Menu Principal:
ANEXO I - CUESTIONARIO BANCA ELECTRÓNICA
Consideraciones previas al cuestionario banca electrónica:
El presente cuestionario tiene por objeto relevar aspectos funcionales de la organización como así también el sistema de control interno que prevalece.
Cuestionario de Auditoria para banca electrónica:
Lugar y fecha de elaboración:
Nombre del banco auditado:
Sitio Web del banco auditado:
1) Con cuales de los siguientes estándares, normas, procedimientos y políticas formalizados en escrito tiene su organización?
NOTA: Si la documentación esta disponible electrónicamente le rogamos que nos la suministre electrónicamente, sino le pedimos que entregue copia de la misma.
Plan de negocios anual y estratégico.
Seguridad Física y Lógica
Plan de contingencia para la continuidad de las operaciones
Políticas de claves, incluyendo políticas de cambio de reglas para la redefinición de la formación y utilización de claves.
Políticas para el uso de correo electrónico e Internet
Políticas de privacidad y confidencialidad.
© ASC Consulting
BANCA TELEFONICA
2) Cuándo el banco comenzó a ofrecer banca telefónica?
a. Lo ofrece a través de quien? (servicio propio o tercerizado a un 3ro)
b. Cómo el cliente accede a su cuenta?
c. Que es lo que el cliente puede hacer una vez que accede a su cuenta?
BANCA ELECTRONICA
3) Ofrece al cliente acceder por Internet a su cuenta?
4) Cuantos clientes utilizan este servicio?
SITIO WEB
5) Cuándo se lanzo el sitio web del banco?
6) Dónde esta el equipo del sitio web alojado?
En el banco
Fuera del banco
7) Quién es responsable de mantener (actualizar y/o cambiar información) el sitio web del banco?
8) Tiene el banco un contrato con el proveedor que le aloja el sitio web?
En caso afirmativo, por favor facilitar luego copia del mismo y continuar con las siguientes preguntas:
Incluye el contrato:
- Responsabilidad para el tratamiento de los datos y información confidencial.
- Seguridad razonable para la continuidad de los servicios a través de acuerdos de sitio alternativo en el evento de una situación problemática.
- Precauciones de seguridad por parte del proveedor de Internet.
- Procedimientos para notificar al banco de cualquier alteración no autorizada y ataques maliciosos.
- Resguardo periódicos de la información del sitio web.
9) Cómo el banco se conecta a la Internet?
ADSL
DSL
Cable Modem
Línea E1
Frame Relay
56K dial up
si otro describa:
10) Es el sitio Web del banco revisado internamente?
En caso afirmativo, con que frecuencia?
Quién lo revisa?
11) Son los links a otras paginas y sitios chequeados para verificar que sean correctos y funcionales?
En caso afirmativo, con que frecuencia?
Quién lo revisa?
12) Si hay links incluidos en el sitio web responda lo siguiente:
Informa el banco al cliente que está terminando la conexión con el banco para acceder a otro sitio?
Provee el banco alguna nota de eximisión de responsabilidad para las transacciones o información que se realicen con esos sitios?
13) Cuenta con medidas de seguridad para prevenir que la información del sitio web no sea alterada?
En caso afirmativo, cuales son?
14) Cada cuanto tiempo se actualizan los antivirus en los servidores y computadores personales?
Quién es el responsable de hacer las actualizaciones?
15) Hay procedimientos para actualizar los sistemas operativos?
En caso afirmativo cuales son?
Quién es responsable de implantar las actualizaciones?
16) Hay procedimientos para la recepción, resguardo e instalación de actualizaciones de software o parches?
En caso afirmativo describa el procedimiento?
Quién es responsable de implantar las actualizaciones o parches?
Son testeadas y probadas antes de ponerlas en producción?
17) Realiza pruebas de penetración al sistema (hacking ético)?
En caso afirmativo con que frecuencia?
Quién las hace?
Quién es el responsable de revisar los resultados?
18) Tiene un sistema de detección de intrusos (IDS)?
En caso afirmativo:
Con que frecuencia es probado?
Quién es el responsable de probarlo?
Quién es el responsable de revisar y monitorear la actividad?
19) Hay controles y procedimientos incorporados para:
Prevención para impedir que hackers accedan al sistema.
Prevenciones para impedir que pinchen la línea de comunicaciones.
Detectar ataques de intrusos.
Detectar ataques en cualquier momento del día incluso después de horas y feriados.
20) Se mantiene la gerencia actualizada frente a los nuevos descubrimientos de amenazas en la seguridad en los sistemas operativos y software de aplicación?
21) Tienen firewall instalados en los equipos de redes?
Tienen firewall en el servidor que aloja la pagina web?
En caso afirmativo responda:
a. Quién es el responsable de instalar, configurar y actualizar el firewall?
b. Quién es el responsable de monitorear las actividades del firewall?
c. Con que frecuencia es monitoreado el firewall?
d. Que tipos de actividades se monitorea?
e. Hay reportes disponibles de la actividad de monitoreo?
f. Si el monitoreo lo realiza alguien ajeno al banco, hay acuerdos formalizados en escrito del acuerdo de monitoreo y mantenimiento?
22) Hay controles incorporados que restrinjan el acceso físico al hardware de la computadora, software y equipamiento de comunicaciones?
23) Nombre las personas encargadas de todas las actividades relacionadas con la banca electrónica, nombre sus responsabilidades y tareas.
24) Cuenta el banco con un Comité de Sistemas para la banca electrónica?
En caso afirmativo, nombre los miembros y sus responsabilidades.
Cada cuanto se encuentran en reuniones?
24) Que es lo que discutió la junta de directores sobre el sitio Web del banco y los servicios que se ofrecen?
25) Esta informada y consciente la Junta de directores de los riesgos que conllevan la banca electrónica?
26) Esta el equipamiento de hardware y líneas telefónicas protegidas de sobrecargas de tensión, rayos, etc.?
En caso afirmativo, como?
27) Realiza el banco búsquedas de sitios con nombres similares a la de su pagina web con el fin de detectar posible copia de contenido para perpetrar fraudes?
BANCA ELECTRONICA:
28) Cuándo se empezó a ofrecer acceso a la banca electrónica en el sitio web?
29) Que puede hacer el cliente una vez que accede a la banca electrónica?
30) Cómo se procesan las transacciones? Ejemplo: tiempo real, batch
31) Que reportes recibe respecto a las transacciones realizadas?
Quién y cada cuanto revisa los reportes?
32) Usa el banco firmad digital y/o certificados digitales?
33) En que nivel se encripta los datos críticos? ( 40 bit, 128 bit, si otro describa)
34) Tiene el banco procedimientos incorporados para cuando hay una interrupción en el servicio de banca electrónica para el cliente (nos referimos al plan de contingencia)?
35) Participa el personal de Tecnología de la Información en programas de entrenamiento y capacitación?
36) Respecto al software de banca electrónica, cuenta su banco o su proveedor con acuerdos escrow en caso que no sea desarrollo propio?
En caso afirmativo, cada cuanto y como verifica que el software dejado en escrow es el actual y esta completo?
37) Hizo el banco un análisis costo beneficio al implantar el servicio de banca electrónica?
38) A establecido la gerencia programas y/o procedimientos para lo siguiente?
Servicio al cliente, soporte y educación – en caso afirmativo describa
Pedidos de los clientes, problemas y quejas.
39) Cual/es es/son la/s razón/es por la cual ofrece banca electrónica?
Ganancias.
Competitividad.
Conveniencia.
Adquirir nuevos clientes.
Retener clientes.
Pedido de clientes.
Otros, explique:
40) Fueron realizadas pruebas con los empleados antes de ofrecer el servicio al cliente?
En caso afirmativo, en que fecha comenzaron las fechas de pruebas con los empleados?
En que fecha se empezó a ofrecer el servicio a los clientes?
Firma de la persona encargada de la banca electrónica:
Cargo de la persona encargada de la banca electrónica:
Fecha de firma:
© ASC Consulting