3) PRÁCTICAS DE SEGURIDAD DEL BNP PARIBAS

Recomendación en Seguridad de Información para Clientesde BNP Paribas Colombia Corporación Financiera S.A.

De acuerdo con las políticas del BNP Paribas Colombia Corporación Financiera S.A. sobre seguridad en Internet, el portal BNP Paribas y sus áreas de negocio mantiene los más altos estándares de seguridad para evitar acciones fraudulentas y la exposición de datos con�denciales.A pesar de estas medidas, el riesgo relacionado con las operaciones en línea no puede ser completamente eliminado. Este documento propone una serie de recomendaciones para aumentar la concienciación del cliente y la protección de sus actividades en línea. Se recomienda que esta página se revise periódicamente para mantener la ciencia de las amenazas cibernéticas y las prácticas de seguridad adoptadas por BNP Paribas Colombia Corporación Financiera S.A.

2.1. MalwareMalware, abreviatura para malicious software, es un software usado o programado por atacantes para interrumpir el funcionamiento del ordenador, recopilar información con�dencial o acceder a sistemas de información. Malware es un término general usado para referirse a una variedad de formas de software hostil o intrusivo, incluyen-do virus informáticos, worms, Trojan horses, key loggers, spyware y otros programas maliciosos.Los defraudadores suelen usar técnicas de Phishing o Ingeniería Social para instalar malwares en su computadora.

2.2. Ingeniería SocialLa ingeniería social es un término que describe un tipo de intrusión que depende fuer-temente de la interacción humana, que tiene como objetivo convencer y engañar a otras personas para burlar controles de seguridad.El estafador intenta - al presentarse como una contraparte con�able - juntar infor-mación su�ciente para in�ltrar la infraestructura de una organización.Información importante: BNP Paribas NUNCA solicitará sus credenciales de acceso a tu cuenta.

A pesar de estas medidas, el riesgo relacionado con las operaciones en línea no puede ser completamente eliminado. Este documento propone una serie de recomendaciones para aumentar la concienciación del cliente y la protección de sus actividades en línea. Se recomienda que esta página se revise periódicamente para mantener la cien-cia de las amenazas cibernéticas y las prácticas de seguridad adoptadas por BNP Paribas Colombia Corporación Financiera S.A.

2) RIESGOS EN OPERACIONES BANCARIAS EN INTERNET

1) INTRODUCCIÓN

2.3. PhishingEl phishing es una técnica fraudulenta de obtención de información privada. Ordinaria-mente, el estafador envía un correo electrónico que parece legítimo solicitando "veri�-cación" de información, seguido de un aviso sobre alguna consecuencia grave si la información no se proporciona. El correo electrónico generalmente contiene un enlace a una página web - fraudulenta, idéntica a la original, con logos y contenido de la empresa - solicitando datos personales, que se utilizan para cometer el robo de identi-dad y / o las acciones fraudulentas.Información importante: Se recomienda que los clientes tengan cuidado y aseguren que los sitios web enviados por e-mails sean legítimos antes de proporcionar infor-mación con�dencial. Los defraudadores a menudo atraen a los clientes a usar sus credenciales (por ejemplo: identi�cación de inicio de sesión, contraseña y números generados desde dispositivos de seguridad o en Token) en páginas web falsas. En caso de duda, si es posible, entre en contacto con el remitente del correo electrónico y con�rme que realmente envió el mensaje.

BNP Paribas se ha comprometido a proteger sus recursos de información corporativa, datos en general e información del cliente. Esta declaración resume el enfoque de la empresa para la seguridad de la información. Proporciona una visión general de las medidas adoptadas por la empresa para mantener seguro la información del cliente y garantizar la con�dencialidad, integridad y disponibilidad de datos. Las características de estas medidas pueden variar dependiendo de los servicios prestados.

BNP Paribas se esfuerza para manejar datos de forma segura a través de un enfoque de defensa en profundidad con el objetivo de proteger los activos de información del banco y de sus clientes contra la recolección, retención, uso, divulgación, modi�cación o destrucción no autorizada. Esto se aborda a través de políticas, procedimientos, directrices, arquitectura de seguridad y la adopción de controles técnicos apropiados. La política y los controles de seguridad de la información del banco se evalúan contin-uamente para garantizar la relevancia y la alineación con los estándares / requisitos de mercado. Las políticas y los procedimientos de la empresa proporcionan cobertura de áreas críticas de seguridad de la información, incluyendo:

3.1. Control de accesoEl acceso se concede con un mínimo de privilegio y necesidad de saber. Todo el acceso se concede en base a per�les de usuarios y con la aprobación previa adecuada en la plataforma de Gestión de Accesos. El uso de medios extraíbles está controlado y prohibido de forma predeterminada.

3) PRÁCTICAS DE SEGURIDAD DEL BNP PARIBAS

3.2. Seguridad de aplicacionesAntes de la implementación, las aplicaciones están sujetas a un proceso de certi�-cación de seguridad para con�rmar que se han desarrollado de acuerdo con nuestra política de seguridad de información y estándares seguros de desarrollo de aplica-ciones. Auditorías regulares y pruebas de intrusión validan la fuerza de aplicaciones sensibles.

3.3. Control de CambioLas implementaciones de cambios se controlan mediante el uso de procedimientos formales de control de cambios. Los cambios exigen la aprobación del área de Gestión de cambios de la implementación en el entorno de producción.

3.4. Disponibilidad de datosLas copias de seguridad de sistemas y datos se guardan de forma segura para la restauración en caso de necesidad. Los sistemas de recuperación de desastres están implantados para garantizar la resiliencia de los sistemas y datos en caso de indis-ponibilidad imprevista del entorno de producción.

3.5. Con�dencialidad de datosLos protocolos seguros de red se utilizan para trá�co sensible y se complementan con soluciones técnicas para detectar o bloquear la extracción de datos. La criptografía es empleada para transmisiones de datos en redes públicas y en dispositivos de medios portátiles.

3.6. Recuperación de desastresEl banco busca proteger a personas, instalaciones, infraestructura, procesos de nego-cio, aplicaciones y datos durante y después de eventos catastró�cos. La respuesta y la recuperación de sistemas de aplicaciones y procesos de negocio críticos se han plani-�cado y probado cuidadosamente. La metodología de recuperación de desastres de la empresa incorpora los siguientes elementos: Análisis de impacto empresarial. Planes de recuperación de desastres de misión crítica. Pruebas regulares de planes de recuperación de desastres para comprobar la dis-ponibilidad operatoria.

3.7. GobernanzaLos equipos de seguridad alrededor del mundo se dedican a cooperar regional y globalmente en el Grupo BNP Paribas. Los equipos están estructurados en polos espe-cializados, garantizando una cobertura permanente de aplicaciones, sistemas y segu-ridad de datos, así como respuesta apropiada a los incidentes de seguridad. Un Ger-ente de Seguridad de la Información (CISO) local supervisa y mantiene la estructura de políticas de seguridad y procura garantizar que la estrategia de seguridad sea apropiada para cubrir los riesgos de seguridad de manera apropiada en lo que se re�ere a cuestiones operativas y regulatorias.

3.8. Recursos humanosUn programa de concienciación de seguridad garantiza que los empleados conozcan los riesgos y puedan actuar adecuadamente. Las políticas de seguridad garantizan los deberes y responsabilidades de los empleados en relación con la protección de datos.

3.9. Respuesta a incidentesUn equipo regional de respuesta a incidentes administra, controla y remedia inci-dentes relacionados con la seguridad de la información y monitorea la e�cacia de los controles. Las consolas de seguridad del Banco se enriquecen a través de una inteli-gencia de amenazas controlada y externamente relevante para el escenario de la amenaza.En caso de violación, el equipo de respuesta a incidentes prontamente tomará medi-das para mantener la información segura y mitigar la violación. Las noti�caciones oportunas de los clientes afectados se emiten de acuerdo con los requisitos contrac-tuales, reglamentarios y legislativos.

3.10. Defensa de redLos controles de acceso a la red están en vigor para segregar segmentos de red y �ltrar el trá�co entrante y saliente con partes externas, además de monitoreo 24/7 y detección de intrusos.

3.11. Seguridad físicaLas medidas de seguridad física están instaladas y diseñadas para proporcionar acceso restringido y grabado, además de ayudar a detectar y disuadir intrusiones. Existen medidas para noti�car al personal de seguridad física de condiciones ambien-tales adversas que puedan afectar a los sistemas de comunicación electrónica.

4) PRÁCTICAS DE SEGURIDAD DEL BNP PARIBAS3.12. Defensa del sistemaLas protecciones contra malware se instalan en todos los puntos clave de la red y se actualizan regularmente para garantizar la detección y eliminación de códigos mali-ciosos. Además, la aplicación de baselines de con�guración de seguridad garantiza la implantación de sistemas seguros. Un proceso de corrección garantiza que los siste-mas estén actualizados, centrándose en las actualizaciones de seguridad. Los análisis de vulnerabilidades regulares aseguran que no se haya descuidado ningún sistema.

3.13. Inteligencia de amenazasBNP Paribas estableció procesos para la recolección y análisis de amenazas en el ciberespacio, especí�camente adaptado a los escenarios de amenazas recientes del banco y también del mercado, de manera vertical. Esta función permanece al frente a través de inteligencia oportuna, precisa y relevante.

3.14. Gestión de proveedoresEl proceso de Gestión de Proveedores del banco conduce diligencias (due diligences) en actividades relacionadas con la seguridad de la información de terceros y en la adquisición, contratos y privacidad de datos, incluyendo: Evaluación de potenciales proveedores para el cumplimiento de las políticas y controles de la empresa; Revisión de la debida diligencia, incluyendo la elaboración de clasi�caciones de riesgo y resultados; Mitigación de resultados de riesgo; Soporte en la selección de proveedores y negociaciones de contratos.

3.15. Administración de la vulnerabilidadEl equipo responsable de la administración de vulnerabilidades comprueba y analiza los activos de información. Los controles de mitigación y las correcciones se aplicarán con prioridad de activos críticos.

4) PRÁCTICAS DE SEGURIDAD DEL BNP PARIBAS

Para evitar acciones fraudulentas y exposición de datos con�denciales, BNP Paribas recomienda a sus clientes que tengan en cuenta una serie de directrices relacionadas con la gestión del �ujo de trabajo y la protección de la infraestructura resumida en 10 recomendaciones.

4.1. RECOMENDACIÓN 1 - Implantar el principio de los "Cuatro Ojos"El principio de los cuatro ojos indica que todas las operaciones realizadas deben anali-zarse por lo menos dos personas. Respete el principio Cuatro Ojos para todos los ser-vicios principales, como administración de derechos, autorización de pago y gestión de bene�ciarios.

4.2. RECOMENDACIÓN 2 - Revisar el acceso del usuarioEl responsable del control de acceso debe revisar los accesos de los usuarios al menos una vez al año.

4.3. RECOMENDACIÓN 3 - Utilice las versiones de software actualizadasLos softwares incluyen sistemas operativos (por ejemplo: Microsoft Windows, Linux), navegadores (por ejemplo, Internet Explorer, Firefox, Chrome) y otros programas críti-cos (por ejemplo: Java, Flash, Antivirus, Firewall y Anti-Spyware). Manténgalos actual-izados.

4.4. RECOMENDACIÓN 4 - Mantener el secreto de la información personalLas contraseñas y los tokens son información personal y nunca se pueden compartir con nadie. Es de extrema importancia que las credenciales de login sean garantizadas, pues constituyen los puntos de entrada de las plataformas del BNP Paribas. Las sigui-entes directrices pueden ayudar a mantener su información privada segura:• Evite reutilizar los mismos nombres de usuario y contraseñas que utilice para iniciar sesión en otros sitios;• No utilice información que pueda deducirse fácilmente;• Incluso si su ID de usuario (generalmente la dirección de correo electrónico) no es con�dencial, no lo anote en cualquier lugar que pueda ser fácilmente encontrado por una persona malintencionada;• Nunca anote ni revele su contraseña para cualquiera que la solicite, incluidos los equipos de soporte de BNP Paribas. Asegúrese de que nadie la conozca;• Cambie la contraseña periódicamente;• Asegúrese de que no se está observando al introducir la contraseña;• Compruebe periódicamente el teclado y el ordenador para asegurarse de que no haya conectado ningún key logger (dispositivos grabados).

• Muchos navegadores contienen características de relleno automático. Mientras tanto ahorra tiempo para el usuario, también permite que las personas no autorizadas inicien sesión en tu cuenta si su equipo permanece desbloqueado y sin alguien cerca. El banco recomienda que esta característica esté deshabilitada.

Dispositivos de autenticación (si es aplicable):• Asegúrese de que los tokens de autenticación o las contraseñas únicas que se envían al dispositivo móvil, se mantienen de forma segura durante todo el tiempo;• No envíe por e-mail y no hable por teléfono el número de serie detrás de los tokens de autenticación, aunque informen del equipo de soporte. La única excepción a esta regla es si ha entrado en contacto con el soporte técnico para solicitar soporte.• Nunca pegue o escriba información en el token de autenticación;• Por último, pero no menos importante, si usted ha perdido o cree haber perdido su token, póngase en contacto con su gerente de Relaciones de BNP Paribas para que podamos desactivar el dispositivo lo más rápido posible.

4.5. RECOMENDACIÓN 5 - Proteja su estación de trabajo contra malwareProteja su equipo contra malware, virus y programas maliciosos. Software antivirus, software anti-spyware y �rewalls personales deben instalarse y mantenerse continua-mente activos en su equipo. Los parches y las revisiones de seguridad y las de�ni-ciones de virus se deben instalar y actualizar periódicamente para garantizar que se corregir todos los errores y fallos de seguridad. Ejecute periódicamente el software antivirus y anti-spybot con el �n de detectar un archivo sospechoso. Si detecta, elimi-ne inmediatamente el archivo y cierre el sitio que descargó el archivo. Si el equipo está comprometido, no dude en cambiar todas las contraseñas. No realice ninguna transacción a través de ordenadores públicos o compartidos.

4.6. RECOMENDACIÓN 6 - No deje su estación de trabajo sin vigilanciaNunca se ausente de su ordenador sin bloquearlo. Siempre cierre las aplicaciones después de concluir transacciones bancarias electrónicas.Es muy recomendable cerrar las pantallas de los navegadores después de usar cual-quier sistema de BNP Paribas.

4.7. RECOMENDACIÓN 7 - Visite sólo sitios de con�anzaVisite sólo sitios de con�anza y no descargue ningún archivo o programa de sitios desconocidos o sospechosos. Tenga siempre cuidado al abrir un archivo desconocido o al hacer clic en vínculos sospechosos.

4.8. RECOMENDACIÓN 8 - Tenga cuidado con mensajes de correo electrónico fraudu-lentos y también con los sitios que a�rman ser de BNP PARIBAS.Manténgase vigilante al recibir e-mails sospechosos y al acceso a sitios que a�rman ser de BNP Paribas con el �n de obtener informaciones con�denciales. BNP Paribas nunca pedirá información personal por e-mail y no enviará correos electrónicos con enlaces a los que se accede. Compruebe siempre que el remitente de correo electróni-co es conocido y con�able antes de abrir cualquier archivo adjunto, y no responda o haga clic en cualquier vínculo proporcionado en los mensajes de correo electrónico que parecen enviarse por BNP Paribas, solicitando que introduzca datos personales, números de tarjeta / tarjeta bancaria o Códigos bancarios de Internet.

Además, recuerde que en algunas aplicaciones de correo electrónico, como Microsoft Outlook, un hipervínculo de texto puede mostrarse, pero en realidad, hacer clic en el vínculo puede dirigirlo a otro sitio. Esto se conoce como phishing. Los sitios de phish-ing están diseñados para parecer idénticos a los sitios reales. Además, algunos correos electrónicos pueden contener archivos de imagen que aparecen como texto. Hacer clic en la imagen también puede dirigirlo a un sitio de phishing. Asegúrese de que las directrices para comprobar los sitios de BNP Paribas sean seguidas.

El acceso a la página web de BNP Paribas siempre debe hacerse a través de enlaces conocidos. Lea detenidamente la barra de direcciones / URL y asegúrese de que el dominio se espera. Otro método para veri�car la autenticidad del sitio BNP Paribas es veri�car el certi�cado digital para sitios que empiezan con "https". Las Autoridades Certi�cadoras (como Verisign o Geotrust) son emisores de terceros de certi�cados digitales con�ables que atestiguan si el sitio es genuino. Haga clic en el candado al lado de la dirección URL para ver los detalles de la Autoridad de Certi�cación.

4.9. RECOMENDACIÓN 9 - No actúe en llamadas sospechosas del BNP PARIBASSi alguien se pone en contacto con usted alegando trabajar para BNP Paribas o actu-ando en nombre del banco, solicitando que usted proporcione datos personales, o que autorice transacciones, no realice ninguna acción y póngase en contacto con BNP Paribas a través de los canales de contacto adecuados véase en la(RECOMENDACIÓN 10).

DESCONOCIDO

4.10. RECOMENDACIÓN 10 - En caso de dudas, póngase en contacto con BNP PARIBASCierre inmediatamente cualquier transacción y póngase en contacto con BNP Paribas en caso de duda, especialmente cuando el procedimiento de �rma di�ere del proced-imiento habitual. Es aconsejable veri�car si las transacciones en curso son o no legítimas. Póngase en contacto con el punto de soporte nivel uno en caso de duda.En caso de sospechas de acceso no autorizado o en caso de dudas sobre cuestiones relacionadas con la seguridad de la información, póngase en contacto inmediata-mente con su Gerente de Relaciones o póngase en contacto con el correo electrónico Latam.CSIRT@bnpparibas.com.

Este documento fue elaborado por BNP Paribas sólo para �nes informativos. Aunque la información contenida en este documento ha sido obtenida de fuentes que BNP Paribas cree ser con�ables, no constituirá ninguna representación, garantía o incentivo del banco en cuanto a la adecuación, exactitud o su�ciencia de las medidas aquí descritas para cualquier propósito contemplado, pues la información puede ser incompleta o resumida.Este documento no constituye un prospecto o solicitud. Todas las estimaciones y opiniones incluidas en este documento constituyen nuestro juicio a partir de la fecha del documento y pueden estar sujetas a cambios sin previo aviso. Los cambios en las premisas pueden tener un impacto relevante en cualquier recomendación aquí hecha.Este documento no puede ser reproducido (en todo o en parte) para cualquier otra persona sin la previa autorización por escrito del BNP Paribas Brasil S / A.

?