1 Alcance
2 Referencias
3 Definiciones
3.1 Términos definidos en otros documentos
3.2 Términos definidos en la presente recomendación
4 Abreviaturas, siglas o
acrónimos
5 Convenios
6 Introducción
7 Visión general de la
Recomendación UIT-T X.805
8 Modelos de negocio de los
proveedores de SFD
8.1 Modelo de negocio bancario
8.2 Modelo de negocio de MNO
8.3 Modelo MVNO
8.4 Modelo híbrido
9 Ecosistema SFD
9.1 Elementos de un ecosistema SFD para USSD, SMS,
IVR, STK y NSDT
9.1.1 Usuario/cliente
9.1.2 Dispositivo móvil
9.1.3 Estación base
9.1.4 Red móvil
9.1.5 Proveedor de SFD
9.1.6 Proveedores externos
9.1.7 Aplicación de servicios
financieros digitales
9.2 Elementos de un ecosistema SFD basado en
aplicaciones y monederos digitales
9.2.1 Dispositivo móvil
9.2.2 Comerciantes
9.2.3 Terminales de punto de venta
9.2.4 Proveedor de servicios de
testigo (TSP)
9.2.5 Adquiriente
9.2.6 Emisor
9.2.7 Proveedor de servicios de
monedero (WSP)
9.2.8 Proveedor de servicios de
pago (PSP)
10 Amenazas de seguridad
10.1 Amenazas a los SFD mediante USSD, SMS, IVR, STK
y NSDT
10.2 Amenazas al ecosistema SFD basadas en
aplicaciones y monederos digitales
11 Marco de garantía de la seguridad de los SFD
12 Proceso de gestión de riesgos de seguridad
12.1 Visión general
12.2 Establecer un contexto
12.3 Evaluación de riesgos
12.3.1 Identificación de riesgos
12.3.2 Análisis de riesgos
12.3.3 Evaluación de riesgos
13 Evaluación de los requisitos en materia de vulnerabilidades de
seguridad, amenazas y controles de mitigación de SFD
13.1 Amenaza: Secuestro de cuentas y sesiones
13.2 Amenaza: Ataques contra credenciales
13.3 Amenaza: Ataques contra sistemas y plataformas
13.4 Amenaza: Ataques de explotación de código
13.5 Amenaza: Uso indebido de los datos
13.6 Amenaza: Ataques de denegación de servicio
(DoS)
13.7 Amenaza: Ataques de usuarios internos
13.8 Amenaza: Ataques de intermediario (man-in-the-middle)
y de ingeniería social
13.9 Amenaza: Infraestructura de SFD comprometida
13.10 Amenaza: Ataques a la SIM
13.11 Amenaza: Servicios de SFD comprometidos
13.12 Amenaza: Acceso no autorizado a datos de los
SFD
13.13 Amenaza: Malware
13.14 Amenaza: Ataques de día cero
13.15 Amenaza: Dispositivos fraudulentos
13.16 Amenaza: Acceso no autorizado a dispositivos
móviles
13.17 Amenaza: Divulgación involuntaria de
información personal identificable
14 Gestión de incidentes de seguridad de los SFD
Anexo A Infraestructura detallada del ecosistema SFD y
amenazas
A.1 Cliente – dispositivo móvil
A.2 Dispositivo móvil – aplicación móvil
A.3 Cliente – agente de SFD
A.4 Dispositivo móvil – estación base
A.5 Dispositivo móvil – Internet
A.6 Estación base – estación de conmutación móvil –
pasarelas
A.7 Red móvil – operador de SFD
A.8 Operador de SFD – tercero
Anexo B Componentes y recomendaciones esenciales
adicionales para los futuros trabajos
Apéndice I Plantilla de prácticas
idóneas de seguridad de las aplicaciones
I.1 Integridad de dispositivos y aplicaciones
I.2 Seguridad de las comunicaciones y gestión de
certificados
I.3 Autentificación del usuario
I.4 Tratamiento seguro de los datos
I.5 Desarrollo seguro de aplicaciones
Bibliografía