Principios
1. Todos los clientes del Banco o sus filiales, que tengan contratado
al menos 1 producto con ella, pueden a través de un procedimiento
de activación acceder al canal Internet. En caso que algún
cliente desee inhibir esta posibilidad deberá presentar carta
firmada por él con su firma registrada en el banco o sus filiales
a Secretaría General. Esta decisión podrá ser dejada
sin efecto utilizando el mismo procedimiento. Se exceptúan los
clientes Tbanc, o Cuenta Prima que no podrán inhibir esta posibilidad.
|
|
|
|
2. La Corporación financiera Bci pone a disposición
de los clientes los medios, para un acceso remoto a sus operaciones seguro
y confiable. Constantemente actualiza estos medios para que incorporen
las mejores prácticas a nivel nacional e internacional, y que sean
económicamente factibles. Como principio básico, no ofrece
servicios remotos sin ofrecer conjuntamente los medios para proteger la
información y el patrimonio de nuestros clientes en la ejecución
de dichos servicios.
|
|
|
|
3. Los medios de seguridad
que el Bci pone a disposición de nuestros clientes, son proporcionales
al bien que protegen. Es decir, co-substancial al concepto de seguridad
empleado por esta corporación esta incorporado el concepto de proporcionalidad,
que admite grados de seguridad en función del valor razonablemente
estimado en general, de lo que se protege.
|
|
|
|
4. Es obligación
implícita tanto del cliente que usa medios remotos, como de aquellos
que no inhiben esta posibilidad, de estar informados de los distintos aspectos
que involucran las practicas de uso seguro de los medios remotos. En general
estos se informan en el presente documento, como en diversas comunicaciones,
instrumentos, y/o publicaciones que emite el Bci y distribuye a sus clientes.
|
|
|
|
5. En particular, se considera
que no hay ningún sistema de seguridad que no cuente con un grado
de colaboración del usuario. En consecuencia, el cliente debe asumir
que los medios de seguridad que el Bci pone a disposición de él,
consideran una práctica responsable, y cuidadosa en el uso de ellos.
|
|
|
|
6. Como es de conocimiento
público, durante el año 2002 se promulgó y reglamentó
la llamada Ley de Firma electrónica. En ella se establece que todo
documento emitido electrónicamente tiene el mismo valor legal que
uno emitido en papel y firmado manuscritamente cuando existe una práctica
aceptada de autentificación. En particular para aquellos documentos
que requieren ser aceptados públicamente se exige firma electrónica
avanzada. También se mantienen los requisitos de comparecencia para
determinados actos jurídicos reglamentados por ley. En virtud de
lo anterior, así como en las condiciones generales de cuenta corriente,
y otros documentos afines que firma el cliente con alguna de las empresas
que componen la corporación, la practica de autorizar, suscribir
o activar electrónicamente y en forma remota mandatos, reglamentos,
solicitudes, y otro tipo de autorizaciones o comunicaciones con el Banco
o sus filiales es considerada válida, y substituye el procedimiento
equivalente de forma manuscrita u hológrafa.
|
|
|
|
7. En particular, es nuestra
interpretación que todo acceso a sitios de la corporación
Bci, donde se solicite autentificación, es equivalente a solicitar
mediante documento electrónico (privado o publico, según sea
el caso) una autorización de acceso por parte del cliente o un representante
autorizado. En consecuencia, un acceso fraudulento, será considerado
a lo menos una falsificación de documento.
|
|
|
|
8. El Bci se hará
parte en todos los procesos legales, que inicie por cuenta propia y colaborará
con los iniciados por terceros, en que considere que se ha intentado causar
daños o perjuicios, apropiarse indebidamente de fondos, o conocer
información personal sujeta o no al secreto y reserva bancario, de
nuestros clientes.
|
|
|
|
9. Como principio básico,
ningún funcionario de la corporación Bci requiere ni tiene
necesidad de conocer la claves secretas, o cualquier información
confidencial que se use para los fines de autentificación remota
de los clientes.
|
|
|
|
10. El Bci no almacena ni registra las claves
secretas del cliente, sino sólo un número derivado que permite
verificarlas cuando el cliente hace uso de ellas pero no conocerlas.
|
|
|
|
11. La Corporación Bci posee una tecnología
que permite al usuario digitar las claves secretas desde otros sitios,
sin que los otros sitios conozcan, manipulen, o almacenen la o las claves
secretas o información para autentificación remota del cliente.
Estas tecnologías han sido empleadas para el servicio de Pago Directo,
desde los sitios de los e-comerciantes asociados, y Servipag. Por el contrario,
como política el Bci no se hace responsable de la seguridad cuando
el cliente permite que su o sus claves secretas sean manipulados por sitios
WEB distintos a los autorizados. En estos casos es de responsabilidad
de los clientes verificar las medidas de seguridad en los otros sitios
distintos de los utilizados por la Corporación.
|
|
|
|
12. La corporación adhiere a la creciente
práctica internacional de no calificar como "spamming"
o envío no solicitado de correos electrónicos, aquellos
mensajes en que el cliente tiene la posibilidad de prevenir efectivamente
el recibo futuro de esos mensajes o solicitar derechamente su no envío;
y su dirección de correo electrónico há sido obtenido
con consentimiento directo o indirecto del cliente.
|
|
|
|
13. El Bci no vende, traspasa,
o permite el acceso a terceras personas de información personal de
los clientes sin su expreso consentimiento.
|
|
|
| Recomendaciones |
|
|
|
a. Para efectos de autenticarse
remotamente el cliente contará con una o más claves secretas,
o dispositivos físicos. Es obligación personal del cliente
que estas claves permanezcan bajo su custodia y en la condición
de secretas, y si existe dispositivo físico (tarjeta, BciMultiPass, etc...)
este no sea dejado al dominio eventual de otra persona.
|
|
|
|
b. Si el cliente desea habilitar
a otra persona para realizar ciertas operaciones existe un mecanismo concreto
para aquello, que es el de definir usuarios adicionales.
|
|
|
|
c. A menudo el PC o dispositivo de acceso desde
donde se conecta el cliente, posee funciones que le permiten guardar la
clave secreta o secuencia de acceso para efectos de evitar el tener que
recordársela cada vez. Está práctica es peligrosa
y se recomienda no emplearla, toda vez que la clave una vez almacenada
en un medio físico es posible accesarla, en especial, cuando se
trata de un PC de uso compartido.
|
|
|
|
d. Igualmente, toda vez que
el cliente almacena su clave secreta en sitios WEB de terceros, debe estar
consciente que está comprometiendo potencialmente su seguridad confiando
en un tercero que no es él ni tampoco la Corporación Bci.
|
|
|
|
e. No se debe usar una secuencia
de dígitos y caracteres trivial en la formación de las clave
secretas, cuando esta depende del cliente. Existen numerosos ejemplos (fechas
de cumpleaños, nombres de parientes, 123456, etc...) de claves que
son descubiertas por simple deducción.
|
|
|
|
f. No se debe usar una secuencia
de dígitos y caracteres similar en la formación de la clave
secreta a la de otra clave secreta que esté usando, como por ejemplo
la clave de cajero automático. En este caso el problema es que el
nivel de seguridad de la clave cae (en el peor de los casos) al del sistema
de protección más débil.
|
|
|
|
g. Absolutamente nadie, incluyendo
a cualquier funcionario de la Corporación Bci, puede conocer su clave
o pedir que cambie la suya a una conocida por él. Los procesos y
sistemas están diseñados para operar sin que ningún
colaborador del Bci deba saber su clave.
|
|
|
|
h. Evite el acceso a los
sitios de la Corporación desde "Cybercafes", o computadores
personales de uso público, ya que ocasionalmente estos PC están
contaminados por virus computacionales que capturan la secuencia de caracteres
de la clave.
|
|
|
|
i. Las secciones protegidas
de los sitios del banco están protegidas bajo los estándares
de SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024
bits. Adicionalmente usan certificados emitidos por Verisign, y el usuario
que lo desee puede comprobar su origen tanto en Verisign como en las propiedades
de la mayoría de los navegadores en uso.
|
|
|
|
j. Con el objeto de optimizar el rendimiento
de nuestros sitios, y mejorar los tiempos de carga, hemos efectuado cambios
en orden a permitir el ingreso de claves secretas desde nuestras páginas
principales ("home pages"). Estos consisten básicamente
en cambiar la puerta de acceso desde la 80 (sin encriptación) a
la 443 (encriptado según el punto i). Pudieran existir dudas de
cómo viaja la información personal a través de la
red toda vez, que los navegadores, pudiera alertar al usuario (incorrectamente
en este caso) que la información viaja desprotegida. Al respecto
le informamos que cuando el usuario se identifica para iniciar una sesión
segura, en forma inmediata se ejecuta un llamado a un servicio de autentificación
que se encuentra en un servidor seguro (https), esto implica que al ingresar
la información en pantalla y antes de enviar la información
personal (RUT y clave), se establece una sesión de comunicación
protegida por nuestros certificados digitales; si esto es exitoso, sólo
entonces se procederá a enviar sus datos personales a través
de la red. En consecuencia su información personal siempre viaja
en forma confidencial.
|
|
|
|
k. Mantenga actualizado la
dirección de casilla electrónica que usa sistemáticamente.
|
|
|
l. Nunca envíe información
confidencial por correo electrónico, salvo que utilice sistemas de
cifrado que garantizan la confidencialidad de la comunicación.
|
|
|
