Te contamos sobre la Circular Externa 029 de 11 de diciembre de 2019, de la Superintendencia Financiera, respecto de la implementación y uso de la biometría como factor de autenticación electrónica.
Por: Dra. Luz Eneida Saldaña Abogada Universidad del Rosario,
especialista en Derecho administrativo y Derecho financiero.
Como parte de los requerimientos mínimos establecidos por la Circular Externa 029 de 11 de diciembre de 2019, por parte de la Superintendencia Financiera de Colombia a sus entidades vigiladas (sector financiero de la economía), respecto de la implementación y uso de la biometría como factor de autenticación electrónica, encontramos las siguientes instrucciones relacionadas con aquellos eventos en que las entidades usen biometría como factor de autenticación electrónica, para la protección de datos personales o habeas data. Lo anterior en salvaguarda de la información sensible financiera de los clientes financieros.
Así, las Entidades Financieras deben:
Realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos.
Cuando por razones médicas o físicas el cliente no pueda hacer uso de la biometría, las entidades deben establecer mecanismos alternativos que permitan completar los procesos de autenticación.
En aquellos eventos en que se utilicen bases de datos propias, las entidades financieras deben:
Almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes como AES256, RSA, 3DES o superiores.
Abstenerse de almacenar muestras biométricas que hayan sido tomadas con el propósito de realizar procesos de autenticación, salvo que se cuente con la autorización explícita referida en el literal a del artículo 6 de la Ley 1581 de 2012 o aquellas normas que lo reglamenten, modifiquen o adicionen y siempre que sean necesarias en la ejecución de programas de inclusión financiera en sectores apartados del territorio nacional.
En todo caso, el almacenamiento debe realizarse bajo estándares en materia de seguridad de datos biométricos, tales como ISO 24741:2007 y 24745:2011.
Almacenar la información demográfica del cliente de manera separada de las plantillas biométricas, relacionándolas entre sí por medio de códigos generados por algoritmos matemáticos que no sean fácilmente descifrados.
En la implementación de factores biométricos se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema tales como: i) medición de propiedades fisiológicas del individuo, ii) identificación de respuestas de comportamiento humano o iii) protocolos de desafío-respuesta.
Establecer controles en la captura inicial de las muestras biométricas de los clientes que aseguren que la información se obtenga directamente del titular del dato.
Realizar una adecuada gestión de los riesgos asociados, verificar regularmente la efectividad de los controles implementados y dar cumplimiento a las normas vigentes en materia de protección de datos y habeas data.
Si tienes dudas sobre la implementación de estas medidas, Contáctanos haciendo click aquí.
En Consejuridico #QueremosAcompañarte
Fuente: Circular Externa 029 de 11 de diciembre de 2019 de la Superintendencia
Financiera de Colombia
Comments