Banco Comafi S.A. — Audit Report / Information 2019

Jan 10, 2019

DICTAMEN DEL AUDITOR EXTERNO DE SISTEMAS SOBRE EL NIVEL DE SEGURIDAD, PLANES DE CONTINGENCIA Y POLÍTICAS DE SEGURIDAD DEL SISTEMA PARA LA CAPTACIÓN DE ÓRDENES DE CLIENTES POR VÍA TELEFÓNICA.

Señores Directores de Banco Comafi S.A. Domicilio legal: Av. Roque Saenz Peña 660 Ciudad Autónoma de Buenos Aires CUIT: 30-60473101-8

A su pedido, y a efectos de su presentación ante la Comisión Nacional de Valores (en adelante "CNV"), emitimos el presente informe de cumplimiento sobre la información detallada en el apartado siguiente.

Objeto del encargo

En nuestro carácter de Auditor Externo de Sistemas y a su pedido, emitimos el presente informe especial de Auditoria Externa de Sistemas sobre el cumplimiento por parte de la Sociedad con los requerimientos establecidos en la Resolución General Nº 731 de la CNV, en el Capítulo VII, sección MODALIDADES DE CONTACTO CON LOS CLIENTES - VÍA TELEFÓNICA, CORREO ELECTRÓNICO Y REDES PRIVADAS DE COMUNICACIÓN ELECTRÓNICA, artículo 24 - inciso "b" (Dictamen de auditor externo en sistemas, sobre el nivel de seguridad del sistema, planes de contingencia y políticas de seguridad y cumplimiento de los requisitos del presente capitulo).

Responsabilidad de la Dirección de la Sociedad

La Dirección de la Sociedad es responsable por la preparación de la información objeto del encargo para su presentación ante la CNV y por el cumplimiento de las normas establecidas en la materia por la Resolución Nº 731 de la CNV.

Nuestra responsabilidad

Nuestra responsabilidad consiste en la emisión del presente informe de cumplimiento, basados en nuestra tarea profesional que se detalla en el siguiente apartado, para cumplir con los requerimientos de la CNV.

Tarea profesional

El alcance de nuestra labor consistió en la aplicación de ciertos procedimientos que consideramos suficientes, para validar el cumplimiento por parte de la Sociedad con los requerimientos de la CNV.

Los procedimientos detallados a continuación han sido aplicados sobre los registros y documentación que nos fueron suministrados por la Sociedad, considerando que la misma es precisa, completa y legítima.

Los procedimientos realizados consistieron únicamente en:

• a) Relevamiento general del sistema "SGM (Inversiones y Cambios)" e indagación al personal de sistemas, analistas funcionales y seguridad informática sobre los aspectos funcionales y técnicos del sistema e infraestructura tecnológica que lo soporta.
• b) Revisión de la documentación aplicable a las operatorias de captación de órdenes de clientes por vía telefónica.
• c) Revisión de las políticas de seguridad de la información, de protección de activos, y procedimientos y estándares relacionados con la seguridad.
• d) Evaluación de los parámetros de seguridad establecidos para el canal telefónico.
• e) Evaluación de los parámetros de seguridad establecidos para el sistema "SGM (Inversiones y Cambios)".
• f) Revisión del plan de contingencia para el sistema "SGM (Inversiones y Cambios)".
• g) Revisión de las políticas y procedimientos de backups y de la definición del esquema de resguardo (frecuencia, cantidad de copias, lugar de respaldo, etc.), tanto para grabaciones telefónicas como para información aplicativa

En el Anexo I se incluye la siguiente información:

• Descripción del sistema utilizado para la captación de órdenes de clientes a través del canal telefónico.
• Descripción del nivel de seguridad y políticas de seguridad de la Sociedad.
• Políticas de back-ups y plan de contingencias.

Manifestación profesional

Sobre la base del trabajo realizado, cuyo alcance se describe en el apartado precedente, y en lo que es materia de nuestra competencia, en nuestra opinión, Banco Comafi cumple con los requisitos de la Resolución General Nº 731 de la CNV, en relación con el nivel de seguridad, planes de contingencia y políticas de seguridad del sistema de captación de órdenes de clientes por vía telefónica.

Restricciones al uso de este informe

El presente informe de cumplimiento se emite para uso exclusivo de la Sociedad a efectos de su presentación ante la CNV y no debe ser distribuido a terceros ni utilizado para ningún otro propósito.

Ciudad Autónoma de Buenos Aires, 10 de Enero de 2019

Gabriel Zurdo Lig. en Sistemas de Información Sodio - TECBUS S.A. (BTR CONSULTING)

ANEXO I

Banco Comafi

Captación de órdenes de clientes por Vía Telefónica

1. Descripción de la operatoria de captación de órdenes de clientes por vía telefónica y aplicaciones que intervienen

La captación de órdenes de clientes por vía telefónica se realiza a través del Centro de Inversiones, debiendo el cliente comunicarse al número 0810 555 4200, número exclusivo para Inversiones o a través del Call Center al 0800-555-4200. En primer lugar, serán atendidos por el sistema de atención telefónica del Banco (IVR) y si se ingresa por el Call Center solicitará DNI y clave. Luego, se presentarán distintas opciones de inversiones, debiendo seleccionar la opción de Bonos o Acciones. Una vez seleccionada la opción, se derivará el llamado a un asesor de inversiones y al momento de realizar la operación la llamada se transferirá a una línea grabada, se corroborarán los datos y se aceptarán las condiciones de la operación. Los clientes también se pueden comunicar con al área de Banca Privada a los teléfonos (11)5282-1903/04/06, siendo atendidos por operadores idóneos en la operatoria, cuyas líneas telefónicas son grabadas,

Todas las llamadas de las operaciones serán registradas a través del sistema OmniPCX RECORD.

La operatoria de captación de órdenes de clientes por vía telefónica se gestiona mediante Interactive Voice Response "IVR", que se encuentra montado sobre una infraestructura de servidores virtuales VWARE en el Data Center de Claro Argentina, ubicado en Olleros 2770 (CABA). Dicha plataforma procesa sobre Windows Server 2008 R2 de 64Bit, donde se reciben las llamadas de los clientes, por medio de una línea 0800 que posee la Entidad.

El sistema utilizado por los asesores de inversiones para la captación de órdenes de clientes, se denomina SGM (Inversiones y Cambios), el cual posee las siguientes funcionalidades:

• Compra-Venta de Títulos Públicos.
• Compra-Venta de Obligaciones Negociables.
• Compra-Venta de Acciones y Opciones.
• Cauciones bursátiles.
• Suscripción y colocación de Fideicomisos Financieros por oferta pública.
• Custodia y transferencia de Títulos Públicos y Acciones.
• Cobros de cupones y dividendos de Títulos Públicos y Acciones.
• Licitaciones primarias de títulos públicos y privados
• Suscripciones y rescates de Fondos Comunes de Inversión

$2.$ Seguridad

2.1. Política de Seguridad

La Entidad cuenta con políticas, normas y procedimientos relacionados con la seguridad de la información con el objetivo de establecer el marco regulatorio para la protección de los activos de la información.

La política "POL072 - Protección de Activos de Información" es un marco de referencia del resto de las políticas, metodologías, procedimientos y estándares de trabajo que se definan y apliquen al área de Protección de Activos de Información para el planeamiento, la ejecución y el control de sus actividades, brindando el marco de referencia para el logro de los objetivos de la Dirección del Banco. Su objetivo es gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico de la Entidad, siendo aplicable a todos los empleados, contratistas, consultores, eventuales y otras empresas vinculadas a la Entidad, incluyendo a todo el personal externo que cuenten con un equipo conectado a la Red.

Asimismo, los procedimientos y estándares de Seguridad Informática y Protección de Activos de Información se encuentran contemplados dentro de los siguientes temas:

• ä Administración de usuarios y recursos
• Autenticación de usuarios $\overline{\phantom{a}}$
• Administración y control de la utilización de usuarios especiales y de contingencia ×
• Gestión de Incidentes de Seguridad ٠
• Estándar de Seguridad para plataforma Windows $\blacksquare$
• Estándar de Seguridad de bases de datos SQL
• Definición de parámetros de contraseñas Canales Electrónicos
• Gestión de Antivirus para la prevención, detección y eliminación de software malicioso.
• Control de parches de seguridad sobre la infraestructura tecnológica
• Prácticas de seguridad en la utilización de servicios del correo electrónico y navegación web
• Configuraciones de reglas de seguridad de Firewalls
• Configuraciones de seguridad en dispositivos de comunicaciones
• Gestión de controles relacionados con la seguridad de las plataformas y aplicativos
• Gestión de cambios en los sistemas aplicativos y software de base

Cabe mencionar que también se incluyen aspectos relacionados con Canales Electrónicos, que indican que la Gerencia de Protección de Activos de Información, debe establecer prácticas adecuadas para la gestión segura de la operatoria en los canales electrónicos, implementando medidas de seguridad apropiadas para garantizar la disponibilidad, integridad y confidencialidad de la información.

BTR Consulting

2.2. Aspectos de Seguridad

Banca Telefónica

Ingreso

En el caso que el cliente ingrese por el Call Center, el cliente debe contar con una clave de 4 caracteres. Dicha clave se puede obtener desde un cajero automático de la red Banelco, ingresando al Home Banking o telefónicamente a través del Centro de Atención Telefónica. Para comenzar a operar se solicitará al cliente el número de documento y la clave.

Las claves telefónicas cuentan con las siguientes características:

• Longitud mínima: 4 caracteres
• Historial de contraseñas: 12
• Bloqueo por intentos de accesos fallidos: 3 intentos
• Se deriva al operador en caso de inactividad

Grabaciones de las llamadas telefónicas

Para la grabación de llamadas telefónicas se utiliza el sistema OmniPCX RECORD, el cual está diseñado para ser soportado por la plataforma de comunicaciones Alcatel-Lucent OmniPCX Enterprise. Este sistema integra grabación de llamadas y funciones de monitoreo dentro de la infraestructura de telefonía OmniPCX.

Todas las llamadas llamadas entrantes y salientes son grabadas automáticamente por este sistema.

Resguardo de las grabaciones telefónicas

Claro es el encargado de realizar el resguardo y recuperación de las grabaciones telefónicas. El equipo de especialistas de Claro opera en modalidad 7x24, estando disponibles para realizar la recuperación de las llamadas cuando sea necesario.

El resguardo de las grabaciones de las llamadas se realiza de acuerdo a lo establecido por el Banco en su política de backups, donde se especifica el siguiente cronograma:

• Se mantienen en línea 3 meses
• Backups diarios incrementales
• Backup semanal completo de los servidores.
• Backup mensual completo
• Resguardo en cintas por 10 años del backup mensual completo

Aplicación SGM (Inversiones y Cambios)

Ingreso

Para la captación de las órdenes de clientes, el asesor de inversiones deberá autenticarse a la red de la Entidad con su identificador de usuario y clave. La aplicación SGM posee seguridad integrada al Active Directory (AD) de la Entidad.

Usuarios y perfiles

La aplicación SGM posee un módulo para la administración de usuarios, roles y funciones. Este módulo es administrado por personal del área de Protección de Activos de Información (PAI) quienes tienen los privilegios para la administración de usuarios y permisos.

La aplicación permite la definición de roles, los cuales serán asignados a los usuarios de acuerdo a las funciones que cumplan. BTR Consulting

Parámetros de seguridad

Debido a que los usuarios de la aplicación se encuentran integrados al Active Directory, las contraseñas de los usuarios se rigen por los parámetros definidos en el AD, siendo los mismos:

• Caducidad de contraseñas: 30 días
• Longitud mínima: 8 caracteres
• Complejidad de las contraseñas: Habilitado $\blacksquare$
• Historial de contraseñas: 12
• Bloqueo por intentos de accesos fallidos: 3 intentos

Registro de actividades

La aplicación SGM (Inversiones y Cambios) registra para las actividades críticas realizadas por los usuarios, el identificador de usuario, fecha y hora y operación efectuada.

Acceso físico y medidas de control ambiental

El centro de cómputos de la Entidad se encuentra tercerizado en el proveedor IBM quien brinda el servicio de procesamiento de las aplicaciones del Banco. El mismo se encuentra ubicado en Martínez - Provincia de Buenos Aires.

Los mecanismos de acceso así como las medidas de seguridad implementadas se encuentran bajo la responsabilidad del proveedor, quien cuenta con adecuadas medidas, tales como acceso restringido mediante tarjeta magnética, pudiendo ingresar solo personal autorizado, matafuegos, detectores de humo, aire acondicionado, utilización de materiales ignífugos, piso técnico, etc.

3. Resguardos de información

IBM es encargado de realizar los backups correspondientes a las aplicaciones y datos. El Banco es responsable de establecer las políticas de backups y de controlar la ejecución de los backups por parte de IBM.

Política de Backups

La Política de Backups establecida por el Banco abarca las distintas plataformas y establece para cada una de ellas: tipos de backups, frecuencias, período de retención, cantidad de copias, calendario de ejecución.

Herramientas utilizadas

Para la administración de backups, de acuerdo a su plataforma, se utilizan las siguientes herramientas:

• IBM TSM (Tivoli Storage Manager) para la plataforma Intel. BiRtonsul
• BRMS (Backup, Recovery and Media) para la plataforma iSeries (AS400). $\bullet$

Frecuencia de ejecución

El Banco ha establecido frecuencias de resguardo diarias, semanales y mensuales, definiendo además un período de retención en cada caso.

Resquardos offsite

Los backups se resguardan en la cintoteca en el Centro de Cómputos en IBM y las segundas copias se resguardan en el proveedor AdeA.

Recuperación de resguardos

El Banco cuenta con un procedimiento de prueba de integridad de medios, realizando bimestralmente la verificación de resguardos.

4. Plan de confingencia

Banco Comafi cuenta con un Plan de Continuidad de Procesamiento (DRP) que contempla las acciones a llevar adelante en caso de interrupciones que pudieran afectar el normal funcionamiento de la aplicación SGM (Inversiones y Cambios).

Ante una contingencia en el centro de cómputos principal que afecte el funcionamiento de los sistemas, Banco Comafi cuenta con un centro alternativo de procesamiento para dar continuidad a la operatoria.

Asimismo, se verificó que durante el año 2018, se realizó la prueba del Plan de Continuidad de Procesamiento con resultados satisfactorios.