Libro V, Título III, Letra A Proceso de Servicio de las Administradoras de Fondos de Pensiones
Capítulo IV. Mecanismos de Autentificación
Materias asociadas: Agencia / Centro de Servicio
1. Normas generales
a) La Administradora deberá definir para efectos de la identificación de afiliados y usuarios en los distintos canales de servicio, mecanismos de autenticación seguros, los que tienen por objetivo individualizar en forma inequívoca al afiliado o trabajador, titular de una cuenta personal y de esta forma mitigar el riesgo de suplantación de identidad y/o fraude.
b) Estos mecanismos de identificación deben considerar al menos dos factores de autenticación y deben permitir individualizar a los afiliados y usuarios en los canales presenciales y remotos que la Administradora implemente.
c) La Administradora podrá establecer los mecanismos de autentificación adecuados en relación con su apetito y tolerancia al riesgo. Sin embargo, en los procedimientos que implemente deberá considerar al menos lo siguiente:
i. La validación en línea de la Cédula Nacional de Identidad del afiliado o trabajador o usuarios, contra el Servicio de Registro Civil e Identificación, debiendo verificarse si está vigente, no ha sido bloqueada y si la persona está viva.
ii. El establecimiento de una Clave Única de Identificación o Contraseña de Identificación para las operaciones que no involucran transferencia de fondos.
iii. Cuando se requiera efectuar transacciones que impliquen movimientos de recursos financieros, se exige el uso adicional de un mecanismo de autentificación que considere los análisis de riesgo y técnicos que correspondan, pudiendo utilizarse múltiples mecanismos cuyo nivel de riesgo haya sido aceptado por el Directorio de la Administradora, tales como: Clave de Seguridad, Desafío de Preguntas, Firma Electrónica simple o avanzada, a que se refiere la Ley N° 19.799 y su Reglamento; Identificación Biométrica, Clave Única emitida por al Registro Civil e Identificación u otro mecanismo que cumpla con estándares de seguridad adecuados para la autenticación del usuario y para la autorización de las transacciones que éste realice. Se entenderá por Firma Electrónica aquélla a que se refiere la Ley N° 19.799 y su Reglamento.
d) La Administradora podrá implementar procedimientos de generación de la Clave de Seguridad de acuerdo con la tecnología existente en el mercado, pudiendo ser un dispositivo de autentificación de generación o asignación dinámica u otros mecanismos de identificación digital. Cualquiera sea el mecanismo deberá ser presentado a esta Superintendencia para su evaluación, adjuntando un informe con sus especificaciones técnicas y los análisis de riesgo efectuados por la Administradora.
e) La Administradora deberá establecer los procedimientos que permitan validar en el sitio web o en los otros canales digitales o remotos los mecanismos de identificación del usuario.
2. Mecanismos de autentificación en el sitio web
a) Para realizar cualquier operación que involucre transferencia, movimiento o retiros de fondos, los usuarios deberán operar con mecanismos de seguridad que permita su identificación y la autorización de las transacciones que están realizando, según lo definido en el número 3 precedente.
b) Los mecanismos de seguridad implementados por las Administradoras no significarán un costo para los usuarios.
c) Las Administradoras deberán procurar poner a disposición de los afiliados y usuarios distintos mecanismos de seguridad, de modo de facilitar la realización de transacciones por parte de éstos.
d) Las Administradoras deberán adoptar todas las medidas técnicas, administrativas y legales que garanticen la máxima seguridad en el uso de estos mecanismos.
e) En aquellos casos en que el trabajador efectúe operaciones que requieran estos mecanismos de seguridad y no los tenga activados, la Administradora deberá informar el procedimiento para ello.
f) Con el objeto de dar más seguridad a los afiliados y usuarios que operan a través del sitio, las Administradoras podrán hacer extensivo el uso de los mecanismos de seguridad, a operaciones que no involucren transferencia, movimiento o retiro de fondos.
g) La entrega e implementación de la Firma Electrónica deberá ceñirse a los procedimientos señalados en la Ley N° 19.799 y su Reglamento.
h) Para la identificación biométrica, la Administradora debe establecer procedimientos que permitan validar la identificación del afiliado y usuario a través de un tercero, como ente certificador confiable.
3. Clave de Seguridad
a) Los trabajadores podrán solicitar la Clave de Seguridad en la Administradora donde se encuentran incorporados. A su vez, los empleadores deberán requerirla en la Administradora donde necesiten operar.
b) Los mecanismos de entrega de la Clave de Seguridad y los resguardos para garantizar la entrega en forma segura y la autenticación del usuario son responsabilidad de la Administradora.
c) Los trabajadores podrán también solicitar la Clave de Seguridad en una Administradora donde no registren afiliación vigente, sólo para efectos de suscribir una Solicitud de Traspaso de Fondos en el sitio web. Para solicitar esta clave en este caso, se requiere la autenticación del usuario, la cual deberá realizarse a través de la identificación biométrica o la Firma Electrónica. Una vez realizado el traspaso, la referida clave operará con todas las funcionalidades de la Clave de Seguridad.
d) La solicitud y entrega de la Clave de Seguridad podrá efectuarse en forma presencial a través de las dependencias de atención de público, centros de servicios y en módulos de auto-atención, o en forma remota, a través del sitio web o Centro de Atención Telefónico de la Administradora.
e) La entrega presencial de la Clave de Seguridad fuera de las dependencias de atención de público de la Administradora podrá realizarse a través de un representante de ésta, inscrito en el Registro de Agentes de Venta y Personal de Atención de Público, o por medio de una empresa con la cual la Administradora mantenga un contrato de prestación de servicios para dichos efectos, en los términos definidos en la Letra A, del Título V, del Libro V sobre contratación de servicios por las Administradoras de Fondos de Pensiones. Cualquiera sea el procedimiento de entrega personal de la Clave de Seguridad, deberá dejarse constancia escrita de su recepción.
f) Las Administradoras deberán hacer entrega inmediata de la Clave de Seguridad si se solicita en forma presencial. Si se solicita en forma remota, deberá entregarse en línea, disponiendo de procedimientos que permitan al afiliado o usuario, realizar la operación en forma autónoma y recibir la clave en forma inmediata.
g) Para autorizar el uso de la Clave de Seguridad, los afiliados deberán suscribir previamente con la Administradora que se las entregará, un contrato en el cual se dejará constancia expresa de la obligación de utilizar este mecanismo de seguridad en forma personal, haciéndose responsables de cualquier uso que un tercero haga de ella.
h) La suscripción del contrato fuera de las dependencias de atención de público de la Administradora podrá realizarse con la intermediación de un representante de aquélla, inscrito en el Registro de Agentes de Venta y Personal de Atención de Público, o de una empresa con la cual la Administradora mantenga un contrato de prestación de servicios.
i) El formato del contrato debe contener en forma destacada las cláusulas que se refieren a la responsabilidad por el uso de la Clave de Seguridad.
j) Cuando la Administradora implemente procedimientos que permitan al solicitante crear su Clave de Seguridad en forma remota, podrá también permitir que conjuntamente se suscriba el contrato a que se refiere el número anterior.
k) Cuando se solicite la Clave de Seguridad en forma remota, la Administradora deberá implementar procedimientos que permitan que la suscripción del contrato se realice en forma segura.
l) Para efectos de suscripción del contrato en el sitio, éste deberá contener una opción que permita al trabajador aceptarlo en forma explícita, operación que deberá tener un respaldo auditable en los sistemas de información que soportan las transacciones que se realizan en el sitio.
m) Las Administradoras podrán contratar los servicios de una o más entidades externas para la emisión y entrega de la Clave de Seguridad, debiendo para ello suscribir un contrato de prestación de servicios en los términos que establece la Letra A, del Título V, del Libro V sobre contratación de servicios. En los contratos deberán incorporarse cláusulas especiales referidas a la obligación de dichas entidades externas de celebrar contratos de idénticas características en cuanto a precio, servicio, plazos y demás estipulaciones, con cualquier Administradora. También deberán establecerse cláusulas que garanticen la entrega de la Clave de Seguridad a través de un procedimiento en que se autentifique la identidad de la persona que la recibe.
n) Las Administradoras serán responsables de diseñar procedimientos que permitan certificar la entrega personal de la Clave de Seguridad al usuario, debiendo comprobarse en el momento de dicha entrega la identidad de éste, de tal forma de evitar adulteración, copia o uso indebido.
o) Como medida de seguridad para validar la identidad de quien está realizando la primera operación con la Clave de Seguridad (activación), la Administradora en la que se esté efectuando dicha operación deberá solicitar al usuario, información que pueda ser verificada en ese mismo momento.
p) La Administradora podrá hacer entrega de la Clave de Seguridad y suscribir el contrato con un tercero distinto del solicitante, siempre que haya sido autorizado por éste a través del otorgamiento de un poder especial para estos fines, firmado ante notario.
q) Adicionalmente, la Administradora deberá hacer entrega de la Clave de Seguridad con la suscripción personal de las Solicitudes de Incorporación y los Formularios Órdenes de Traspaso Irrevocables. Al respecto, en caso de traspaso y antes de emitir una nueva clave, la Administradora deberá comprobar con el proveedor de los servicios encargado de emitirla, que el afiliado no cuente con una activa. Esto último, a objeto de impedir que sea invalidada por una nueva emisión.
r) La suscripción de la Solicitud de Incorporación u Orden de Traspaso no podrá ser rechazada si el trabajador no acepta la recepción de la Clave de Seguridad conjuntamente con su incorporación a la Administradora. En este caso, se debe adjuntar al documento de incorporación un comprobante en que el trabajador rechace por escrito la recepción de la Clave de Seguridad, exponiendo los motivos de su decisión.
s) Conjuntamente con la entrega de Clave de Seguridad, la Administradora deberá poner a disposición del trabajador un instructivo claro y conciso de los pasos a seguir para activarla y la descripción de las operaciones que se pueden realizar con ella, información que también deberá estar disponible en el sitio web y a través de folletos informativos en las dependencias de atención de público.
t) El sitio deberá contar con medios que garanticen la confidencialidad en el uso de la Clave de Seguridad.