Programa de seguridad del cliente (CSP) de SWIFT

Se debe presentar una autocertificación anual con fecha límite el 31 de diciembre. Para el mes de diciembre de 2019, todas las organizaciones deben haber certificado el cumplimiento de los 19 controles obligatorios. Junto con las certificaciones, los clientes deben realizar una evaluación independiente en 2020.

Hay dos formas en las que un cliente de SWIFT puede obtener una evaluación independiente:

• Evaluación interna. Es similar a una auditoría interna, efectuada por el área de auditoría interna del cliente e independiente del área que envía la certificación.
  
• Evaluación externa. Es similar a una auditoría externa, efectuada por organizaciones como PwC que brindan una evaluación independiente en relación con los controles del CSP.

Protección del ambiente SWIFT– Una zona segura segregada protege la infraestructura SWIFT de los compromisos y ataques más amplios en los entornos empresariales y externos.

Control de cuentas privilegiadas del sistema operativo – El acceso a las cuentas del sistema operativo de nivel administrador se limita al máximo posible. El uso es controlado, monitoreado y sólo está permitido para actividades relevantes tales como instalación y configuración de software, mantenimiento y actividades de emergencia. En cualquier otro momento, se utiliza una cuenta con el acceso de menor privilegio.

Seguridad interna en el flujo de datos – Se implementan mecanismos de confidencialidad, integridad y autenticación para proteger los flujos de datos relacionados con SWIFT relacionados y entre la aplicación y el operador.

Actualizaciones de seguridad – Todo el hardware y software dentro de la zona segura y en las PC del operador están dentro del ciclo de vida de soporte, actualizaciones de software mandatorio y se aplican rápidamente actualizaciones de seguridad.

Hardening de los sistemas – El fortalecimiento de seguridad se realiza en todos los componentes dentro del alcance.

Confidencialidad e integridad de la sesión del operador – Se protege la confidencialidad e integridad de las sesiones interactivas del operador que se conecta a la zona segura.

Escaneo de vulnerabilidades – Los escaneados de vulnerabilidades de las zonas seguras y los sistemas de operadores de PC se realizan con una herramienta de análisis actualizada y de buena reputación.

Seguridad física – Controles de seguridad física para proteger el acceso a equipos sensibles, sitios de hosting y almacenamiento.

Política de contraseñas – Todas las cuentas de aplicaciones y sistemas operativos imponen contraseñas con parámetros tales como longitud, complejidad, validez y número de intentos fallidos de inicio de sesión.

Autenticación de múltiples factores – La autenticación de múltiples factores se utiliza para el acceso interactivo de los usuarios a las aplicaciones y cuentas del sistema operativo relacionadas con SWIFT.

Control de acceso lógico – Las cuentas se definen de acuerdo con los principios de seguridad del acceso a la necesidad de conocer, los privilegios mínimos y la separación de funciones.

Administración de Tokens – Los tokens de autenticación se gestionan adecuadamente durante la emisión, revocación, uso y almacenamiento.

Almacenamiento de contraseñas físicas y lógicas – Las contraseñas registradas para cuentas privilegiadas se almacenan en una ubicación física o lógica protegida, con acceso restringido según necesidad.

Protección de Malware – Software anti-malware de un proveedor de confianza se instala y se mantiene actualizado en todos los sistemas.

Integridad del software – La comprobación de la integridad del software se realiza a intervalos regulares en la interfaz de mensajería, la interfaz de comunicación y otras aplicaciones relacionadas con SWIFT.

Integridad de la Base de Datos – Se realiza una comprobación de la integridad de la base de datos a intervalos regulares, en bases de datos que registran transacciones de SWIFT.

Registro y monitoreo – Se implementan capacidades para detectar actividad anómala y se dispone de un proceso o herramienta para almacenar y revisar registros con frecuencia.

Planificación de respuesta a ciber incidentes – La organización tiene un plan de respuesta a incidentes cibernéticos definido y probado.

Formación y sensibilización en materia de seguridad – Se realizan sesiones anuales de concientización sobre la seguridad para todos los miembros del personal, incluida la capacitación específica para roles de SWIFT con acceso privilegiado.

Protección de plataforma de virtualización – Plataforma segura y máquinas virtuales (VM) que alojan componentes relacionados con SWIFT al mismo nivel que los sistemas físicos.

Hardening de las aplicaciones – El fortalecimiento de seguridad de la aplicación, se realiza en todos los componentes dentro del alcance (mensajería, interfaces, etc.).

SWIFT informa sobre todos los casos de incumplimiento y si hay miembros que no presentaron su certificación a los reguladores locales. Además, SWIFT seleccionará una muestra de certificaciones para validar cada año.