Cumplimiento

Existe actualmente una amplia variedad de normativas y estándares que las organizaciones deben cumplir.


SMARTFENSE da cumplimiento directo a los requisitos obligatorios de las normativas que se mencionan a continuación.


ISO/IEC 27001:2013 - Anexo A / 27002

  • 7.2.2 - Concienciación, educación y entrenamiento en seguridad de la información/Information security awareness, education and training.

PCI DSS

  • 9.9.3 - Capacite al personal para que detecten indicios de alteración o sustitución en los dispositivos. La capacitación debe abarcar lo siguiente:
    • 9.9.3.a - Revise el material de capacitación (cobertura).
    • 9.9.3.b - Verifique que hayan recibido capacitación y que conozcan los procedimientos.

  • 12.6.1 - Capacite al personal inmediatamente después de contratarlo y, al menos, una vez al año.
    • 12.6.1.a - Verifique que el programa de concienciación sobre seguridad proporcione diversos métodos.
    • 12.6.1.b - Verifique que el personal concurra a la capacitación de la concienciación sobre seguridad al ser contratados y, al menos, una vez al año.
    • 12.6.1.c - Verifique que hayan realizado la capacitación de concienciación y que conozcan la importancia de la seguridad de los datos del titular de la tarjeta.


Comunicación "A" 5374 de 2012 del Banco Central de la República Argentina (BCRA)

  • 6.2 - Las entidades deben poseer la funcionalidad y propósito descritos en proceso de referencia e informar a este Banco Central, la estructura e interrelaciones orgánicas y operativas que en sus organizaciones corresponda:
    • 6.2.1 - Concienciación y Capacitación: proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para el desarrollo de las tareas preventivas, detectivas y correctivas de los incidentes de seguridad en los Canales electrónicos (enunciados en 6.1).
  • 6.3.2.2 - dentro de las tareas de gestión de la seguridad, e independientemente del área, personas o terceros que tengan a su cargo la función y la ejecución de las tareas, las entidades deben contar con funciones y tareas relacionadas con los siguientes procesos de seguridad para sus Canales electrónicos:
    • 6.3.2.2.1 - Concienciación y Capacitación. Complementariamente a lo indicado en el punto 6.2.1, las entidades deben contar con un programa de concienciación y capacitación de seguridad informática anual, medible y verificable, cuyos contenidos contemplen todas las necesidades internas y externas en el curso, conocimiento, prevención y denuncia de incidentes, escalamiento y responsabilidad de los Canales electrónicos con los que cuentan.
  • 6.7.1 - Tabla de requisitos mínimos de Concienciación y Capacitación (RCC).

COMUNICACIÓN “A” 7266 de 2021 del Banco Central de la República Argentina (BCRA)

  • 2.1. - Gobierno.
    • 2.1.1. - Cultura.
      Se espera que la dirección de la entidad acompañe la creación de un entorno organizacional donde se promueva reportar o escalar ciberincidentes mediante un canal establecido para tal fin, considerando:
      • 2.1.1.1. - El establecimiento de programas de capacitación para todos los niveles de la entidad, que fomenten comportamientos proactivos, donde se acepte la posibilidad de ocurrencia de los ciberincidentes y el aprendizaje en base a los errores.
      • 2.1.1.2. - Promover una cultura positiva hacia la gestión de ciberincidentes, logrando que se use esa información como fuente para mejorar la etapa de preparación.
      • 2.1.1.3. - Promover acciones continuas y sostenidas con proveedores y terceras partes en la preparación de las tareas de respuesta y recuperación ante ciberincidentes, para que puedan ser oportunas y adaptarse a las distintas situaciones.

CIRCULAR EXTERNA 007 de 2018 de la SUPERINTENDENCIA FINANCIERA DE COLOMBIA

  • 3 - OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD
    • 3.1. - Establecer una política que contenga los principios, procedimientos y lineamientos para la gestión de la seguridad de la información y riesgo de ciberseguridad en la entidad. Esta política debe tener las siguientes características:
      • 3.1.4. - Establecer los principios y lineamientos para promover una cultura de ciberseguridad que incluya actividades de difusión, capacitación y concienciación tanto al interior de la entidad como frente a usuarios y terceros que esta considere relevantes dentro de la política de ciberseguridad. Estas actividades deben realizarse periódicamente y pueden incluirse, adicionalmente, en los cursos sobre riesgo operativo que realice la entidad.
    • 3.2. - Establecer una unidad que gestione los riesgos de seguridad de la información y la ciberseguridad. Esta unidad debe tener, al menos, las siguientes características y responsabilidades:
      • 3.2.5. - Debe sugerir las capacitaciones que deben recibir regularmente los funcionarios de la entidad en temas relacionados con ciberseguridad y mantenerlos actualizados sobre las nuevas ciberamenazas.

Contacte con nosotros para más información