1

Banco de la República Bogotá D. C., Colombia

Dirección General de Tecnología

REQUERIMIENTOSTÉCNICOS Y DE CONTINGENCIA PARA LA CONEXIÓNA LOS SERVICIOS ELECTRÓNICOS D E L

BANCO DE LA REPÚBLICA - SEBRA

Agosto de 2020

Versión 4.2

2

Tabla de contenido Tabla de contenido ............................................................................................................................ 2

1. INTRODUCCIÓN ................................................................................................................... 3

1.1. OBJETO .................................................................................................................................... 3

1.2. ALCANCE ............................................................................................................................... 3

1.3. AUDIENCIA ............................................................................................................................ 4

2. INFORMACIÓN GENERAL ................................................................................................. 5

2.1. SERVICIOS SEBRA ............................................................................................................... 5

2.2. INFRAESTRUCTURA BÁSICA PARA CONEXIÓN DE UNA ENTIDAD ................... 6

2.3. ANCHOS DE BANDA MÍNIMOS REQUERIDOS ............................................................ 7

2.4. PROVEEDORES AUTORIZADOS ...................................................................................... 8

2.5. ESPECIFICACIONES TÉCNICAS PARA LAS ESTACIONES CLIENTE .................... 9

3. ESQUEMAS DE INTERCONEXIÓN A LOS SERVICIOS SEBRA .............................. 11

3.1. UNA SOLA ESTACIÓN ...................................................................................................... 11

3.2. DOS O MAS ESTACIONES ................................................................................................ 11

3.3. VARIAS ESTACIONES DISTRIBUIDAS DENTRO DE LA RED LOCAL ................. 11

3.4. VARIAS ESTACIONES DISTRIBUIDAS EN SEDES REMOTAS ............................... 12

4. ASIGNACIÓN DE DIRECCIONAMIENTO IP ................................................................ 16

5. ESTRATEGIAS DE CONTINGENCIA .............................................................................. 17

5.1. CONDICIONES GENERALES ........................................................................................... 17

5.2. ALTERNATIVAS DE CONTINGENCIA TECNOLOGICA EN BOGOTÁ .................. 17

5.3. ALTERNATIVAS DE CONTINGENCIA OPERATIVA ................................................. 19

5.4. ESQUEMA DE NOTIFICACIONES .................................................................................. 20

5.5. CRISIS TECNOLOGICA EN CASO DE DESASTRE QUE AFECTE LOS DOS NODOS DE BOGOTÁ.......................................................................................................... 20

5.6. TOKEN ADICIONAL PARA USUARIO ........................................................................... 21

6. Control de Cambios ............................................................................................................... 22

3

1. INTRODUCCIÓN

1.1. OBJETO Este documento presenta los conceptos técnicos y de contingencia que deben ser tenidos en cuenta por parte de las áreas de tecnología y operativas de las entidades autorizadas en el momento de implementar una infraestructura tecnológica para el acceso a los servicios electrónicos prestados por el Banco de la República denominados SEBRA o hacer uso de alternativas de contingencia. Todos estos servicios comparten una plataforma única de acceso denominada “Portal SEBRA”.

1.2. ALCANCE El presente documento recopila todos los pasos conceptuales que el Banco de la República considera necesarios para el correcto funcionamiento del esquema, sin embargo, no especifica los mecanismos o procedimientos requeridos para realizar la configuración de los diferentes equipos instalados en el cliente. El procedimiento de análisis, selección de la topología, instalación y configuración de los equipos es responsabilidad del área de tecnología de cada entidad autorizada.

El Banco de la República estará atento a resolver, de forma telefónica o vía email por intermedio de su Centro de Soporte Tecnológico1, las dudas relacionadas con los conceptos incluidos en este documento. Este servicio no incluye el soporte técnico a los equipos de propiedad de cada entidad, el cual es responsabilidad de las áreas de tecnología respectivas.

Las alternativas propuestas en este documento han sido preparadas por la Dirección General de Tecnología y buscan facilitar la implementación y funcionalidad de los esquemas de comunicación entre las entidades financieras y el Banco de la República.

1 email: soporteinformatico@banrep.gov.co; teléfono (+1) 3431000

4

1.3. AUDIENCIA Este documento está dirigido a: A. Las áreas de tecnología y operativas de las entidades autorizadas que desean utilizan los

servicios electrónicos prestados por el Banco de la República - SEBRA. B. Las áreas de la Dirección General de Tecnología del Banco de la República:

□ Departamento de Tecnología Informática

□ Departamento de Sistemas de Información

□ Departamento de Seguridad Informática

□ Departamento de Servicios de Tecnología Informática

5

2. INFORMACIÓN GENERAL

Para implementar un esquema de comunicaciones que integre la plataforma de red propia de una entidad autorizada con los equipos específicos para la conexión a los servicios SEBRA es necesario realizar un análisis de las necesidades de cada entidad. Se deben tener en cuenta la cantidad de estaciones cliente, su ubicación dentro de la entidad, el volumen de operaciones, entre otros factores. Todos estos elementos hacen que el diseño de la solución sea un proceso que requiere de un conocimiento amplio en el tema de redes de datos y telecomunicaciones. Para comprender las implicaciones de la conexión al “Portal SEBRA” es importante conocer primero los esquemas básicos de conexión para posteriormente determinar las necesidades de cada entidad y decidir si se requiere un esquema de integración de redes.

2.1. SERVICIOS SEBRA

Los diferentes servicios electrónicos prestados por el Banco de la República que requieren una infraestructura de redes y seguridad que garantice la comunicación segura y eficiente entre las diferentes estaciones de usuarios y los servidores centrales de dichas aplicaciones son:

CEDEC (Compensación Electrónica de Cheques)

CENIT (Compensación Electrónica Nacional Interbancaria)

CUD (Cuentas de Depósito)

ANTARES (Registro de Operación de Pago a Bancos)

DCV (Depósito Central de Valores)

GTA (Gestión de Transferencia de Archivos)

MOTOR DE PAGOS

SEN (Servicio Electrónico de Negociación)

SUBASTAS

STA (Servicio de Transferencia de Archivos de Seguridad Social)

Portal Gestión de Identidades

6

2.2. INFRAESTRUCTURA BÁSICA PARA CONEXIÓN DE UNA ENTIDAD

La infraestructura básica que requiere una entidad para conectarse a los servicios electrónicos del Banco de la República se ilustra en la gráfica 1.

GRAFICA 1. Infraestructura básica de conexión a los servicios SEBRA

La descripción de cada elemento se presenta a continuación:

2.2.1 Enlace entre la sede de la entidad financiera y la sede del Banco de la República

Este es un enlace dedicado que se contrata con uno de los proveedores de servicios de telecomunicaciones autorizados que cuentan con infraestructura para llegar al Banco de la República.

2.2.2 Equipo de enrutamiento

Este equipo realiza la conexión lógica, a nivel de protocolo IP, entre la subred de la entidad y la red central del Banco de la República, a través del canal de comunicación previamente descrito. Este equipo puede ser de propiedad de la entidad o suministrado por el proveedor del enlace en calidad de arriendo como parte del servicio.

7

2.2.3 Segmento de red local

Es la porción de la red de datos de la entidad autorizada que interconecta los computadores o estaciones cliente con los equipos de telecomunicaciones y seguridad antes mencionados. Cuando se habla de un segmento de red local, este puede corresponder a un simple cable de red UTP entre un solo computador y el equipo de enrutamiento o puede involucrar varios equipos de red que hacen parte de la infraestructura propia de la entidad.

El direccionamiento para este segmento es asignado por el Banco de la República y debe ser solicitado por el cliente al Centro de Soporte Tecnológico del Banco de la República. En la sección 4 se detalla el procedimiento para la solicitud del direccionamiento.

La complejidad del segmento de red local estará determinada por las mismas necesidades de la entidad en lo relacionado con el número de estaciones, ubicación física de los usuarios, políticas de seguridad de la empresa, etc.

2.2.4 Software estaciones cliente (PC)

Todas las estaciones que utilizan los servicios electrónicos que presta el Banco de la República deben tener un navegador (browser) instalado que realiza todo el proceso de autenticación de los usuarios ante un servidor central mediante un esquema SSL. El servidor central, junto con los diferentes aplicativos que garantizan la autenticación de los usuarios en el momento de ingreso y que sirven como interfaz única para todas las aplicaciones es denominado “Portal SEBRA”. En la sección 2.5 se detallan las especificaciones mínimas de las estaciones (PC) cliente.

2.3. ANCHOS DE BANDA MÍNIMOS REQUERIDOS

La capacidad requerida por cada entidad depende del número de estaciones y el tipo de servicio utilizado. De acuerdo con las mediciones hechas a la fecha de publicación de este documento, a continuación, se establecen los anchos de banda mínimos recomendados.

El Banco de la República estará atento a determinar los requerimientos de ancho de banda vigentes para cada servicio y publicará las actualizaciones necesarias de este documento.

2.3.1 Conexiones a Servicios SEBRA (excepto SEN):

- De uno a tres estaciones: 512Kbps.

- De cuatro a seis estaciones: 768Kbps.

8

- De siete hasta 10 estaciones: 1Mbps (1024Kbps).

- Más de 10 estaciones: 2Mbps.

2.3.2 Para la conexión de estaciones que utilizan el sistema SEN:

Se debe contar con una capacidad de mínimo 256Kbps por cada MC en el cliente que utilice el mismo canal. Si por razones de redundancia una entidad desea instalar un segundo MC de contingencia sobre el mismo canal, es necesario adicionar un mínimo de 128 Kbps al ancho de banda del canal.

2.3.3 Para la conexión de los Operadores de Información

Se debe contar con un canal con capacidad mínima de 2 Mbps.

Para todos los casos anteriores se recomienda como una “buena práctica” que el área de tecnología de cada entidad cuente con las herramientas, propias o de su proveedor de telecomunicaciones, necesarias para llevar un registro en línea del nivel de utilización de cada enlace. Este registro se puede utilizar para verificar que la utilización promedio de cada enlace se mantenga por debajo del 80% de su capacidad máxima. Mantener este margen de operación permite contrarrestar efectos de picos de tráfico que pueden causar una saturación del canal, lo que se refleja en una degradación de los tiempos de respuesta que experimentan los usuarios.

2.4. PROVEEDORES AUTORIZADOS

En la actualidad se puede contratar con cualquiera de los siguientes proveedores autorizados:

□ CENTURY LINK

□ CLARO

□ ETB

□ UNE

□ COLUMBUS

9

2.5. ESPECIFICACIONES TÉCNICAS PARA LAS ESTACIONES CLIENTE

Para la conexión a SEBRA, una estación debe cumplir con los siguientes requisitos básicos

mínimos:

2.5.1 Estaciones SEBRA, EXCEPTO SEN

A. Hardware mínimo: 8 GB de RAM, procesador Intel Core i5 sexta generación o su equivalente similar en otras marcas, y espacio en disco duro que requiera el funcionamiento del sistema operativo más las aplicaciones específicas a instalar.

B. Sistema Operativo: Windows 10 Versión 1909.

C. Antivirus actualizado.

D. Resolución de Monitor: Se recomienda pantalla a una resolución de 1024 x 768.

E. Software:

□ Navegador Web Internet Explorer 11, que soporte SSL v.3 y cifrado a 128 bits

□ Plug-in de Java (JRE) versión 1.8.251.

F. Configuración del browser:

□ Habilitar vista de compatibilidad y agregar el dominio banrep.gov.co a los sitios de confianza.

G. Java

□ Habilitar complementos de java.

2.5.2 Estaciones SEN (MC y operación)

A. Hardware mínimo para Monitor de Comunicaciones (MC)

□ Hasta 5 estaciones de operación:

i. Procesador Intel Core i3, sexta generación o su equivalente similar en otras marcas.

ii. 8 GB de RAM

□ Entre 6 y 25 estaciones de operación:

10

i. Procesador Intel Core i5, sexta generación o su equivalente similar en otras marcas.

ii. 8 GB de RAM

□ Más de 25 estaciones de operación:

i. Procesador Intel Core i7, o su equivalente similar en otras marcas.

ii. 16 GB de RAM

B. Hardware mínimo para estaciones de operación:

i. Procesador Intel Core i3, sexta generación o su equivalente similar en otras marcas.

ii. 4 GB de RAM

C. Sistema Operativo estaciones de operación: Windows 10 Versión 1909.

D. Antivirus actualizado en las estaciones de operación.

E. Software MC:

□ Microsoft SQL Server 2005/2008/2008 R2 (Recomendado), cualquier edición.

□ Alternativa con Paradox (BDE) pero se recomienda SQL Server. □ Internet Explorer 11, Google Chrome 52 o superior.

11

3. ESQUEMAS DE INTERCONEXIÓN A LOS SERVICIOS SEBRA

En general, puede existir un sinnúmero de arquitecturas de conexión en las redes LAN de los clientes dependiendo del diseño e implementación propia. A continuación, se presentan algunos esquemas sobre los cuales se puede implementar la conexión en el lado del cliente:

3.1. UNA SOLA ESTACIÓN

El esquema más sencillo corresponde a una entidad que sólo tiene una estación cliente de los servicios del Banco. En este caso puede tenerse una conexión directa por medio de un cable de red (cruzado) entre la estación y la interfaz del equipo de enrutamiento.

3.2. DOS O MAS ESTACIONES

Cuando una entidad tiene dos o más estaciones, ubicadas en una misma oficina y aisladas del resto de la red corporativa, estas pueden ser conectadas directamente a un switch que las interconecta con la interfaz del equipo de enrutamiento.

3.3. VARIAS ESTACIONES DISTRIBUIDAS DENTRO DE LA RED LOCAL

Cuando las estaciones están distribuidas en diferentes pisos de un mismo edificio se puede aprovechar la infraestructura de cableado estructurado de la entidad para extender hacia cada oficina los puntos de red del switch mencionado en el numeral anterior. En el caso de entidades que tienen estaciones distribuidas en un mismo edificio, o en diferentes edificios que están interconectados por una infraestructura de switches, se puede utilizar la funcionalidad estándar IEEE 802.1Q (VLANs), para transportar las conexiones de las diferentes estaciones con el segmento de red que conecta al equipo de seguridad. En este caso las estaciones que se conectan a los servicios electrónicos del Banco deben aislarse a nivel lógico, de las demás estaciones de la entidad financiera. La gráfica 2 ilustra este tipo de topología.

12

Gráfica 2. Varias estaciones distribuidas dentro de la LAN

3.4. VARIAS ESTACIONES DISTRIBUIDAS EN SEDES REMOTAS

Existen entidades que, debido a sus necesidades, cuentan con varias estaciones cliente ubicadas en sedes remotas, localizadas incluso en diferentes ciudades e interconectadas a través de enlaces WAN o Internet. En estos casos se hace necesario implementar un esquema de comunicaciones que conecte las estaciones a través de la red corporativa central que tenga la entidad de la misma manera en que están conectadas a los servicios propios de la organización tales como correo electrónico, Internet, Intranet, File Server, entre otros. Estas estaciones deberán estar cobijadas por las políticas de seguridad en redes propias de la entidad financiera con el fin de evitar que personas externas a la organización aprovechen los recursos de comunicación de la plataforma de acceso SEBRA para ingresar de forma no autorizada a sus servicios de red. Los factores antes mencionados hacen que la integración de las dos plataformas, la red corporativa de la entidad y los equipos de acceso a SEBRA, conformen una infraestructura compleja donde estarán involucrados:

□ Elementos de la red de área local de la entidad (cableado estructurado, switches de acceso, distribución, entre otros).

□ Elementos de la red de área amplia de la entidad (enlaces entre sus oficinas, equipos de enrutamiento, etc.).

□ Elementos de seguridad de red de la entidad (principalmente firewalls).

La interacción de todos estos elementos requiere de un cuidadoso trabajo de análisis y diseño que es responsabilidad del área de tecnología de cada entidad. Para facilitar la tarea de interconectar la red corporativa de las entidades financieras con

13

la red de acceso a los servicios SEBRA y garantizar que el acceso de las estaciones cliente se realiza de manera flexible, eficiente y segura, la Dirección General de Tecnología del Banco de la República ha resumido los principales aspectos técnicos que deben tenerse en cuenta en el momento de diseñar el esquema de red a utilizar. Estos aspectos técnicos son los siguientes:

A. El Banco de la República asigna un rango continuo de direcciones IP para cada

una de las estaciones que se conectarán a la red de SEBRA, para realizar dicho proceso ver el numeral 4 del presente documento. Estas direcciones IP hacen parte de un esquema de direccionamiento privado dentro de los rangos: 172.29.XX.0/24 (SEN) y 172.31.YY.0/24 (demás servicios) donde XX y YY corresponden a la subred asignada a cada entidad, son segmentos específicos que se notificaran una vez cumplan el proceso de solicitud de asignación de direccionamiento. La utilización de estas direcciones es un requisito indispensable para tener acceso a los servicios electrónicos que ofrece el Banco de la República, por tanto, en caso de estarse utilizando alguno de los rangos asignados dentro de la organización del cliente, es necesario emplear algún mecanismo de enmascaramiento o conversión, tipo NAT (Network Address Translation).

B. Los servicios prestados por el Banco de la República se acceden conectándose a un grupo de servidores que están instalados en la subred IP l92.l68.6l.0/24.

C. La resolución del nombre https://wsebra.banrep.gov.co a una dirección IP se hace mediante la adición de un registro estático en el archivo "c:\windows\system32\drivers\etc\host" de la estación cliente.

D. Para facilitar el manejo del enrutamiento que permite independizar el tráfico entre los dos grupos de aplicaciones ya descritos, se han configurado dos direcciones IP virtuales que atienden las conexiones al portal SEBRA. Para las estaciones cliente del sistema SEN se debe usar la dirección virtual 192.168.61.20. A su vez, la dirección 192.168.61.15 se usa para las estaciones cliente del otro grupo de aplicaciones.

En otras palabras, para una estación SEN, la entrada estática en el archivo “c:\windows\system32\drivers\etc\host” es: Ambiente producción

192.168.61.20 wsebra.banrep.gov.co

Ambiente pruebas 192.16.61.21 caribe.banrep.gov.co

La entrada correspondiente para una estación cliente de los demás servicios es:

Ambiente producción

192.168.61.15 wsebra.banrep.gov.co 192.168.61.15 awa.banrep.gov.co

14

Ambiente pruebas

192.16.61.21 caribe.banrep.gov.co 192.16.61.21 awa.banrep.gov.co

En la red corporativa del cliente no deben existir ni conocerse la subred IP antes mencionada (l92.l68.6l.0/24). Si la red corporativa incluye estas direcciones o se conecta con otras redes que utilizan este direccionamiento, no se puede instalar esta topología y las estaciones SEBRA deben formar un segmento Ethernet totalmente independiente de la red corporativa de la entidad financiera.

Por cada estación que se conecta a los servicios electrónicos vía el portal SEBRA, se requiere una dirección IP en el rango asignado por el Banco de la República para poder establecer una relación fija de correspondencia uno a uno. Para lograr que las estaciones conectadas a la red corporativa, con direcciones IP de la entidad financiera diferentes a las del rango asignado, se vean desde el Banco de la República como estaciones con direcciones IP válidas, es indispensable que en la red de la entidad financiera se implemente un mecanismo de traducción de direcciones NAT uno a uno, para que reemplace la dirección IP origen contenida en los datagramas que envían las estaciones cliente por una dirección IP dentro del rango asignado. El equipo que realiza la función NAT debe poseer dos interfaces Ethernet (Interna y Externa). La interfaz interna del NAT se debe conectar a la red corporativa del cliente. La interfaz externa del NAT se debe conectar con la interfaz del equipo de enrutamiento. El equipo que realiza la función NAT constituye la frontera entre la red corporativa del cliente y la red de acceso con el Banco de la República. Para proteger la red corporativa del cliente de posibles intrusos, se recomienda que este equipo también realice funciones básicas de Firewall. La gráfica No. 3 presenta un ejemplo típico de topología donde se integra la red corporativa de una entidad financiera con la red de acceso a SEBRA. La topología exacta que tendrá una entidad financiera depende de sus características propias.

Si el equipo que realiza las funciones de NAT tiene funciones de Firewall o la entidad dispone de un equipo dedicado para esta función, las reglas de validación deben permitir el paso de todas las estaciones cliente al portal WSEBRA por el puerto 443 (HTTPS), para lo cual cada entidad deberá configurar la correspondiente regla de Firewall.

15

GRAFICA 3. Varias estaciones distribuidas en sedes remotas

16

4. ASIGNACIÓN DE DIRECCIONAMIENTO IP La asignación de direcciones para el acceso a la red SEBRA la hace el Banco de la República a través del siguiente procedimiento:

A. Una vez formalizada contractualmente la vinculación de acceso al portal SEBRA y sus servicios asociados, la entidad autorizada deberá solicitar, por medio del Delgado PKI, mediante el formato BR-3-555-02 debidamente diligenciado, el direccionamiento de red, especificando el (los) servicio (s) (SEN, CEDEC, CENIT, CUD, entre otros) que la entidad requiere acceder y cuál es el proveedor de servicios contratado para el canal. Este formato, firmado digitalmente, debe ser enviado por correo electrónico la dirección de correo electrónico novedadsebra@banrep.gov.co.

B. Dependiendo del tipo de servicios que requiera la entidad, el BR asignará en

dos rangos y de la siguiente forma la conexión que cada entidad debe configurar:

Conexión a los servicios CEDEC, CENIT, CUD, ANTARES, DCV, GTA, Subastas, Motor de Pagos, STA, y Portal de Gestión de identidades:

Rango: 172.31.XX.0 Máscara: 255.255.255.0 Interfaz LAN enrutador cliente (Puerta de enlace): 172.31.XX.1 Estaciones: 172.31.XX.50 en adelante

Donde XX representa el segmento asignado al cliente.

Conexión a SEN:

Rango: 172.29.YY.0 Máscara: 255.255.255.0 Interfaz LAN enrutador cliente (Puerta de enlace): 172.29.YY.1 Estaciones: 172.29.YY.10 en adelante

Donde YY representa el segmento asignado por el Banco al cliente.

2 Disponible en http://www.banrep.gov.co/sites/default/files/paginas/BR-3-555-00.xls

17

5. ESTRATEGIAS DE CONTINGENCIA

En este numeral se describen las diferentes alternativas de contingencia tanto tecnológicas como operativas avaladas por el Banco de la República para el acceso a los servicios SEBRA. Para cualquier otra topología implementada diferente a las presentadas aquí, el Banco de la República no realizará configuraciones particulares sobre sus equipos ni ofrecerá ningún tipo de soporte. El área técnica de cada entidad será responsable del diseño y montaje de la infraestructura que permita la operación coordinada de los enlaces y/o proveedores.

Se recomienda que el personal técnico de la entidad revise en detalle y en conjunto con su (s) proveedor (es) el esquema de enrutamiento y conmutación que aseguren el paso de tráfico de un canal hacia otro.

5.1. CONDICIONES GENERALES

Es importante tener en cuenta que las entidades autorizadas que adicionalmente tienen acceso al Sistema Electrónico de Negociación (SEN), deben garantizar la independencia a nivel de canal o de tráfico de red para dicho servicio. Por lo tanto, este canal no puede servir como medio de comunicación de contingencia para los otros servicios (DCV, SUBASTAS, CEDEC, etc.). En ese mismo orden de ideas, el canal asignado a las estaciones de los servicios DCV, SUBASTAS, CENIT, CEDEC, CUD, GTA, Portal de Gestión de identidades, Motor de Pagos, STA y ANTARES, NO DEBE ser utilizado como canal de contingencia para acceso a SEN.

Adicionalmente, de acuerdo con lo enunciado en el contrato de servicios SEBRA se incluirá un cobro mensual adicional por el direccionamiento de cada una de las sedes conectadas hacia el portal SEBRA.

Se debe tener en cuenta que si la entidad autorizada cuenta con acceso al Sistema Electrónico de Negociación (SEN) y a los otros servicios SEBRA en la misma sede, requerirá el montaje del esquema descrito de forma duplicada, nuevamente recordando que el tráfico del SEN debe tener garantizado un ancho de banda dedicado que no se mezcle con los otros sistemas de información.

5.2. ALTERNATIVAS DE CONTINGENCIA TECNOLOGICA EN BOGOTÁ

Se recomienda la implementación de un esquema de contingencia para el acceso al portal SEBRA y sus servicios asociados, debido al impacto que se representan para cada entidad la no operación en un momento específico. Por lo tanto, las entidades pueden contratar canales alternos independientes con un proveedor diferente, para tener el respaldo necesario ante cualquier eventualidad que pueda suceder.

18

Cada canal debe tener el mismo ancho de banda, el cual se encuentra directamente asociado a los servicios que se quiera acceder; a continuación, se presentan las arquitecturas típicas de contingencia que se pueden implementar para los servicios SEBRA.

5.2.1 Topología 1. Entidades con varias sedes y varios canales independientes

La entidad autorizada que, por su tamaño y estructura cuente con más de una sede donde haya dispuesto infraestructura independiente para acceso a los servicios SEBRA, puede hacer uso de estas como mecanismo de contingencia sin requerir ningún tipo de autorización por parte del Banco de la República.

En este caso, cada sede tendrá un canal de comunicación independiente, ya sea con el mismo proveedor o con proveedor diferente (recomendado). El Banco de la República, previa solicitud de la entidad al Centro de Soporte Tecnológico mediante el formato de “Formato BR-3-555-0”, asignará un direccionamiento de red para cada sede y/o canal. De acuerdo con lo enunciado en el contrato de servicios SEBRA se incluirá un cobro mensual adicional por cada direccionamiento asignado a cada una de las sedes conectadas hacia el portal SEBRA. En la gráfica 4 se muestra la arquitectura estándar para esta topología.

GRAFICA 4 Varias sedes, varias estaciones

5.2.2 Topología 2. Entidades con Datacenter Alterno, canales independientes y un único direccionamiento

Las entidades autorizadas que tienen infraestructura para acceso al portal SEBRA desde datacenters diferentes, pero que por su arquitectura operan como uno solo nodo, podrán recibir la asignación de un único segmento de direcciones IP, aun cuando cuenten con canales independientes en cada una de las sedes.

19

No obstante, el proveedor en ambos datacenters deberá ser el mismo y deberán configurar un mecanismo de alta disponibilidad como HSRP. En la gráfica 5 se muestra la arquitectura estándar para esta topología.

GRAFICA 5. Datacenter Alterno, canales independientes y un único direccionamiento

5.3. ALTERNATIVAS DE CONTINGENCIA OPERATIVA

A continuación, se describen la opción de tipo operativo que puede permitir el acceso al portal SEBRA cuando una Entidad Autorizada no pueda operar desde sus instalaciones, ya sea por fallas en su plataforma tecnológica o por dificultades en el acceso físico a las locaciones.

5.3.1 Operación desde una Entidad Amiga

La Entidad Autorizada podrá hacer uso, previo acuerdo entre las partes, de la infraestructura tecnológica de otra(s) Entidad(s) Autorizada(s) (“Entidad Amiga”) que le permita acceder al portal SEBRA sin necesidad de realizar trámite alguno ante el Banco de la República. Es responsabilidad de las partes involucradas establecer los mecanismos de seguridad y control de riesgos que consideren necesarios.

Este esquema no aplica para el Sistema Electrónico de Negociación – SEN.

20

5.4. ESQUEMA DE NOTIFICACIONES

El Banco de la República notificará toda novedad relacionada con los servicios de TI que presta a las Entidades Autorizadas por medio de correo electrónico desde la cuenta de correo “Notificaciones Tecnológicas BanRep” - NotificacionesTecnologicas@banrep.gov.co. Para tal fin, cada entidad deberá crear de una lista de distribución de correo con el estándar de nombre ContinuidadBR@<dominioEntidadUsuaria>, la cual una vez disponible deberá adicionar los miembros de la entidad que así lo considere y ser notificada al Centro de Soporte de TI (soportetecnologico@banrep.gov.co).

5.5. CRISIS TECNOLOGICA EN CASO DE DESASTRE QUE AFECTE LOS DOS NODOS DE BOGOTÁ

El Banco de la República cuenta con un centro de datos alterno ubicado en la ciudad de Barranquilla que será activado solamente en caso de falla total de los dos nodos que operan en Bogotá.

Desde este nodo alterno se prestará el servicio de ANTARES para el proceso de provisión de efectivo

El acceso a dicho nodo se hace a través de internet ingresando al portal http://wsebra3n.banrep.gov.co, cada entidad autorizada debe garantizar que sus estaciones cliente puedan llegar a dicho portal.

La dirección IP del portal wsebra3n es 181.49.32.131

Las estaciones desde las cuales se conecten a este nodo deben:

a. Ser diferentes a las que se utilizan para llegar a los servicios en Bogotá a través de canal dedicado.

b. Tener sistema operativo Windows 10 Versión 1909 + IE 11 c. Java 1.8.251. d. Se debe ajustar la configuración del Internet Explorer. Los pasos a seguir

son: Internet Explorer > Opciones Avanzadas > Conexiones > Configuración de LAN > Opciones avanzadas

Colocar en las excepciones sbar2l.banrep.gov.co, adicional al final de lo que tengan escrito

e. Deben agrear en el hostname sbar6c-osb 192.168.75.51

La autenticación a wsebra3n se realizará usando el token OTP y podrán ingresar los usuarios que se encentren vigentes en el ambiente de producción.

Cuando se active el servicio en este nodo se habilitará la siguiente línea telefónica para soporte tecnológico: 01-8000-423549.

21

5.6. TOKEN ADICIONAL PARA USUARIO

Las Entidades Usuarias podrán solicitar al Banco de la República hasta un número determinado de Token, que puede ser físico o software, en caso de requerirlos como parte de sus estrategias de contingencia, de acuerdo a lo indicado en la siguiente tabla:

No. Usuarios Nombrados por Entidad Cuota de Asignación Entre 2 y 10 Usuarios 50%

Entre 11 y 30 Usuarios 30% Superior a 31Usuarios 20%

Si la entidad excede o requiere un número mayor de tokens a la cuota asignada según tabla del punto 3.2 de la circular reglamentaria externa DG-T-2733 según el número de usuarios nombrados que tenga registrados, se asignará en adelante licencias de software Token.

Cualquier otra alternativa de contingencia diferente a las indicadas, debe seguir los procedimientos propios definidos en las Circulares Reglamentarias de cada servicio, las cuales pueden ser consultadas en la página web del Banco de la República, www.banrep.gov.co o en el portal SEBRA.

3 Disponible en https://www.banrep.gov.co/es/circular-wsebra

22

6. Control de Cambios 2016-10-01 Versión 1. LN. Este documento reemplaza: El documento: http://www.banrep.gov.co/sites/default/files/paginas/SEBRA_requerimientos_tecnicos_entidades.pdf

La sección 1.1 del documento: http://www.banrep.gov.co/sites/default/files/paginas/ecpea-usci-gi-3.pdf La sección 5 del documento: http://www.banrep.gov.co/sites/default/files/paginas/PROCEDIMIENTO_VINCULACION_SE BRA.pdf

2017-12-13 Versión 2. JB. Se modifican Se modifica la numeración del capítulo 5. Se incorpora el documento de “Estrategias de contingencia” y se incorporan al interior de este mismo documento.

Se elimina dentro del numeral 5. El ítem correspondiente a “TOPOLOGÍA 3. ENTIDADES CON DATACENTER ALTERNO Y REDUNDANCIA ENTRE PROVEEDORES”

Se adiciona el numeral ALTERNATIVAS DE CONTINGENCIA OPERATIVA, el cual reemplaza el documento “Estrategias de Contingencia para Entidades Autorizadas”.

Se adicional el numeral “CRISIS TECNOLOGICA EN CASO DE DESASTRE QUE AFECTE LOS DOS NODOS DE BOGOTÁ”.

2020-01-28 Versión 4

Ajustes por Windows 10, cambio de configuración en el host y en el internet explorer

2020-02-03 Versión 4.1

Se agrego la versión del Windows 10 Versión 1803

2020-08-03 Versión 4.2

Se agrego la versión del Windows 10 Versión 1903

Se ajusto la versión del java 1.8