El funcionamiento del Sistema Nacional de Compensación Electrónica (en adelante SNCE) consiste, básicamente, en: a) El tratamiento de la información representativa de los documentos, medios de pago o transmisión de fondos que, teniendo el carácter de operaciones interbancarias, son compensables en el SNCE; b) el tratamiento de la información correspondiente a la compensación y liquidación de dichas operaciones, y c) el intercambio de ambos tipos de información en la red que, unidos todos con todos mediante líneas de telecomunicación, forman los centros de proceso de las entidades miembros del SNCE autorizadas a participar en él como asociadas (en adelante, entidades o entidad) más el del Banco de España.
De conformidad con la naturaleza del SNCE, recogida en la norma segunda de su Reglamento (circular del Banco de España 8/1988, de 14 de junio), tanto el tratamiento de la información del SNCE como el intercambio de ésta se lleva a cabo, básicamente, con medios automatizados, residentes, unos, en los centros de proceso de las entidades, incluido el del Banco de España; otros, exclusivamente en este último, y otros, finalmente, en las instalaciones propias de los suministradores de las líneas de telecomunicación.
La naturaleza de los medios que se utilizan para el tratamiento de la información en el SNCE y, principalmente, el carácter abierto de la red que se establece para su intercambio exigen el recurso a unos métodos y técnicas de criptografía y seguridad que deban garantizar la completa confidencialidad e inviolabilidad de dicha información; métodos y técnicas que han de estar, asimismo, basados en medios automatizados, residentes éstos, exclusivamente, en los propios centros de proceso de las entidades y en el del Banco de España.
Es, por tanto, fundamental que el conjunto de normas a partir de las cuales se deben desarrollar los medios automatizados en que se basen los métodos y técnicas de criptografía y seguridad que se utilizan en el SNCE sea accesible, en su integridad, tan sólo a un número limitado de personas: Aquellas que en cada una de las entidades tienen que utilizar el referido conjunto para implantar y poner en funcionamiento dichos medios, y aquellas otras que, idénticas o distintas a las anteriores, sean responsables de su utilización.
Es por ello por lo que esta circular se limita a recoger los aspectos sustantivos del conjunto de normas, mientras difiere la publicación de los aspectos procedimentales del mismo a unas Instrucciones Operativas complementarias (en adelante las Instrucciones), cuya distribución se efectuará de acuerdo con lo que dispone también la circular.
De conformidad con cuanto antecede, y en el ejercicio de las facultades que en la materia tiene conferidas, el Banco de España ha dispuesto que la criptografía y seguridad para la protección de la información en el SNCE se regirán por lo dispuesto en la presente circular y en sus Instrucciones.
TITULO I
Objeto y contenido de la Norma SNCE-002
Norma primera. Objeto.
La Norma SNCE-002 del SNCE contiene las normas sobre criptografía y seguridad para el establecimiento y celebración de sesiones entre los centros de proceso de las entidades, a las que dichos centros deben ser sometidos con el fin de proteger y asegurar la integridad y confidencialidad de la información correspondiente a los diferentes subsistemas del Sistema Nacional de Intercambios y al Sistema Nacional de Liquidación.
Norma segunda. Contenido.
La Norma SNCE-002 está formada por el título II de esta circular, en el cual se recogen los que se identifican expresamente como aspectos sustantivos de la Norma (medios técnicos, servicios de criptografía, técnicas de criptografía y responsables personales), y por las Instrucciones, de carácter estrictamente confidencial, cuyo ejemplar original y copias autorizadas obtenidas a partir de este deben someterse a unas reglas específicas de confección, custodia y distribución, que se describen en el título III de esta circular.
TITULO II
Aspectos sustantivos de la Norma SNCE-002
Norma tercera. Medios técnicos.
Dentro del marco general de disponibilidad de los medios técnicos adecuados que la norma undécima del Reglamento del SNCE exige a las entidades, en el ámbito concreto de la criptografía y seguridad para las transmisiones entre los centros de proceso que dichas entidades utilizan para su participación, se deben satisfacer los siguientes requisitos:
Contar con el equipamiento informático que, mediante las Instrucciones específicas correspondientes del SNCE, haya sido homologado para su utilización es este.
Contar con el soporte de «software» informático necesario para la realización de los servicios y técnicas de criptografía que se enumeran en las normas cuarta y quinta.
Norma cuarta. Servicios de criptografía.
Los servicios de criptografía que se proporcionan son los siguientes:
Identificación de los centros de proceso.
Validación de la información intercambiada.
Cifrado de la información intercambiada.
La realización de estos servicios de criptografía se llevará a cabo de conformidad con lo establecido en las instrucciones.
Norma quinta. Técnicas de criptografía.
Las técnicas que se utilizan para la realización de los servicios de criptografía se basan en la combinación de los siguientes elementos:
Algoritmos de cifrado/descifrado de datos.
Algoritmos de generación, cifrado y nuevo cifrado de claves criptográficas.
Esquema de claves criptográficas.
La identificación de los algoritmos y su utilización, así como el funcionamiento del esquema de claves, se describen en las Instrucciones.
Para una adecuada gestión de las claves, los centros de proceso deberán disponer, además de los medios técnicos especificados en la norma tercera, de una aplicación informática homologada para su utilización en el SNCE, que garantice la generación, protección, confidencialidad y eventual recuperación de las claves, sin que ninguna persona pueda conocerlas o manipularlas.
Norma sexta. Responsables personales.
Por cada centro de proceso, la entidad que lo utilice deberá designar a los responsables de las funciones correspondientes a la operativa del esquema de claves criptográficas.
El contenido de estas funciones, así como la atribución de las mismas a los distintos responsables que se designen, se describe en las Instrucciones.
La importancia fundamental del esquema de claves en el funcionamiento seguro de la Norma SNCE-002 exige que su nivel de protección sea máximo, por lo que tales funciones deberán ser responsabilidad directa de personal de gran confianza dentro de cada entidad.
Si una entidad cuenta para su participación con más de un centro de proceso homologado en el SNCE, podrá designar a las mismas personas para realizar las mismas funciones en todos sus centros.
Por otra parte, cada entidad deberá designar a una persona responsable de la custodia de su correspondiente copia confidencial de las Instrucciones, de acuerdo con lo que se establece en el título III de esta circular.
TITULO III
Reglas específicas de custodia y distribución de las Instrucciones Operativas Complementarias de la Norma SNCE-002
Norma séptima. Protección y seguridad de las Instrucciones.
Dado su carácter estrictamente confidencial, la custodia del ejemplar original de las Instrucciones y la confección, distribución y custodia de copias autorizadas del mismo se someterán estrictamente a lo dispuesto en este título.
Norma octava. Ejemplar original de las Instrucciones.
El ejemplar original de las Instrucciones se custodiará por el Banco de España, bajo medidas estrictas de protección que impidan el acceso de personal no autorizado a dicho ejemplar.
Norma novena. Copias-facsímiles.
A partir del ejemplar original de las Instrucciones, el Banco de España confeccionará tan sólo las copias-facsímil del mismo que sean necesarias, considerándose como tales la primera copia, que obrará en poder de su oficina de informática y organización, y las que correspondan a las entidades, exclusivamente una copia por cada una de ellas.
A cada copia-facsímil se le adjudicará un número, que servirá para identificar debidamente, en el Registro especial que llevará el Banco de España, la entidad a la que se le entregue.
Norma décima. Obtención de copias-facsímil.
Toda entidad recibirá una copia-facsímil de las instrucciones cuando se dirija al Banco de España en solicitud de homologación de su centro de proceso como centro participante en el SNCE, siempre con la antelación suficiente al inicio de las pruebas de homologación que, a tal efecto, estén establecidas, para la realización de las cuales es requisito imprescindible el suficiente conocimiento previo de la Norma SNCE-002 en su integridad.
En el caso de no superar dichas pruebas, la entidad efectuará la devolución de la copia-facsímil recibida al Banco de España, que procederá a su inmediata destrucción, acto al cual la entidad podrá asistir.
Norma undécima. Entrega de copias-facsímil.
La entrega se efectuará en los locales del Banco de España, bien en su sede central, bien en cualquiera de sus sucursales, a elección de la entidad receptora.
La representación de la entidad receptora en el acto de entrega la ostentará necesariamente una de las personas que aquélla haya designado como sus representantes en su contrato de adhesión al SNCE; dicha persona deberá identificarse a entera satisfacción del representante del Banco de España en el acto.
La entrega tendrá lugar en el día y hora previamente acordados, suscribiendo ambas partes, debidamente cumplimentado, documento según modelo que figura en el anejo I.
Norma duodécima. Reproducción de las copias-facsímil.
La entidad titular de una copia-facsímil podrá confeccionar, a partir de ésta, el número de duplicados que considere estrictamente necesario para difusión exclusivamente interna en su organización, debiendo responsabilizarse del riguroso control de todos ellos; en especial, de que no sean accesibles a personas no autorizadas y de que no sean copiados, transcritos o transferidos a otro soporte de información a partir del cual se puedan, a su vez, obtener nuevos duplicados.
Norma decimotercera. Nuevas versiones de las Instrucciones.
Cuando se produzcan modificaciones de las Instrucciones que requieran la edición de una nueva versión de las mismas, se entregará una copia-facsímil de esa nueva versión a todas las entidades que ostenten la titularidad de una copia-facsímil de la versión anterior, siguiéndose para ello el procedimiento establecido en la norma undécima, con la particularidad adicional de que, en el acto de entrega, la entidad receptora tendrá que devolver la copia-facsímil de la versión anterior de las Instrucciones al Banco de España, que procederá a su inmediata destrucción.
Norma decimocuarta. Bajas o cambios en la forma de participación.
Cuando una entidad deje de participar como asociada en el SNCE, tendrá que devolver la copia-facsímil de las Instrucciones que obre en su poder al Banco de España que procederá a su inmediata destrucción, acto al cual la entidad podrán asistir.
Norma decimoquinta. Devolución de copias-facsímil.
La devolución y consiguiente destrucción de toda copia-facsímil, previstas en las normas décima, decimotercera y decimocuarta, se harán constar mediante diligencia escrita al dorso del documento que en su día se utilizó para la entrega de aquélla, suscrita por ambas partes y debidamente cumplimentada, en la que la entidad que efectúa la devolución declarará, bajo su responsabilidad, haber destruido todos los duplicados efectuados de su copia-facsímil, y todos los medios automatizados elaborados a partir de ella.
Las formalidades de lugar, día y hora, representación e identificación en el acto de devolución se realizarán de acuerdo con lo que se dispone al respecto en la norma undécima.
Norma decimosexta. Comunicación de incidencias.
Las entidades comunicarán a la Unidad Administrativa del SNCE, del Banco de España, cualquier incidencia relacionada con la Norma SNCE-002 que detecten y que afecte o pueda afectar al SNCE, inmediatamente después de que la incidencia se produzca.
TITULO IV
Régimen de infracciones y sanciones
Norma decimoséptima. Infracciones a lo dispuesto en la presente circular y en sus Instrucciones, constitutivas de la Norma SNCE-002.
De acuerdo con lo dispuesto en el anejo II del Reglamento del SNCE, el quebrantamiento de las reglas de seguridad y secreto del SNCE, de las cuales forma parte fundamental la Norma SNCE-002, tendrá la consideración de infracción muy grave, con los efectos prevenidos en dicho anejo II y demás disposiciones contenidas en el Reglamento.
Norma decimoctava. Derogatoria.
Queda derogada la circular 6/1990, de 28 de marzo.
Norma decimonovena. Entrada en vigor.
La presente circular entrará en vigor el día de su publicación en el «Boletín Oficial del Estado».
Madrid, 29 de marzo de 1996.-EL Gobernador, Luis Angel Rojo Duque.
ANEJO I
En Madrid, a
Don , con documento nacional de identidad número , que actúa en representación, debidamente acreditada, de la entidad (consígnese la razón social completa) , miembro del Sistema Nacional de Compensación Electrónica (SNCE), recibe, con esta fecha, del Banco de España, el documento en el que se contienen las Instrucciones Operativas Complementarias de la circular del Banco de España 5/1996, sobre criptografía y seguridad para las transmisiones entre centros de proceso dentro del SNCE, versión de fecha de de 199, ejemplar número
Con el objeto de garantizar la confidencialidad de las citadas Instrucciones operativas Complementarias, en cumplimiento de lo establecido en la estipulación quinta del contrato de adhesión al SNCE, don , en nombre y representación de , se obliga a limitar la circulación de dichas instrucciones a las personas de su organización que, por virtud de su cargo, tengan necesariamente acceso a la operativa del SNCE, constituidas, fundamentalmente, por el Responsable de la clave maestra y por el Administrador de claves de intercambio.
Con independencia de la consideración como infracción muy grave del quebrantamiento de las reglas de seguridad y secreto del SNCE, fijadas en el contrato de adhesión al mismo y en la circular del Banco de España 8/1988, de 14 de junio, la entidad será responsable directa de cualquier perjuicio que pudiera derivarse para los miembros del SNCE, como consecuencia del incumplimiento de su deber de custodia de las Instrucciones Operativas Complementarias de la circular del Banco de España 5/1996, si se produjera el acceso a las mismas por personas no autorizadas, o éstas actuaran de forma distinta a la expresada en dicho documento.
Por la entidad receptora, / Por el Banco de España,
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid