Buscador de preguntas y respuestas
Se encontraron 504 resultados.
Lista de preguntas
¿Cuál es el proceso para acceder a las prácticas universitarias y escolares?
Verificar si la Superintendencia tiene suscrito convenio con la universidad del estudiante que solicita práctica.
Si existe convenio, el estudiante remite hoja de vida al correo mjburgos@superfinanciera.gov.co
Recibida la HV se le programa una entrevista con una dependencia de la Entidad, para definir si cuenta con los requisitos para realizar la práctica universitaria.
En el evento de ser aceptado, deberá anexar una carta, expedida por la universidad en la que cursa sus estudios, donde lo presenta como candidato para la práctica, copia de la cédula de ciudadanía y copia del carné de EPS.
En la Entidad NO existe la posibilidad de realizar prácticas escolares
Si existe convenio, el estudiante remite hoja de vida al correo mjburgos@superfinanciera.gov.co
Recibida la HV se le programa una entrevista con una dependencia de la Entidad, para definir si cuenta con los requisitos para realizar la práctica universitaria.
En el evento de ser aceptado, deberá anexar una carta, expedida por la universidad en la que cursa sus estudios, donde lo presenta como candidato para la práctica, copia de la cédula de ciudadanía y copia del carné de EPS.
En la Entidad NO existe la posibilidad de realizar prácticas escolares
¿El trámite que se debe seguir para la solicitud de copias?
Carta dirigida al Secretario General, solicitando la información requerida, debe registrar los datos personales nombre, dirección y teléfono, con el fin de informarle a cuanto asciende el valor de las copias, para su respectiva cancelación. Cuando se trate de solicitud de expedientes sancionatorios, la solicitud deberá dirigirse directamente al área correspondiente. Igualmente, se señala que las peticiones se pueden hacer de manera verbal.
¿Cuáles son los requisitos para presentar una queja ante la Superintendencia Financiera?
Las quejas que se formulen por escrito deberán presentarse con el lleno de los requisitos señalados para el ejercicio del derecho de petición. Estos son: -La designación de la autoridad a quien se dirige; -Los nombres y apellidos completos del solicitante y/o de su representante legal o apoderado, si es el caso, con indicación del documento de identidad y de la dirección donde reciba correspondencia. El peticionario puede agregar el número de FAx o la Dirección electrónica; - El objeto de la petición ; -Las razones en que fundamente su petición, la relación de los requisitos exigidos por la Ley y de los documentos que se desee presentar para iniciar el trámite y la firma del peticionario cuando fuere del caso.
Para las peticiones formuladas por correo electrónico se aplica lo dispuesto en el Art. 7 de la Ley 527 de 1999.
Para las peticiones formuladas por correo electrónico se aplica lo dispuesto en el Art. 7 de la Ley 527 de 1999.
¿Qué se entiende por habeas data?
En el artículo 15 de la Carta Política se consagra el Derecho Fundamental al habeas Data, según el cual toda persona tiene el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas, entre los cuales se encuentra el dato financiero.
Quién certifica la UVR?
El Banco de la República
¿Cuáles son los principios orientadores en relación a los conflictos de interés frente al cliente inversionista?
Artículo7.6.1.1.2 Decreto 2555 de 2010. Conflicto de interés
Se entiende por conflicto de interés la situación en virtud de la cual una persona en razón de su actividad se enfrenta a distintas alternativas de conducta con relación a intereses incompatibles, ninguno de los cuales puede privilegiar en atención a sus obligaciones legales o contractuales.
Entre otras conductas, se considera que hay conflicto de interés cuando la situación llevaría a la escogencia entre (i) la utilidad propia y la de un cliente, o (ii) la de un tercero vinculado al agente y un cliente, o (iii) la utilidad del fondo (de valores) que administra y la de otro cliente o la propia, o (iv) la utilidad de una operación y la transparencia del mercado
Se entiende por conflicto de interés la situación en virtud de la cual una persona en razón de su actividad se enfrenta a distintas alternativas de conducta con relación a intereses incompatibles, ninguno de los cuales puede privilegiar en atención a sus obligaciones legales o contractuales.
Entre otras conductas, se considera que hay conflicto de interés cuando la situación llevaría a la escogencia entre (i) la utilidad propia y la de un cliente, o (ii) la de un tercero vinculado al agente y un cliente, o (iii) la utilidad del fondo (de valores) que administra y la de otro cliente o la propia, o (iv) la utilidad de una operación y la transparencia del mercado
Qué medidas de seguridad deben tomar los bancos respecto a los pagos con tarjeta débito o crédito?
La Superintendencia Financiera ha impartido instrucciones generales y especiales por tipo de canal sobre las medidas de seguridad que deben adoptar las entidades vigiladas, entre las cuales, tenemos las siguientes:
Para las operaciones monetarias (entre los cuales se encuentran los pagos) que cursen a través de los POS (incluye PIN PAD), que aplica para los Datáfonos, los Bancos deben implementar como mínimo, las siguientes medidas:
• La lectura de tarjetas solo debe hacerse a través de la lectora de los datáfonos y los PIN Pad.
• Cumplir el estándar EMV (Europay MasterCard VISA).
• Los administradores de las redes de este canal deben validar automáticamente la autenticidad del datáfono que se intenta conectar a ellos, así como el medio de comunicación a través del cual operará.
• Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientos comerciales, confirmar la identidad de los funcionarios autorizados para retirar o hacerle mantenimiento a los dispositivos.
• Velar porque la información confidencial de los clientes y usuarios no sea almacenada o retenida en el lugar en donde los POS estén siendo utilizados.
• Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario.
Las entidades que ofrezcan la realización de operaciones por Internet deben cumplir con los siguientes requerimientos:
• Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
• Realizar como mínimo 2 veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, debe realizarse una prueba adicional.
• Promover y poner a disposición de sus clientes mecanismos que reduzcan la posibilidad de que la información de sus operaciones monetarias pueda ser capturada por terceros no autorizados durante cada sesión.
• Establecer el tiempo máximo de inactividad, después del cual se debe darse por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
• Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
• Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean modificados los enlaces (links) de su sitio web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS.
• Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.
• Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.
Para las operaciones monetarias (entre los cuales se encuentran los pagos) que se efectúen a través de tarjetas débito y crédito, esta Superintendencia ha exigido como mínimo, los siguientes requerimientos:
• Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas.
• Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.
• Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma.
• Velar porque en los centros donde se realicen los procesos citados en el subnumeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deben aplicar a los sobreflex.
• Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes.
• Cuando la clave (PIN) asociada a una tarjeta débito haya sido asignada por la entidad vigilada, esta debe ser cambiada por el cliente antes de realizar su primera operación.
• Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito en el momento que éstos lo consideren necesario.
• Establecer en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente para las operaciones monetarias que se realicen con tarjeta de crédito.
• Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, nombre de la entidad emisora, fecha de expiración, espacio para la firma del cliente y número telefónico de atención al cliente.
• Al momento de la entrega de la tarjeta a los clientes, ésta debe estar inactiva. Las entidades deben definir un procedimiento para su respectiva activación, el cual contemple, al menos, dos de tres factores de autenticación. En cualquier caso, se deben entregar las tarjetas exclusivamente al cliente o a quien este autorice.
• Entregar a sus clientes tarjetas débito y/o crédito que manejen internamente mecanismos fuertes de autenticación, siempre que los cupos aprobados superen 2 SMMLV. Dichas tarjetas deben servir indistintamente para realizar operaciones en cajeros automáticos (ATM) y en puntos de pago (POS).
Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de autenticación no son obligatorios en tarjetas débito asociadas a productos utilizados para canalizar recursos provenientes de programas de ayuda y/o subsidios otorgados por el Estado Colombiano siempre que estos no superen 2 SMMLV.
Para las operaciones monetarias (entre los cuales se encuentran los pagos) que cursen a través de los POS (incluye PIN PAD), que aplica para los Datáfonos, los Bancos deben implementar como mínimo, las siguientes medidas:
• La lectura de tarjetas solo debe hacerse a través de la lectora de los datáfonos y los PIN Pad.
• Cumplir el estándar EMV (Europay MasterCard VISA).
• Los administradores de las redes de este canal deben validar automáticamente la autenticidad del datáfono que se intenta conectar a ellos, así como el medio de comunicación a través del cual operará.
• Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientos comerciales, confirmar la identidad de los funcionarios autorizados para retirar o hacerle mantenimiento a los dispositivos.
• Velar porque la información confidencial de los clientes y usuarios no sea almacenada o retenida en el lugar en donde los POS estén siendo utilizados.
• Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario.
Las entidades que ofrezcan la realización de operaciones por Internet deben cumplir con los siguientes requerimientos:
• Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
• Realizar como mínimo 2 veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, debe realizarse una prueba adicional.
• Promover y poner a disposición de sus clientes mecanismos que reduzcan la posibilidad de que la información de sus operaciones monetarias pueda ser capturada por terceros no autorizados durante cada sesión.
• Establecer el tiempo máximo de inactividad, después del cual se debe darse por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
• Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
• Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean modificados los enlaces (links) de su sitio web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS.
• Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.
• Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.
Para las operaciones monetarias (entre los cuales se encuentran los pagos) que se efectúen a través de tarjetas débito y crédito, esta Superintendencia ha exigido como mínimo, los siguientes requerimientos:
• Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas.
• Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.
• Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma.
• Velar porque en los centros donde se realicen los procesos citados en el subnumeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deben aplicar a los sobreflex.
• Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes.
• Cuando la clave (PIN) asociada a una tarjeta débito haya sido asignada por la entidad vigilada, esta debe ser cambiada por el cliente antes de realizar su primera operación.
• Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito en el momento que éstos lo consideren necesario.
• Establecer en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente para las operaciones monetarias que se realicen con tarjeta de crédito.
• Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, nombre de la entidad emisora, fecha de expiración, espacio para la firma del cliente y número telefónico de atención al cliente.
• Al momento de la entrega de la tarjeta a los clientes, ésta debe estar inactiva. Las entidades deben definir un procedimiento para su respectiva activación, el cual contemple, al menos, dos de tres factores de autenticación. En cualquier caso, se deben entregar las tarjetas exclusivamente al cliente o a quien este autorice.
• Entregar a sus clientes tarjetas débito y/o crédito que manejen internamente mecanismos fuertes de autenticación, siempre que los cupos aprobados superen 2 SMMLV. Dichas tarjetas deben servir indistintamente para realizar operaciones en cajeros automáticos (ATM) y en puntos de pago (POS).
Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de autenticación no son obligatorios en tarjetas débito asociadas a productos utilizados para canalizar recursos provenientes de programas de ayuda y/o subsidios otorgados por el Estado Colombiano siempre que estos no superen 2 SMMLV.
¿La unidad de riesgo operativo puede ser contratada a través de un outsourcing?
La entidad puede subcontratar las funciones de la unidad de riesgo operativo. Sin embargo, la responsabilidad sobre el cumplimiento de las funciones no puede ser delegada en el outsourcing por ende debe quedar claro en los contratos que la entidad es la responsable de las funciones mencionadas en el artículo 3.2.4.3 de la circular externa 041 de 2007.
¿Qué es el certificado de operación temporal?
El certificado de operación temporal (en adelante COT) es el documento expedido por este organismo que permite probar desarrollos tecnológicos innovadores en la prestación de actividades propias de las entidades vigiladas por esta autoridad, gracias al marco regulatorio creado.
¿Qué es el espacio controlado de prueba?
El espacio controlado de prueba (en adelante ECP) es el conjunto de normas, procedimientos, planes, condiciones, requisitos y requerimientos prudenciales que permite probar desarrollos tecnológicos innovadores en la prestación de actividades propias de las entidades vigiladas por la Superintendencia Financiera de Colombia (en adelante SFC).
Se encontraron 36 resultados.