En concordancia con nuestros principios rectores, sintetizados en la misión de la corporación Bci, hemos elaborado un conjunto de principios y recomendaciones para el uso seguro de Internet por parte de nuestros clientes para realizar servicios con los sitios Internet pertenecientes a la corporación a través de este canal, y que comprenden naturalmente a TBanc.
El objetivo de actualizar la actual política de seguridad es incorporar nuevos avances en seguridad desarrollados por la corporación Bci y que se ponen a disposición de los clientes, profundizar algunas recomendaciones de uso de Internet, explicar algunos efectos de la nueva ley y reglamento de la llamada "firma electrónica", y finalmente, clarificar los principios en que nos basamos para poner a disposición de los clientes los servicios Internet de la corporación Bci.
Principios:
1. Todos los clientes del Banco o sus filiales, que tengan contratado al menos 1 producto con ella, pueden a través de un procedimiento de activación acceder al canal Internet. En caso que algún cliente desee inhibir esta posibilidad deberá presentar carta firmada por él con su firma registrada en el banco o sus filiales a Secretaría General. Esta decisión podrá ser dejada sin efecto utilizando el mismo procedimiento. Se exceptúan los clientes TBanc, o Cuenta Prima que no podrán inhibir esta posibilidad.
2. La Corporación financiera Bci pone a disposición de los clientes los medios, para un acceso remoto a sus operaciones seguro y confiable. Constantemente actualiza estos medios para que incorporen las mejores prácticas a nivel nacional e internacional, y que sean económicamente factibles. Como principio básico, no ofrece servicios remotos sin ofrecer conjuntamente los medios para proteger la información y el patrimonio de nuestros clientes en la ejecución de dichos servicios.
3. Los medios de seguridad que el Bci pone a disposición de nuestros clientes, son proporcionales al bien que protegen. Es decir, co-substancial al concepto de seguridad empleado por esta corporación esta incorporado el concepto de proporcionalidad, que admite grados de seguridad en función del valor razonablemente estimado en general, de lo que se protege.
4. Es obligación implícita, tanto del cliente que usa medios remotos, como de aquellos que no inhiben esta posibilidad, de estar informados de los distintos aspectos que involucran las practicas de uso seguro de los medios remotos. En general estos se informan en el presente documento, como en diversas comunicaciones, instrumentos, y/o publicaciones que emite el Bci y distribuye a sus clientes.
5. En particular, se considera que no hay ningún sistema de seguridad que no cuente con un grado de colaboración del usuario. En consecuencia, el cliente debe asumir que los medios de seguridad que el Bci pone a disposición de él, consideran una práctica responsable, y cuidadosa en el uso de ellos.
6. Como es de conocimiento público, durante el año 2002 se promulgó y reglamentó la llamada Ley de Firma electrónica. En ella se establece que todo documento emitido electrónicamente tiene el mismo valor legal que uno emitido en papel y firmado manuscritamente cuando existe una práctica aceptada de autentificación. En particular para aquellos documentos que requieren ser aceptados públicamente se exige firma electrónica avanzada. También se mantienen los requisitos de comparecencia para determinados actos jurídicos reglamentados por ley. En virtud de lo anterior, así como en las condiciones generales de cuenta corriente, y otros documentos afines que firma el cliente con alguna de las empresas que componen la corporación, la practica de autorizar, suscribir o activar electrónicamente y en forma remota mandatos, reglamentos, solicitudes, y otro tipo de autorizaciones o comunicaciones con el Banco o sus filiales es considerada válida, y substituye el procedimiento equivalente de forma manuscrita u hológrafa.
7. En particular, es nuestra interpretación que todo acceso a sitios de la corporación Bci, donde se solicite autentificación, es equivalente a solicitar mediante documento electrónico (privado o publico, según sea el caso) una autorización de acceso por parte del cliente o un representante autorizado. En consecuencia, un acceso fraudulento, será considerado a lo menos una falsificación de documento.
8. El Bci se hará parte en todos los procesos legales, que inicie por cuenta propia y colaborará con los iniciados por terceros, en que considere que se ha intentado causar daños o perjuicios, apropiarse indebidamente de fondos, o conocer información personal sujeta o no al secreto y reserva bancario, de nuestros clientes.
9. Como principio básico, ningún funcionario de la corporación Bci requiere ni tiene necesidad de conocer la claves secretas, o cualquier información confidencial que se use para los fines de autentificación remota de los clientes.
10. El Bci no almacena ni registra las claves secretas del cliente, sino sólo un número derivado que permite verificarlas cuando el cliente hace uso de ellas, pero no conocerlas.
11. La Corporación Bci posee una tecnología que permite al usuario digitar las claves secretas desde otros sitios, sin que los otros sitios conozcan, manipulen, o almacenen la o las claves secretas o información para autentificación remota del cliente. Estas tecnologías han sido empleadas para el servicio de Pago Directo, desde los sitios de los e-comerciantes asociados, y Servipag. Por el contrario, como política el Bci no se hace responsable de la seguridad cuando el cliente permite que su o sus claves secretas sean manipulados por sitios WEB distintos a los autorizados. En estos casos es de responsabilidad de los clientes verificar las medidas de seguridad en los otros sitios distintos de los utilizados por la Corporación.
12. La corporación adhiere a la creciente práctica internacional de no calificar como "spamming" o envío no solicitado de correos electrónicos, aquellos mensajes en que el cliente tiene la posibilidad de prevenir efectivamente el recibo futuro de esos mensajes o solicitar derechamente su no envío; y su dirección de correo electrónico ha sido obtenido con consentimiento directo o indirecto del cliente.
13. El Bci no vende, traspasa, o permite el acceso a terceras personas de información personal de los clientes sin su expreso consentimiento.
Elementos de seguridad disponibles para el cliente
Clave Internet
El proceso más importante para proteger tu información es el proceso de identificación (Autenticación), que incluye la creación de una clave internet o contraseña asociada a tu RUT.
La clave sirve sólo para el canal internet, y es independiente de tu clave de tarjeta Redcompra, y de Cajeros automáticos.
Ningún funcionario del Bci tiene, ni debe tener acceso a tu clave internet.
Su largo es de 6 a 8 caracteres alfanuméricos (letras, y números), y en el momento de crearla o modificarla, un programa invalida combinaciones triviales como "000000".
La clave internet, es tu firma digital, la que nos permite suponer que las operaciones bancarias solicitadas bajo una sesión segura originada por esta clave son solicitadas por ti.
Clave Multipass
Complementaria a la Clave Internet, Bci pone a disposición de sus clientes una segunda clave de acceso que mejora el estándar de seguridad con que el cliente interactúa con el banco. Esta clave consiste en un dispositivo del tipo OTP (One Time Password) el cual entrega una clave diferente cada 60 segundos. El multipass no reemplaza la clave Internet, sino que la complementa, pasando a un modelo de seguridad basado en algo que usted sabe (Clave Internet) más algo que usted tiene (Multipass).
Recomendaciones
a. Para efectos de autentificarse remotamente el cliente contará con una o más claves secretas, o dispositivos físicos. Es obligación personal del cliente que estas claves permanezcan bajo su custodia y en la condición de secretas, y si existe dispositivo físico (tarjeta, token, etc...) este no sea dejado al dominio eventual de otra persona.
b. Si el cliente desea habilitar a otra persona para realizar ciertas operaciones existe un mecanismo concreto para aquello, que es el de definir usuarios adicionales.
c. A menudo el PC o dispositivo de acceso desde donde se conecta el cliente, posee funciones que le permiten guardar la clave secreta o secuencia de acceso para efectos de evitar el tener que recordársela cada vez. Está práctica es peligrosa y se recomienda no emplearla, toda vez que la clave una vez almacenada en un medio físico es posible accesarla, en especial, cuando se trata de un PC de uso compartido.
d. Igualmente, toda vez que el cliente almacena su clave secreta en sitios WEB de terceros, debe estar consciente que está comprometiendo potencialmente su seguridad confiando en un tercero que no es él ni tampoco la Corporación Bci.
e. No se debe usar una secuencia de dígitos y caracteres trivial en la formación de las clave secretas, cuando esta depende del cliente. Existen numerosos ejemplos (fechas de cumpleaños, nombres de parientes, 123456, etc...) de claves que son descubiertas por simple deducción.
f. No se debe usar una secuencia de dígitos y caracteres similar en la formación de la clave secreta a la de otra clave secreta que esté usando, como por ejemplo la clave de cajero automático. En este caso el problema es que el nivel de seguridad de la clave cae (en el peor de los casos) al del sistema de protección más débil.
g. Absolutamente nadie, incluyendo a cualquier funcionario de la Corporación Bci, puede conocer su clave o pedir que cambie la suya a una conocida por él. Los procesos y sistemas están diseñados para operar sin que ningún colaborador del Bci deba saber su clave.
h. Evite el acceso a los sitios de la Corporación desde "Cybercafés", o computadores personales de uso público, ya que ocasionalmente estos PC están contaminados por virus computacionales que capturan la secuencia de caracteres de la clave.
i. Las secciones protegidas de los sitios del banco están protegidas bajo los estándares de SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits. Adicionalmente usan certificados emitidos por Verisign, y el usuario que lo desee puede comprobar su origen tanto en Verisign como en las propiedades de la mayoría de los navegadores en uso.
j. Con el objeto de optimizar el rendimiento de nuestros sitios, y mejorar los tiempos de carga, hemos efectuado cambios en orden a permitir el ingreso de claves secretas desde nuestras páginas principales ("home pages"). Estos consisten básicamente en cambiar la puerta de acceso desde la 80 (sin encriptación) a la 443 (encriptado según el punto i). Pudieran existir dudas de cómo viaja la información personal a través de la red toda vez, que los navegadores, pudiera alertar al usuario (incorrectamente en este caso) que la información viaja desprotegida. Al respecto le informamos que cuando el usuario se identifica para iniciar una sesión segura, en forma inmediata se ejecuta un llamado a un servicio de autentificación que se encuentra en un servidor seguro (https), esto implica que al ingresar la información en pantalla y antes de enviar la información personal (RUT y clave), se establece una sesión de comunicación protegida por nuestros certificados digitales; si esto es exitoso, sólo entonces se procederá a enviar sus datos personales a través de la red. En consecuencia su información personal siempre viaja en forma confidencial.
k. Mantenga actualizado la dirección de casilla electrónica que usa sistemáticamente
l. Nunca envíe información confidencial por correo electrónico, salvo que utilice sistemas de cifrado que garantizan la confidencialidad de la comunicación