE SEGURIDAD ELECTRÓNICA DEL PROCESO DE ENTRADA DEL PIN EN EL ATM, DEBERA CONTAR CON UN SISTEMA QUE ENCRIPTE EL PIN MEDIANTE ALGUN ALGORITMO NÚMERICO
SISTEMA DE ALARMA CONTROLADO DE FORMA CENTRALIZADALA PUERTA DE ACCESO
CONTARA CON UN DISPOSITIVO LECTORLINEAS DE
COMUNICACIÓN Y ENERGÍA PROTEGIDAS, AISLADAS Y BLINDADAS, CABLEADO NO EXPUESTOCAJEROS CON
CONFIGURACIÓN A PRUEBA DE ASALTO O VIOLACIÓN FISICAEN ATMS DE LOBBY
TENDRAN CÁMARAS DE FOTOGRAFÍA O VIDEO
Principales riesgos que afectan a los ATMs
Robo total del ATM por desprendimiento
Robo hormiga de la dotación
Robo a través de rutinas de mantenimiento
Vandalismo
Robo de partes y componentes
Asalto al momento de dotar
Atentados terroristas mediante la colocación de explosivos
Sopleteado del cajero
Ataque con herramienta de corte (esmeril)
Fraude al tarjeta-habiente al ofrecerle ayuda
Skimming de las tarjetas (skimmers, facias falsas, etc.)
Lebaness loop en el lector
Trampas en el dispensador del efectivo (tablillas)
Datos Estadísticos
Datos Estadísticos
Datos Estadísticos
Ejemplo Real de un ataque en Ensenada, BC
BOQUETAZO POR UNA COLINDANCIA AL LOCAL DEL ATM
VANDALIZADO CON SOPLETE PARA SUSTRAER EL EFECTIVO
Ejemplo Real de un ataque en una Empresa de Terceros en el D.F.
CASETA DE LOS ATMs JUNTO A LA ENTRADA DE LA EMPRESA EN IZTAPALAPA, D.F.
AMBOS CAJEROS FUERON VANDALIZADOS CON SOPLETE
Manual de Seguridad para ATMs
Objetivo.
Contar con un manual de seguridad física para los ATMs instalados tanto en recintos de terceros como en sucursales bancarias a nivel nacional, que responda a las necesidades de protección actuales en función de los principales modus operandis utilizados por la delincuencia para vandalizarlos y sustraer el efectivo o defraudar a los tarjeta-habientes.
Tipos de medidas aplicables a los ATMs.
Medidas indispensables de seguridad y protección.
Medidas mínimas de seguridad y protección.
Medidas concretas.
Niveles de Seguridad en los ATMs
Criterios de aplicación:
Medidas Indispensables, son aplicables a todo cajero automático instalado que entre en operación a nivel nacional ya sea dentro de una sucursal bancaria o en un recinto de tercero.
Medidas Mínimas, son aplicables a los cajeros automáticos instalados en recintos de terceros.
Medidas Concretas, son aplicables a cajeros automáticos considerados de alta criticidad o riesgo por su ubicación geográfica (estado o ciudad con alta siniestralidad), lugar de instalación (tipo de sucursal, empresa o recinto de terceros donde se ubica), ubicación específica dentro de terceros (grado de exposición a ser vandalizado) y el tipo de servicio y facturación que registra que lo hacen especialmente atractivo para ser robado, así como la cantidad de ATMs concentrados en un mismo sitio.
Descripción de las Medidas de Seguridad
Medidas Indispensables:
Verificar que el piso donde se ancle el ATM sea de losa de concreto armado de 6” de espesor
Anclado al piso con por lo menos 4 puntos de fijación y tornillos de alta resistencia
Proteger la base del ATM contra ataque de apalancamiento a través de mecanismos de protección perimetral de la base del equipo
Contar con una protección física de los cables de alimentación y comunicación (gabinete metálico, ahogados en muro, tubería rígida, etc.)
Área de atención al público del ATM con una iluminación adecuada
Señalización disuasiva de seguridad
Cofres de seguridad de los ATMs que cumplan con la Norma UL-291 con un nivel 1 como mínimo
Contar con el “kit básico de seguridad” que los cajeros traen de forma nativa:Sensor de puerta abierta (contacto magnético)
Sensor de vibración/calor (detector de temperatura y/o vibración)
Sensor de desprendimiento (sensor de arrastre)
Sensor de amago (cajeros que cuentan con dial electrónico)
Estos dispositivos conectados a una central de monitoreo 365/24
Contratos de confidencialidad con todos los prestadores de servicio internos y externos del Banco que atienden los ATMs en cualquier de sus especialidades.
Descripción de las Medidas de Seguridad
Medidas Mínimas:
El ATM debe estar retirado de talleres de mantenimiento o similares donde existan herramientas o equipo de corte que puedan ser usados para vandalizarlo
Debe estar ubicado en una zona de la empresa que el área de seguridad del Banco identifique como de menor riesgo
Estar retirado de zonas abiertas, patios de maniobra, pie de calle, estacionamientos, etc.
No debe estar ubicado en pasillos de circulación peatonal ni vehicular
Alejado de las salidas y ventanales o canceles, a excepción de los que están en sucursales bancarias
Las cerraduras de la facia y puertas no seguras del ATM no deben tener combinaciones universales
Las alarmas del cajero deben estar conectadas a la garita de seguridad o módulo de vigilancia de la empresa
“kit de sirena disuasiva” con sirena de 117 dB instalada dentro de la parte segura del ATM y conectada a los dispositivos de alarma; lógica de control del kit de la sirena
Patrullaje por parte de la Policía Pública local, en donde las empresas o terceros permitan hacer la verificación del estado físico de los ATMs
Supervisión constante de los ATMs por parte del personal de vigilancia de la empresa durante sus rondines y del área de seguridad del Banco al que pertenezca el cajero por lo menos una vez al año para corroborar que las condiciones de seguridad sigan siendo validas
Descripción de las Medidas de Seguridad
Medidas Concretas:
Colocar burladeros metálicos perfectamente ahogados al piso a una distancia de cuando menos 5 metros entre el ATM y el arrollo vehicular a fin de evitar que el cajero pueda ser jalado con facilidad por un vehículo
El ATM deber ser instalado pegado a una pared de muro sólido, no dejando espacio entre la pared y el cajero automático para evitar que puedan lazarlo y jalarlo para desprenderlo
Deberá instalarse en los caseteros del ATM un sistema de “manchado de billetes” que se dispare de forma automática ante el intento de horadación o desprendimiento
En aquellos caos en donde se justifique podrá emplearse un sistema de protección del ATM a base de una “bomba de humo” que se dispare al vandalizar el cajero y no permita la visibilidad o bien usar aspersores de “gas pimienta” que desalienten la criminal a cometer el ilícito
Dotaciones controladas de los cajeros automáticos (disminución de saldos)
Sistemas de alarmas inalámbricas con monitoreo remoto GPRS
Sistemas de Geo-referenciación satelital (GPS)
Adicionalmente y a juicio de cada Institución Bancaria, podrán agregarse las medidas que consideren necesarias
Tendencias de la criminalidad en ATMs
Tendencias Mundiales:
Mayor violencia para la comisión del ilícito con la participación de grupos delictivos (entre 4 y 6 personas fuertemente armados)Uso de gas acetileno en Europa que se inyecta a los cajeros para al mezclarse con el oxígeno generar una chispa y volar la puerta del cofre blindadoUso de explosivos plásticos para abrir las cajas fuerte como en el caso de SudáfricaActualmente la forma más recurrente de vandalizar los cajeros es mediante el desprendimiento del piso, jalándolo con cadenas o cinturones de seguridad para llevárselo completoHoy en día resulta mucho mas atractivo robar un ATM que asaltar una sucursal por los siguientes motivos:
Mayor cantidad de efectivo en su interior ($1’000,000 pesos en promedio por c/u)Mayor facilidad para la comisión de ilícito en recintos de terceros (no hay CCTV)Normalmente en una empresa hay mas de un cajero de distintos BancosExiste la colusión de personal de las empresas o de los cuerpos policíacos locales