MANUAL 1

Bienvenido a la Familia Diners Club del Ecuador: 

Como parte de tu proceso de adaptación a la Cultura y alineamiento con la Estrategia 

de nuestra Organización, te damos la bienvenida y te pedimos que por favor puedas 

leer el grupo de manuales que te estamos entregando ya que contienen información 

que te facilitará el proceso de desarrollo profesional dentro de la Organización. 

Al ser parte de una Institución Financiera que cumple con las regulaciones que nos 

exigen los entes de control, es muy importante que leas, comprendas y luego puedas 

plantearnos consultas si las tuvieses los manuales adjuntos. 

Como parte del grupo de información encontrarás: código de ética, reglamento interno 

de trabajo, manual de prevención del lavado de activos, política de seguridad de la 

información, política de seguridad y salud ocupacional, las normas de habitabilidad y 

convivencia, el contenido de estos manuales te dará las líneas generales hacia las 

cuales debes ir apegándote para tu proceder y éxito dentro de la Organización. 

Adicionalmente, dado que has pasado por un exhaustivo proceso de selección, como 

parte de tu incorporación es necesario que puedas entregar toda la documentación 

que se está solicitando, esta información permanecerá en tu carpeta personal que 

debe ser actualizada cada vez que el área de Recursos Humanos lo solicite o cuando 

existan cambios en tu situación personal. Te pedimos que, para poder cerrar el 

proceso de contratación de manera exitosa, nos entregues la documentación solicitada 

con dos días de anticipación a tu primer día de trabajo. 

Bienvenido a una organización centrada en el CLIENTE, que logra que la sociedad 

crezca, que busca que vivamos en familia como Colaboradores de la misma, pero 

especialmente que forma profesionales de excelencia que aportan con su talento a 

que sigamos siendo DINERS EXCEPCIONAL. 

¡Bienvenido al lugar donde siempre quisiste estar! 

DANIEL MONTALVO FIGUEROA 

GERENTE NACIONAL DE RECURSOS HUMANOS

La historia de Diners Club Internacional 

La creación del concepto “tarjeta de crédito”, 

Nació de un interesante acontecimiento ocurrido en 

1950, cuando el señor Frank McNamara, invitó a 

varios amigos a un elegante y lujoso restaurante en 

New York. 

Al momento de cancelar la cuenta, se percató que no tenía dinero, 

por lo que tuvo que acordar con el restaurante, una promesa de pago 

a futuro. 

Este incidente llevó a McNamara, a pensar en un sistema por el cual 

una persona pudiera demostrar su respetabilidad de crédito, en 

cualquier lugar que visitara. En 1950, se constituye Diners Club como 

Organización para servir de garantía al pago de los consumos hechos 

por sus socios. 

Se emite la primera tarjeta de crédito hecha de cartón para los 

conocidos de McNamara. 

Mientras tanto en la ciudad de los Ángeles, Alfred Bloomingdale, un 

prominente hombre de negocios, iniciaba una Organización similar 

con el nombre de “Dine and Sign” a la que se unió Diners Club para 

formar “The Diners Club Inc.”, iniciando su crecimiento mundial. 

1950 

Diners Club a lo largo de la historia 

2013

La historia de Diners Club Ecuador 

La operación del Diners Club en el Ecuador se inicia el 28 de febrero 

de 1968. A finales de este año, la empresa contaba con 507 Socios y 

210 establecimientos afiliados. 

Inicialmente la empresa se orientó básicamente en el campo turístico. 

En el año 1974 se emiten las primeras tarjetas internacionales, 

incrementando el número de Socios de 2.000 a 5.000. 

En la actualidad contamos en Diners Club con: 

53.109 establecimientos afiliados a nivel nacional que presentan 

beneficios a un total de 

541.126 socios principales y adicionales 

Historia Visa Interdin 

Después de importantes estudios enfocados en las necesidades de 

nuestros socios, el 28 de agosto del 2008, la Organización decidió 

constituir la compañía Emisora y Administradora de Tarjetas de Crédito 

INTERDIN. 

Así adicional al manejo exclusivo de Diners Club, somos miembros de 

la franquicia de tarjetas de crédito VISA la cual podemos administrar, 

emitir y mercadear. 

Nuestra nueva tarjeta de crédito VISA INTERDIN, es el complemento 

ideal para nuestros exclusivos clientes, que realizan compras 

nacionales e internacionales en los establecimientos no asociados a 

Diners Club. 

Historia Discover 

Desde sus inicios en 1986 se ha convertido en una de las marcas más 

reconocida en servicios financieros además de ser una de las marcas 

de tarjetas de crédito más grande en Estados Unidos.

Actualmente Discover Card cuenta con millones de tarjetahabientes y es 

aceptada en millones de establecimientos en la Red de Diners Club 

International a nivel mundial. 

Discover es una de las compañías pioneras que introdujo el primer 

programa de recompensas "CashBack Bonus".

CONOCE NUESTRA ESTRUCTURA ORGANIZACIONAL 

Pablo Salazar 

PRESIDENTE EJECUTIVO 

P 

G 

Monica Carrion 

GERENTE NACIONAL 

CENTRO DE SERVICIOS 

• Operaciones 

• Fábrica de 

Crédito y 

Cobranzas 

• Gestión de 

Soluciones 

Funcionales 

• Servicios 

Institucionales 

• Tecnologia 

• Laboratorio 

Digital 

Jorge Moyano 


PLANEACIÓN Y 

FINANZAS 

• Tesorería 

• PMO 

• Planeación 

Financiera y 

Presupuestaria 

• Gestión de la 

Información 

• Finanzas y 

Costos 

• Contraloría 

• Contabilidad e 

Impuestos 

Javier Navarro 


NEGOCIOS 

• Negocios 

Personas 

• Negocios 

Empresas 

• Canales y 

Servicios 

• Marketing 

• Analítica e 

Inteligencia de 

Negocios 

• Producto 

Daniel Montalvo 


RRHH 

• Asesoría y 

Gestión 

• Compensació 

n y Beneficios 

Patricio Vivero 


RIESGOS 

• Riesgo 

Operativo 

• Riesgo 

Crédito, 

Mercado 

Liquidez

Conoce nuestra Estructura Organizacional 

Pablo Salazar 

PRESIDENTE EJECUTIVO 

Monica Carrion 



Jorge Moyano 


PLANEACIÓN Y 

FINANZAS 

Javier Navarro 


NEGOCIOS 

Daniel Montalvo 


RRHH 



RIESGOS 

Operaciones 

Fabrica de Crédito 

y Cobranzas 

Gestión de 

Soluciones 

Funcionales 

Servicios 


Tecnologia 

Laboratorio Digital 

• Tesorería 

• PMO 

• Planeación 

Financiera y 

Presupuestaria 

• Gestión de la 

Información 

• Finanzas y Costos 

• Contraloría 

• Contabilidad e 

Impuestos 

• Negocios 

Personas 

• Negocios 

Empresas 

• Canales y 

Servicios 

• Marketing 

• Analítica e 

Inteligencia de 

Negocios 

• Producto 

• Asesoría y Gestión 

• Compensación y 

Beneficios 

• Riesgo 

Operativo 

• Riesgo Crédito, 

Mercado 

Liquidez 

1

COMITES NORMATIVOS 

DIRECTORIO 

COMITES NORMATIVOS 

COMITE AUDITORIA 

AUDITORIA INTERNA 

JORGE COBA 

COMITE CUMPLIMIENTO 

GERENTE DE CUMPLIMIENTO 

DIANA CAICEDO 

GERENCIA RESPONSABILIDAD 

SOCIAL 

AUGUSTA BUSTAMANTE 

GERENCIA NACIONAL RRHH 

DANIEL MONTALVO F. 

PRESIDENCIA EJECUTIVA 

ING. PABLO SALAZAR E. 

LEGAL (*) 

VICTOR TERAN 

COMITÉ DE ADMINISTRACION DE RIESGOS 

COMITÉ DE CALIFICACION ACTIVOS 

DE RIESGO 

COMITÉ DE ETICA 

• Operaciones 

GERENCIA NACIONAL 

• Fabrica de Crédito 

PLANEACION Y FINANZAS 

y Cobranzas 

• Gestión 

JORGE 

de 

MOYANO (*) 

Soluciones 

GERENCIA PLANEACIÓN FINANCIERA Y 

Funcionales 

PRESUPUESTO 

• Servicios 

ALEXANDRA BARREZUETA 


GERENCIA DE CONTABLIDAD E 

• Tecnologia 

IMPUESTOS 

• Laboratorio Digital 

RICHARD ERAZO 

GERENCIA DE TESORERIA 

MARIO JARAMILLO 

GERENCIA PMO 

COSME ITURRALDE 

CONTRALOR 

VICTOR TERAN 

GERENCIA DE GESTION DE LA 

INFORMACIÓN 

WILLIAM DELGADO 


NEGOCIOS 

JAVIER NAVARRO 

GERENCIA MARKETING 

ANA MARIA MOSCOSO 

GERENCIA NEGOCIOS PERSONAS 

ALEXANDER ZEDERBAUER 

GERENCIA NEGOCIOS EMPRESAS 

ANA MARIA CARTWRIGHT 

GERENCIA DE CANALES Y SERVICIO 

AL CLIENTE 

DAYSI GONZALEZ 



MÓNICA CARRIÓN 

GERENCIA OPERACIONES 

MARIA FERNANDA ROJAS 

GERENCIA TECNOLOGÍA 

FERNANDO CISNEROS 

GERENCIA DE CREDITO Y 

COBRANZAS 

PAULINA TORRES 

SUB GERENCIA 

ADMINISTRATIVA 

CHRISTIAN SOLORZANO 

GERENCIA SOLUCIONES 

FUNCIONALES 

TANIA GERKA 


DE RIESGO 

PATRICIO VIVERO 

SUBGERENCIA DE RIESGO DE 

CREDITO, MERCADO Y LIQUIDEZ 

DIEGO MORAN 

SUBGERENCIA DE RIESGO 

OPERATIVO 

DANY ESPINOZA 

GERENCIA FINANZAS Y COSTOS 

EDMUNDO PEÑAFIEL

CONOCE NUESTRAS SUCURSALES

Nuestros edificios DC 

Edificio 

Matriz 

Edificio Centro 

de Negocios 

Edificio Banco 

Amazonas 

Municipio 

Av. Pereira 

Av. Amazona 

Av. Pereira 

Edificio Centro 

Financiero 

Función Judicial 

1

MAPA DE UBICACIÓN

GESTIÓN DE DESEMPEÑO DC 

GESTIÓN DE 

DESEMPEÑO


¿Qué es gestión de desempeño? 

La gestión del desempeño es un proceso constante que te acompaña 

a lo largo del año y permite que tu línea de supervisión reconozca y 

retroalimente tu aporte al cumplimiento de objetivos para potenciar tu 

desempeño y desarrollo profesional 

¿Qué se debe medir? 

RESULTADOS 

• El “qué” del 

Desempeño 

• Cuantitativo 

• Marco a corto plazo: un 

año, desempeño en el 

puesto actual 

• Orientado a la 

recompensa 

COMPETENCIAS 

El “cómo” del 

Desempeño 

Más cuantitativo 

Marco a largo plazo: 

desempeño futuro en el 

puesto actual y en 

puestos futuros 

Orientado al desarrollo 

personal (mejora de 

“maneras de hacer)


Existen 4 fases en el proceso de Gestión del Desempeño: 

1. Planificación y Comunicación: A principios del año define tus 

1 

objetivos, estos deben ser MARTE y anclados a los objetivos de 

tu área y de la Organización. 

2. Seguimiento: Apoyo y Retroalimentación: Durante todo el año 

2 

tendrás seguimiento y apoyo continuo de tu Línea de Supervisión 

a través de retroalimentación constante. 

3. Evaluación, Reconocimiento y Desarrollo: A mitad del año inicia 

3 

iniciamos la etapa de evaluación del primer semestre del año 

en la herramienta ETWEB, pero mejor si lo haces de forma 

cotidiana y no esperas este momento formal. 

4. 4 Evaluación, Reconocimiento y Desarrollo: Al finalizar el año, 

inicia el segundo proceso formal de evaluación en la 

herramienta ETWEB, en este proceso se evalúan los resultados de 

todo el año de acuerdo a los objetivos que te planteaste y te 

permitirán medir tu avance en relación al plan de acción que 

estableciste en el primer semestre. 

Planificación y 

Comunicación 

Reconocimiento 

y Desarrollo 

Gestión de Desempeño 

Seguimiento: 

Apoyo y 

Retroalimentación 

Evaluación


1 

Planificación y Comunicación: 

Características de un objetivo 

Medible 

• Hay que identificar el criterio de 

medida 

MARTE 

Alcanzable 

Relevante 

Acotado en el 

Tiempo 

• Retador, pero realista para 

que el objetivo sea alcanzable 

• Coherente e integrado en la 

estrategia de la Compañía – 

Orientado a resultados 

• Con plazo o fecha límite 

especificada para su ejecución 

Específico 

• Definir concretamente lo que 

hay que alcanzar y establecer 

lo que hay que hacer para 

alcanzarlo


2 

Seguimiento: Apoyo y 



constante a su 

equipo. 

Apoyar en 

acciones que 

permitan 

conseguir el 

objetivo 

Reuniones 

periódicas con 

la línea de 

supervisión 

Identificar 

acciones 

posteriores para 

la consecución 

de los objetivos 

Revisar el progreso 

y avance de las 

metas


3 

Evaluación 

Proceso formal de 

revisar 

el 

desempeño a 

través del ETWEB 

EVALUACIÓN 

Asignar una 

valoración al 

desempeño 

Medir los 

resultados y 

competencias


4 

Reconocimiento y Desarrollo 

Retribución Desarrollo Rutas de 

Carrera 

- Aplicación de criterios 

de Retribución basados 

en el desempeño 

- Incidencia en los 

incrementos en la 

Retribución fija 

-Asignación del Bono de 

Retribución Variable 

- Identificación de 

necesidades 

de 

formación 

- Formación en el puesto 

de trabajo 

- Aspiraciones del 

Colaborador en la 

Compañía 

- Refuerzo de los valores 

culturales 

- Seguimiento de Rutas 

de Carrera 

- Identificación de 

potencial 

- Gestión del perfil del 

Colaborador


GESTIÓN DE 

DESEMPEÑO – GUÍA 

ETWEB COLABORADOR

GESTIÓN DE DESEMPEÑO DC









GESTIÓN DE 

DESEMPEÑO – GUÍA 

ETWEB LÍNEA DE 

SUPERVISIÓN





¿NECESITAS AYUDA? 

Servicio técnico 

Asistencia Médica 

Mesa de servicio. 

Ext. 4911 

Dr. Henry Rivera. 

Ext. 2708 

Nómina 

-Actualización formularia 107 

-Décimo cuartos 

-Décimo tercero 

Catalina Pinto. 

Ext. 2618 

-Actualización datos 

Consultores RRHH 

-Consultor Centro de Servicios, Riesgos, 

Cumplimiento 

-Consultor Negocios, Planeación y 

finanzas, RRHH, RSE, Auditoria, Legal 

-Consultor Capacitación, Desarrollo 

y Comunicación 

Andrea Dueñas. 

Ext. 2626 

Ana Cristina Linares. 

Ext. 2627 

Ana Cristina Cañizares. 

Ext. 2619 

Trabajo Social 

--Beneficios 

-Seguro Médico 

Patricia Zapata 

Ext. 2611 

-Alimentación 

- Uniformes 

Centro 

Impresión 

de 

Xerox 

Ext.4312 

Seguridad y Salud 

Ocupacional 

Lucia Ruales. 

Ext. 2610 

Información 

-Edificio Matriz 

-Edificio Centro de Negocios 

-Edificio Amazonas 

-Edificio Centro Financiero 

Ext.4599 

Ext.2000 

Ext.4675 

Ext.4126

ALIMENTACIÓN 

¡Diners Club cubre el 85% del costo de la alimentación a todos sus 

Colaboradores! 

Tenemos dos excelentes opciones a las que puedes acceder de 

acuerdo a nuestros convenios de alimentación: 

OPCIÓN 1 

Ubicación: Local Plataforma Gubernamental 

OPCIÓN 2 

Ubicación: Edificio Matriz – Cafetería: Piso 1 

Recuerda que dentro de la jornada laboral diaria se establece 30 

minutos para el almuerzo. 

Es importante que definas con tu Línea de Supervisión tu horario de 

almuerzo con el objetivo de mantener un nivel de servicio adecuado 

tanto para clientes internos como externos

RECOMENDACIONES 

Recuerda que todos nuestros edificios cuentan con una 

cafetería en cada piso para que puedas hacer uso de 

dispensarios de agua caliente y fría. 

Rompe tu rutina y dedica cinco minutos a tu bienestar 

realizando pausas activas. 

Define el horario de almuerzo con tu Línea de Supervisión 

para mantener un nivel adecuado de servicio a tus 

clientes internos y externos 

Solicita reuniones de retroalimentación con tu Línea de 

Supervisión para medir tus avances en relación a los 

objetivos que estableciste a inicios del año. 

SI tienes dudas sobre el uso de la herramienta ETWEB para 

establecer tus objetivos y realizar el proceso de Evaluación 

de Desempeño puedes hacer uso de la Guía de ETWEB 

que se encuentra en la Intranet y carpeta de 

incorporación. 

Haz buen uso de los baños, manteniéndolos limpios y 

poniendo en práctica las normas de higiene adecuadas. 

Para nosotros tu retroalimentación es muy importante, 

solicita una reunión con la Consultora de Recursos 

Humanos correspondiente a tu área para que nos cuentes 

tu experiencia dentro de la Organización. 

Conoce y utiliza los beneficios que Diners Club tiene para 

ti, estos los podrás encontrar en la intranet y en la carpeta 

de incorporación. 

Recuerda utilizar el mapa de ubicación que se encuentra 

en la carpeta de incorporación que te facilitará tu 

desplazamiento en Diners Club. 

El dispensario médico se encuentra en el Edificio CND – 6 

Piso, en el caso que requieras asistencia médica. 

¡COMPROMETIDOS CON TU BIENESTAR!

RESPONSABLE DE LA APLICACIÓN: 

RESPONSABLE DEL MONITOREO: 

MANUAL DE PREVENCIÓN DE LAVADO DE 

ACTIVOS FINANCIAMIENTO DEL 

TERRORISMO Y OTROS DELITOS 

Toda la organización 

Área de Cumplimiento / Auditoría Interna 

Fecha Creación: Mes año 

Fecha Actualización: 

Noviembre/ 2016 

Versión: 4.0 Pág.: 1-98 

MANUAL DE PREVENCIÓN DE LAVADO DE ACTIVOS, FINANCIAMIENTO DEL 


Noviembre, 2016



Control de Cambios 










Fecha de Descripción del 

Actualización cambio 

Agosto / 2012 Inclusión de 

metodología matriz 

de riesgos 

Noviembre/2013 Política de 

aceptación de 

clientes por nivel 

de riesgo. 

Actualizado 

por: 

Unidad de 

Cumplimiento 

Unidad de 

Cumplimiento 

Revisado por: 

Comité de 

Cumplimiento 

Comité de 

Cumplimiento 

Aprobado 

por: 

Directorio 

Directorio 

Metodologías para 

prevenir el 

financiamiento del 

terrorismo 

Noviembre/2014 Actualización 

general de políticas 

Noviembre/2015 Matriz de riesgo 

por cada política 

Unidad de 

Cumplimiento 

Unidad de 

Cumplimiento 

Comité de 

Cumplimiento 

Comité de 

Cumplimiento 

Directorio 

Directorio 

Noviembre/2016 Ajustes matriz de 

riesgo por cada por 

cada política, 

separación 

aspectos técnicos 

de metodologías. 

Unidad de 

Cumplimiento 

Comité de 

Cumplimiento 

Directorio












HOJA DE APROBACIÓN












CONTENIDO GENERAL 

I. INTRODUCCIÓN 

II. OBJETIVO 

III. AMBITO DE APLICACIÓN 

IV. DESARROLLO 

1. Marco Referencial 

2. Estructura organizacional y responsabilidades 

3. Políticas y procedimientos para el control de lavado de activos, financiación del 

terrorismo y otros delitos 

3.1 Conozca su Cliente 

3.2 Conozca su Proveedor 

3.3 Conozca su colaborador, accionista, director 

3.4 Conozca su Mercado 

3.5 Conozca su Corresponsal 

3.6 Otras Políticas 

4. Modelo de prevención de lavado de activos 

V. DETALLE ANEXOS



I. INTRODUCCIÓN 










La Institución/ El Grupo (conformado por Interdín y Diners Club), como parte de la industria 

financiera nacional permanentemente preocupada por generar una cultura de administración 

de riesgos, promueve la prevención al lavado de activos, financiamiento del terrorismo y otros 

delitos, enfatizando la importancia de actuar frente a este riesgo de una manera eficaz, 

oportuna y coordinada. 

Como base a lo anteriormente citado, la Superintendencia de Bancos del Ecuador ha emitido 

regulaciones que apuntan a implementar controles y alinear los procesos de las Instituciones 

financieras para monitorear, identificar, medir y mitigar a niveles razonables el impacto de 

conductas delictivas, a través del establecimiento de criterios y parámetros mínimos que las 

entidades bajo su control deben observar. La regulación específica sobre esta materia, se 

encuentra estipulada en el Capítulo Normas de Prevención de Lavado de Activos y 

financiamiento de delitos para las Instituciones del Sistema Financiero, que consta en la 

Codificación de Resoluciones de la Superintendencia de Bancos del Ecuador. 

Las políticas y procedimientos que se detallan en este documento, están orientadas a 

establecer los lineamientos, procedimientos y controles, necesarios para que todo el personal 

de la institución esté en capacidad de aplicar una debida diligencia en las transacciones que 

diariamente ejecutan sus clientes, socios, establecimientos, inversionistas, colaboradores, 

accionistas, directores, corresponsales, proveedores, beneficiarios y otros relacionados, y la 

importancia de identificar aquellas que tienen un origen legítimo, de las que se pretenden 

realizar con la finalidad de encubrir negocios ilícitos. 

Con tal propósito, todos los integrantes del Grupo Financiero deben adoptar las precauciones 

necesarias para tener un adecuado conocimiento de sus clientes, de las actividades que 

desarrollan y de las características más relevantes de las operaciones que éstos realizan. 

II. OBJETIVO 

En cumplimiento de las disposiciones legales para la prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos, Diners Club del Ecuador y su subsidiaria deben 

proporcionar a sus colaboradores un documento actualizado permanentemente y alineado a la 

normativa vigente, que les permita conocer, las políticas internas y externas para prevenir el 

lavado de activos por medio del uso indebido de los productos y servicios que ofrece el Grupo 

Financiero. 

De igual forma, el presente documento también pretende servir de medio y referente para la 

sensibilización de los colaboradores, respecto de la importancia de identificar, prevenir, 

controlar y/o mitigar toda clase de riesgos relacionados con el lavado de activos y 

financiamiento de delitos, cuya materialización afecta la consecución de objetivos e imagen 

institucional.












La puesta en práctica de este Manual permite a la institución cumplir los siguientes objetivos: 

1. Establecer las políticas, controles, procesos y procedimientos que deben ser aplicados 

para evitar que la institución sea utilizada para lavar activos o financiar el terrorismo y 

otros delitos. 

2. Mantener y acrecentar su cometido de proporcionar servicios al cliente, rentabilidad a 

sus accionistas, proveedores, Directores y bienestar a sus empleados. 

3. Dar cumplimiento a las normas legales, normas reglamentarias, internas o externas, 

compromisos generales y sanas prácticas relativas a la prevención del uso indebido de 

los productos y servicios que ofrece la institución, o a través de sus operaciones o 

transacciones evitando así riesgos patrimoniales, legales y de reputación. 

4. Continuar presentando una imagen interna y pública de intachable integridad y ética 

profesional. 

5. Evaluar continuamente el grado de riesgo de lavado de activos a que está expuesta la 

organización conforme las disposiciones legales nacionales e internacionales. 

6. Enfatizar en los colaboradores sobre la aplicación de los valores y principios éticos del 

Grupo para actuar y cumplir con las políticas y normativa para la prevención de lavado 

de activos y financiamiento de delitos. 

7. Fortalecer la cultura y control para la prevención de lavado de activos y financiación del 

terrorismo en toda la institución. 

III. AMBITO DE APLICACIÓN 

Las responsabilidades, políticas procesos e instrucciones descritas en el presente manual 

deberá ser observadas por todos los colaboradores de la institución en sus respectivos ámbitos 

o responsabilidades. 

IV. DESARROLLO 

1. MARCO REFERENCIAL 

1.1. MARCO LEGAL Y ORGANISMOS DE CONTROL 

La normativa expuesta en el presente documento está fundamentada en los contenidos 

normativos de carácter general y especial previstos en la Constitución, la ley, decretos y 

resoluciones emitidos por los organismos de control; así como la normativa internacional y las 

mejores prácticas sobre prevención de lavado de activos, la misma que se refiere a 

continuación:












Nacional 

• Código Orgánico Integral Penal COIP. 

• Reglamento de la Ley Prevención, Detección y Erradicación del delito de lavado 

de activos. 

• Ley orgánica Procuraduría General del Estado. 

• Ley de Prevención, Detección y Erradicación del Delito de Lavado de Activos y 

Financiamiento de Delitos 

• Política Nacional de Prevención De Los Delitos De Lavado De Activos y 

Financiamiento Del Terrorismo. 

• Resoluciones de la UAFE 

• Código Orgánico Monetario y Financiero 

• Resoluciones de la Superintendencia de Bancos 

• Resoluciones de la Junta de Política y Regulación Monetaria y Financiera 

Internacional 

• Políticas, emitidas por la franquicia, Diners Club Internacional (DCI – 10-200 y 10- 

300). 

• Convenios y tratados internacionales suscritos y ratificados por el gobierno 

ecuatoriano. 

• Declaración de recomendaciones del GAFI. 

• Declaración de principios del Comité de Basilea. 

• Políticas internacionales de tarjeta de crédito y mejores prácticas. 

• Patriot Act 312 de los Estados Unidos de Norte América. 

Organismos de Control: 

Superintendencia de Bancos del Ecuador.- 

Entidad encargada de la supervisión y control del sistema financiero con la finalidad de 

proteger los intereses del público y en materia de prevención de lavado de dinero, financiación 

del terrorismo y otros delitos, verificar la existencia de políticas y cumplimiento de 

procedimientos para prevenir que se utilice al sistema financiero para lavar activos y/o 

financiar delitos; 

Unidad de Análisis Financiero y Económico (UAFE).- 

Es la entidad técnica responsable de la recopilación de información, realización de reportes, 

ejecución de las políticas y estrategias nacionales de prevención y erradicación del lavado de 

activos y financiamiento de delitos. La UAFE solicitará y recibirá, bajo reserva, información 

sobre operaciones o transacciones económicas inusuales e injustificadas para procesarla, 

analizarla y de ser el caso remitir un reporte a la Fiscalía General del Estado, con carácter 

reservado y con los debidos soportes. 

1.2 MARCO CONCEPTUAL Y DEFINICIONES 

DEFINICIÓN DE LAVADO DE ACTIVOS 

Es el método o procedimiento por el cual, una persona natural, jurídica u organización criminal 

procesa las ganancias financieras o no, que resultan de actividades delictivas, ilegales,












terrorismo y narcotráfico; con el fin de convertir dichas ganancias en beneficios aparentemente 

legítimos. 

Es el hecho de dar apariencia de legalidad a bienes o recursos mal habidos, mediante un 

conjunto de operaciones tendientes a disfrazar su origen ilícito, justificar la riqueza en sí o su 

tránsito en el sistema financiero. Alguna de esas operaciones puede aludir a supuestas 

donaciones, herencias, premios de lotería, entidades fantasmas del extranjero e ingresos sin 

aparente sustento o esencia económica. 

Las organizaciones de narcotraficantes y delincuentes (empresa criminal) atraídos por el afán 

de lucro realizan actividades financieras como cualquier empresa comercial lícita; marcando 

una gran diferencia a través del intercambio de dinero en efectivo. 

Una empresa u organización criminal necesita tener rápido acceso a las ganancias adquiridas a 

través de la venta de bienes o servicios; no puede operar abiertamente, debe esconder o 

disfrazar la naturaleza, localidad procedencia, propiedad o control de beneficios producidos por 

su negocio, para evitar ser detectado por las autoridades competentes, a diferencia de un 

negocio legítimo. 

DEFINICIÓN FINANCIACIMIENTO DE DELITOS 

Actividad por la cual cualquier persona deliberadamente provea o recolecte fondos o recursos 

por el medio que fuere, directa o indirectamente, con la intención ilícita de que sean utilizados 

o a sabiendas de que serán utilizados, en todo o en parte para cometer un acto o actos 

delictivos. 

DEFINICIÓN FINANCIAMIENTO DEL TERRORISMO 

Actividad por la cual cualquier persona deliberadamente provea o recolecte fondos o recursos 

por el medio que fuere, directa o indirectamente, con la intención ilícita de que sean utilizados 

o a sabiendas de que serán utilizados, en todo o en parte para cometer un acto o actos de 

terrorismo. 

DEFINICIÓN ACTIVIDAD ILEGAL O ILICITA 

Es todo acto antijurídico que podría estar tipificado como delito. Los principales delitos que 

originan lavado de activos son: 

Extorsión y chantaje 

Narcotráfico 

Secuestro 

Enriquecimiento ilícito 

Contrabando 

Peculado 

Soborno 

Testaferrismo 

Evasión fiscal 

Estafas 

Terrorismo 

Desfalco 

Tráfico de personas y órganos 

Tráfico de armas 

DEFINICIÓN DE RIESGO DE LAVADO DE ACTIVOS, FINANCIAMIENTO DEL TERRORISMO Y 

OTROS DELITOS.- 

En la institución se define al riesgo de lavado de activos, financiamiento del terrorismo y otros 

delitos como la probabilidad de sufrir daños de tipo económico, legal o de reputación, como 

consecuencia de la utilización indebida de los productos, operaciones, canales y/o servicios,












como medio para lavar activos y/o para desviar recursos destinados a financiar otras 

actividades delictivas. 

OTRAS DEFINICIONES 

Las definiciones escritas a continuación se basan en la normativa emitida por el organismo de 

control: 

Institución, Organización o Grupo Financiero: cuando en el presente documento le sea referido 

cualquiera de estos términos, comprende a Diners Club del Ecuador (Diners Club) y/o Interdín 

S.A. (Interdín). 

Actividades de alto riesgo.- Aquellas que por sus características particulares representan un 

mayor riesgo para las instituciones que integran el sistema financiero de ser utilizadas en el 

cometimiento de los delitos de lavado de activos y financiamiento de delitos. 

Accionistas o Personas con propiedad patrimonial con influencia.- Para las entidades del sistema 

financiero nacional, se consideran personas con propiedad patrimonial con influencia a las 

personas naturales o jurídicas que posean, directa o indirectamente, el menor valor de entre 

los siguientes numerales: 1.) El 6% o más del capital suscrito y pagado o del capital social; o, 2.) 

Acciones o participaciones por un monto mayor o igual a seiscientas fracciones básicas exentas 

del impuesto a la renta. 

Alta gerencia.- Nivel jerárquico dentro de la organización que cuenta con autonomía para 

tomar decisiones. La integran los presidentes, presidentes ejecutivos, gerentes generales, así 

como en general quienes ejerzan la representación legal de manera directa o por subrogación, 

gerentes nacionales o gerentes departamentales y otros profesionales responsables de ejecutar 

las decisiones del Directorio. En el caso de la Organización, las Gerencias Nacionales forman 

parte de la Alta Gerencia. 

AML.- (Anti Money Laundering) siglas en inglés de Antilavado de dinero. 

ANS.- (Acuerdo de niveles de servicios) 

Apoderado.- Persona legalmente facultado para actuar a nombre de otra en los ámbitos que 

consten en el contrato de mandato correspondiente. Las actuaciones del apoderado se 

consideran responsabilidad del titular o mandante, en los términos y bajo los límites 

establecidos en el Código Civil. 

Banco pantalla.- Entidad que no tiene presencia física y que no es filial de un Grupo Financiero 

regulado, cuya constitución, organización y funcionamiento no está permitida y con las cuales 

las instituciones controladas no pueden celebrar convenio de corresponsalía alguno. 

Beneficiario final.- Se refiere a las personas naturales que son propietarias finales del producto 

de una transacción o tienen el control final de un cliente y/o de la persona en cuyo nombre se 

realiza la transacción. Comprende aquellas personas que ejercen el control efectivo sobre una 

persona jurídica o acuerdo legal.












Categoría.- Nivel en el que la institución del sistema financiero ubica a un cliente por el riesgo 

que éste representa; 

Cliente.- Persona natural o jurídica con la que una institución del sistema financiero establece, 

de manera directa o indirecta, ocasional o permanente, una relación contractual de carácter 

financiero, económico o comercial. (En la institución se considera como cliente a los socios, 

establecimientos e inversionistas); 

Cliente ocasional.- Persona natural o jurídica que, al amparo de un contrato, desarrolla 

eventualmente negocios con las instituciones del sistema financiero; 

Cliente permanente.- Persona natural o jurídica que, al amparo de un contrato mantiene una 

relación comercial habitual con una institución del sistema financiero; toda persona que 

mantenga un producto con la institución es considerado como cliente permanente. 

Cliente Potencial.- Persona natural o jurídica que ha consultado por los servicios o productos de 

la institución del sistema financiero y que puede estar interesado en acceder a un producto o 

servicio diferente o nuevo; para el caso de la organización, como cliente potencial, también se 

considera a personas naturales o jurídicas que cumpliendo el perfil establecido para ser cliente, 

aun no lo es y por lo tanto es sujeta de acciones de mercadeo para vincularlo con la entidad. 

Colaboradores cercanos.- Incluye a aquellas personas que se benefician del hecho de ser 

cercanos a la persona políticamente expuesta, tales como, sus colaboradores de trabajo, 

asesores, consultores y socios personales; 

Corresponsal.- Institución financiera nacional o del exterior con la cual se mantiene relaciones 

comerciales o bancarias, previa firma de un convenio; 

Criterios de riesgo.-Son los elementos sustentados que bajo cada factor de riesgo previamente 

definido, permiten evaluar dicho factor; 

Control y Prevención de lavado de activos.- las entidades del sistema financiero nacional tienen 

la obligación de establecer sistemas de control interno para la prevención de delitos, incluidos 

el lavado de activos y el financiamiento de delitos como el terrorismo, en todas las operaciones 

financieras. 

Debida diligencia.- Es el conjunto de políticas, procesos y procedimientos que aplica la entidad, 

a sus accionistas, clientes, empleados, corresponsales y mercado, para evitar que se la utilice 

como un medio para el cometimiento de lavado de activos o financiamiento de delitos; 

Debida diligencia mejorada, reforzada o ampliada.- Es el conjunto de políticas, procesos y 

procedimientos diferenciados, más exigentes, exhaustivos y razonablemente diseñados, en 

función de los resultados de la identificación, evaluación y diagnóstico de los riesgos, que aplica 

la entidad para prevenir el cometimiento del lavado de activos y el financiamiento de delitos; 

Debida diligencia simplificada.- Es el conjunto de políticas, procesos y procedimientos, que bajo 

la responsabilidad de la institución, conforme su perfil de riesgo, aplica con menor intensidad a












sus clientes para prevenir que se la utilice como un medio para el cometimiento del delito de 

lavado de activos o del financiamiento de delitos; 

Elementos de prevención de lavado de activos y financiamiento de delitos.- Son las políticas, 

procesos, procedimientos documentados formalmente, estructura organizacional, sistema de 

control interno, infraestructura tecnológica, capacitación y formación del personal y divulgación 

de normas y principios orientados a prevenir el lavado de activos y el financiamiento de delitos; 

Empresa pantalla.- Es la Compañía que no tiene una presencia física en el país donde fue 

legalmente constituida y autorizada para funcionar; ni en ningún otro país; 

Etapas de prevención de lavado de activos y financiamiento de delitos.- Se refiere a la 

identificación, medición, control y monitoreo del riesgo de lavado de activos y financiamiento 

de delitos; 

Factores de riesgo.- Son parámetros que permiten evaluar las circunstancias y características 

particulares de clientes, productos y servicios, canal y situación geográfica, con la finalidad de 

determinar la probabilidad de ocurrencia e impacto de una transacción inusual; 

Instituciones del sistema financiero.- Son aquellas entidades que se encuentran sujetas a la 

supervisión, vigilancia y control de la Superintendencia de Bancos del Ecuador; 

Lavado de Activos y Financiamiento de delitos como el Terrorismo.- Las infracciones del sobre 

lavado de activos y financiamiento de delitos como el terrorismo, se sancionarán de 

conformidad con las disposiciones del Código Orgánico Integral Penal y la Ley de Prevención, 

Detección, Erradicación, del delito de lavado de activos y financiamiento de delitos. 

LAFTOD.- Siglas en español: lavado de activos, financiación del terrorismo y otros delitos. 

Mercado.- Es el conjunto de personas y organizaciones que participan de alguna forma en la 

compra y venta de los bienes y servicios o en la utilización de los mismos. 

Para definir el mercado en el sentido más específico, hay que relacionarle con otras variables, 

como el producto o una zona determinada; 

Método de reconocido valor técnico.- Es una sucesión de pasos documentados, ligados entre sí 

por un propósito verificable, comprobable, operativo y fidedigno, que en función de sus 

clientes, productos y servicios, canal, ubicación geográfica, entre otros, las instituciones 

financieras deben usar para segmentar la información del cliente, establecer perfiles 

transaccionales, de comportamiento y de riesgo, aplicar procesos de monitoreo y reportar 

inusualidades; 

Ocupación.- Es la actividad económica o labor que habitualmente desempeña el cliente, tanto 

al inicio como durante el transcurso de la relación comercial; 

Oficial de Cumplimiento.- Es el funcionario que forma parte de la alta gerencia, calificado por la 

Superintendencia de Bancos del Ecuador, responsable de verificar la aplicación de la normativa












inherente a la prevención de lavado de activos, financiamiento del terrorismo y otros delitos, 

ejecutar el programa de cumplimiento tendiente a velar por la observancia e implementación 

de los procedimientos, controles y buenas prácticas necesarios para la prevención de lavado de 

activos, financiamiento del terrorismo y otros delitos; 

Paraísos fiscales.- Son aquellos territorios o estados que se caracterizan por tener legislaciones 

impositivas y de control laxas, y que han sido clasificados como tales por el Servicio de Rentas 

Internas. 

Perfil de comportamiento del sujeto de análisis.- Son todas aquellas características propias y 

habituales del sujeto de análisis, asociadas con su información general y con el modo de 

utilización de los servicios y productos que ofrece la institución; 

Perfil transaccional del sujeto de análisis.- Es el parámetro máximo determinado por la entidad, 

de las acreencias netas de todos los productos consolidados del sujeto de análisis, en función 

de la situación y actividades económicas que realiza mensualmente este cliente, sobre el cual se 

debe confrontar su transaccionalidad. En la medida que varíen los factores que determinen 

este perfil, éste debe actualizarse; 

Perfil de riesgo.- Es la condición de riesgo que presenta el cliente, tanto por su perfil de 

comportamiento y su perfil transaccional, que le pueden exponer a la entidad a la ocurrencia 

de sucesos con implicaciones en lavado de activos o financiamiento de delitos; 

Persona políticamente expuesta.- Es la persona que desempeña o ha desempeñado funciones 

públicas destacadas en el país o en el exterior, que por su perfil pueda exponer en mayor grado 

a la entidad al riesgo de lavado de activos y financiamiento de delitos, por ejemplo, jefe de 

Estado o de un gobierno, político de alta jerarquía, funcionario gubernamental, judicial o militar 

de alto rango, ejecutivo estatal de alto nivel, funcionario importante de partidos políticos. Las 

relaciones comerciales con, los parientes dentro del segundo grado de consanguinidad o 

primero de afinidad y los colaboradores cercanos de una persona políticamente expuesta, 

implican que las instituciones del sistema financiero apliquen procedimientos de debida 

diligencia ampliados; 

Productos.- Son mecanismos o instrumentos financieros que de conformidad con la ley, ofertan 

las instituciones del sistema financiero 

Profesión.- Actividad que ejerce una persona públicamente y que requiere de un conocimiento 

especializado y una capacitación educativa de alto nivel; 

Transacción económica inusual e injustificada.- Movimientos económicos realizados por 

personas naturales o jurídicas, que no guarden correspondencia con el perfil transaccional y de 

comportamiento establecido por la entidad y que no puedan ser sustentados o, cuando aun 

siendo concordantes con el giro y perfil del cliente, parezcan desmedidos e inusuales por su 

monto, frecuencia o destinatarios; 

Segmentación.- Es el resultado de definir, identificar, clasificar y analizar adecuadamente los 

grupos de sus clientes en función de sus características y criterios de riesgo adoptados;












Usuario.- Es la persona natural o jurídica que, sin ser cliente de la institución controlada, recibe 

de ésta un servicio. 

1.3 ETAPAS 

1.3.1 ETAPAS DEL LAVADO DE ACTIVOS 

Colocación 

Diversificación o estratificación 

Justificación o integración 

COLOCACIÓN 

Es la actividad de colocar físicamente dinero en el sistema financiero, mediante diversas 

formas como: depósito (en cuentas corrientes, de ahorros o saldos a favor en tarjeta de 

crédito), inversión o compra de varios instrumentos monetarios, como pueden ser 

certificados de depósito, cheques de cajero, pólizas, créditos etc.; cambio a moneda 

extranjera, contrabando físico de dinero, traslado al país de origen para revenderlos y/o 

cuentas por pagar a establecimientos o proveedores cuya actividad ha sido financiada con 

recursos ilícitos. 

DIVERSIFICACIÓN O ESTRATIFICACIÓN 

Consiste en la intención de desvinculación de los ingresos ilícitos, mediante varias y 

diversas operaciones financieras complejas para disfrazar el dinero ilícito, como puede ser 

la realización de transferencias de dinero a otros sitios dentro o fuera del país, retirarlos 

en formas de transferencias electrónicas, cartas de crédito, acciones, bonos, obras de arte 

de fácil transporte y venta, conversión de instrumentos monetarios a cheques de 

gerencia, viajero, pagos a terceros, etc. 

JUSTIFICACIÓN O INTEGRACIÓN 

Etapa en la cual el lavador proporciona una explicación aparentemente legítima de los 

ingresos ilegales; ejemplos: compañías ficticias y falsos préstamos, compra – venta de 

bienes inmuebles por medio de una empresa ficticia, venta de dinero en efectivo en el 

mercado libre, sobre-facturación, etc. 

En esta última etapa el dinero es incorporado formalmente al circuito económico legal. 

1.3.2 ETAPAS DEL FINANCIAMIENTO DEL TERRORISMO 

Recaudación de Fondos 

Transmisión o disimulación 

Uso 

RECAUDACIÓN DE FONDOS: 

Etapa en la cual se obtiene fondos generalmente utilizando una causa benéfica para 

disimular el uso final de los fondos.












TRANSMISIÓN / DISIMULACIÓN: 

Es la etapa en la cual se trasladan los fondos recaudados hasta el lugar donde la 

organización terrorista necesita para utilizar esos fondos, se utilizan los giros o 

transmisión de fondos mediante remesa formal e informal, así como el trasporte físico 

de activos por vías de contrabando. 

USO: 

Etapa en la cual con los fondos recaudados se financian el alojamiento de un terrorista o 

la compra de materiales para utilizarlos en un acto de terrorismo, generalmente. 

2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES 

Para dar cumplimiento a la normativa establecida por el organismo de control y a fin de 

adoptar, implementar y controlar con un enfoque de arriba hacia abajo, los procedimientos 

señalados en el presente documento, se señalan las funciones establecidas en la Ley para el 

Directorio, Comité de Cumplimiento y Oficial de Cumplimiento, así como las responsabilidades 

asignadas a las demás áreas de la organización: 

2.1 Del Directorio 

En lo relativo a prevención de lavado de activos y financiamiento de delitos, tendrá, como 

mínimo, las siguientes obligaciones y funciones: 

• Aprobar y emitir las políticas generales para la prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos, en el marco de las disposiciones y normativa 

vigente correspondiente; 

• Aprobar el código de ética en relación a la prevención de lavado de activos, financiamiento 

del terrorismo y otros delitos. El mencionado código de ética hace referencia al 

cumplimiento de parte de los accionistas, directores, ejecutivos y colaboradores del Grupo 

Financiero de las presentes políticas, valores y reglas de conducta que deben seguir y de las 

sanciones por su inobservancia; 

• Aprobar el manual de prevención de lavado de activos y financiamiento de delitos del Grupo 

Financiero Diners Club. y sus actualizaciones; 

• Aprobar, en enero de cada año, el plan de trabajo anual de la unidad de cumplimiento en 

materia de prevención de lavado de activos, financiamiento del terrorismo y otros delitos, 

así como el informe de esta unidad correspondiente al año inmediato anterior; 

• Llevar a conocimiento de la Junta General de Accionistas los documentos referidos en el 

numeral anterior; 

• Designar al Oficial de Cumplimiento y a su respectivo suplente, de conformidad con el perfil 

y cumplimiento de requisitos exigidos para ocupar el cargo y removerlos de sus funciones, 

cuando existan méritos para ello. La gestión de prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos será de responsabilidad exclusiva del 

Directorio, en tanto no se disponga de un Oficial de Cumplimiento debidamente calificado












por la Superintendencia de Bancos del Ecuador, por el plazo previsto en la normativa 

correspondiente; 

• Designar a los miembros del Comité de Cumplimiento; 

• Aprobar el procedimiento de control y las instancias responsables conformadas con 

funcionarios de la alta gerencia para la vinculación de los clientes que por sus características, 

actividades que desempeña, transacciones que realizan, entre otros, pueda considerarse 

mayormente expuestos al riesgo de lavado de activos, financiamiento del terrorismo y otros 

delitos; 

• Conocer y realizar un seguimiento de las resoluciones adoptadas por el Comité de 

Cumplimiento, dejando expresa constancia en el acta respectiva; 

• Aprobar la adquisición de los recursos técnicos y la contratación de los recursos humanos 

necesarios para implementar y mantener los procedimientos de prevención de lavado de 


• Designar las instancias autorizadas para exceptuar clientes del diligenciamiento del 

formulario de origen lícito de fondos; 

• Designar la instancia responsable del diseño de las metodologías, modelos e indicadores 

cualitativos y/o cuantitativos, para la oportuna detección de las transacciones económicas 

inusuales e injustificadas, con un valor técnico que vaya en función de la información pública 

disponible y la mínima solicitada en este capítulo; 

• Determinar las sanciones administrativas internas para quien incumpla los procesos de 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos y verificar el 

cumplimiento; y 

• Aprobar la metodología general de la matriz de riesgos de prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos y las metodologías, modelos e indicadores 

cualitativos y cuantitativos para la oportuna detección de las transacciones económicas 

inusuales e injustificadas que presente el comité de cumplimiento. 

2.2. Del Comité de Cumplimiento 

• El Comité de Cumplimiento que estará conformado por: un representante designado por el 

Directorio; por la Gerencia Nacional de Centro de Servicios, la Gerencia Nacional de 

Planeación y Finanzas, quien actúa como delegado del Representante legal, la Gerencia 

Nacional de Negocios, la Gerencia Nacional de Riesgos, la Gerencia Nacional de Recursos 

Humanos, el Auditor Interno, el Oficial de Cumplimiento y un Asesor Legal. 

• En caso de no contar con su asistencia deberán delegar su participación, la delegación no 

exime a su titular de su responsabilidad.












• Será presidido por el miembro designado por el Directorio o su delegado y en ausencia de 

éste, asumirá la misma un Gerente Nacional miembro del comité, quien será elegido de 

forma ad-hoc en la sesión. 

• El asesor legal actuará como secretario, quien elaborará y llevará las respectivas actas de las 

distintas sesiones y verificará el quórum al inicio de cada sesión. 

• El comité sesionará de manera ordinaria una vez al mes y extraordinariamente cuando el 

presidente lo convoque por iniciativa propia o por pedido de por lo menos dos de sus 

miembros o ante requerimiento del oficial de cumplimiento para el pronunciamiento sobre 

una inusualidad injustificada. 

• En la convocatoria constará el orden del día y se la realizará por lo menos con cuarenta y 

ocho (48) horas de anticipación, excepto cuando se trate de sesiones extraordinarias. 

• El quórum para las sesiones se establecerá por lo menos con la mitad más uno de los 

miembros del comité, con derecho a voto. 

• Las decisiones se tomarán con el voto mayoritario de los miembros del comité; en caso de 

empate, tendrá voto dirimente el presidente. 

• Todos los miembros tendrán voz y voto y excepto el auditor interno que participará 

únicamente con voz pero sin voto 

Funciones del Comité de Cumplimiento 

Proponer al Directorio las políticas generales de prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos y de aprobar dichas políticas. 

 

 

 

 

 

Someter a aprobación del Directorio u organismo que haga sus veces, el manual de 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos, así como 

sus reformas y sus actualizaciones; 

Recibir, analizar y pronunciarse sobre cada uno de los puntos que contenga el informe 

mensual presentado por el Oficial de Cumplimiento, y realizar seguimiento a las labores 

que desempeña este funcionario dejando expresa constancia en la respectiva acta; 

Recibir, analizar y pronunciarse sobre los informes de transacciones económicas 

inusuales e injustificadas reportadas por el Oficial de Cumplimiento, para si fuere el caso 

llevarlos en forma inmediata a conocimiento del representante legal de la institución 

financiera, previo a su envío a la Unidad de Análisis Financiera - UAF; 

Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento; 

Emitir recomendaciones al Oficial de Cumplimiento sobre la aplicación de las políticas de 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos y efectuar 

el seguimiento del acatamiento de las mismas;












 

 

 

 

Proponer la imposición de sanciones administrativas internas al personal de la 

Organización por el incumplimiento de las medidas de prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos, previo al proceso administrativo 

correspondiente y conforme a lo establecido en las políticas internas y en el reglamento 

interno de trabajo, mismas que serán puestas en conocimiento del Directorio, según la 

severidad de cada caso. 

Presentar al Directorio metodología general de la matriz de riesgo de prevención de 

lavado de activos, financiamiento del terrorismo y otros delitos y aprobar al menos 

semestralmente las actualizaciones de los criterios, categorías y ponderaciones de 

riesgos constantes en la matriz de riesgo. 

Presentar al Directorio las metodologías, modelos, e indicadores cualitativos y 

cuantitativos para la oportuna detección de las transacciones económicas inusuales e 

injustificadas; y 

Aprobar los mecanismos suficientes y necesarios para que la institución del sistema 

financiero mantenga sus bases de datos actualizadas y depuradas para que puedan ser 

utilizadas de manera eficiente y oportuna en las labores de prevención de lavado de 

activos y del financiamiento de delitos. Informar e implementar los correctivos 

correspondientes y oportunos respecto de información que deba ser actualizada, 

identificada durante sus revisiones. 

En caso de incumplimiento de las funciones descritas, la Superintendencia de Bancos del 

Ecuador sancionará a los integrantes del Comité de Cumplimiento sobre la base de lo 

dispuesto en el artículo 134 de la Ley General de Instituciones del Sistema Financiero, en 

concordancia con lo establecido en el capítulo I “Normas para la aplicación de sanciones 

pecuniarias”, del título XVI “De las sanciones y de los recursos en sede administrativa” 

del libro I “Normas generales para la aplicación de la Ley General de Instituciones del 

Sistema Financiero” 

2.3 De la Unidad de Cumplimiento 

La unidad de cumplimiento, que depende directamente del Directorio, a través del oficial de 

cumplimiento y su personal, es la principal encargada de proteger a la Organización y de 

prevenir el lavado de activos, financiamiento del terrorismo y otros delitos en los productos y 

servicios que ofrece el Grupo Financiero así como de velar por el cumplimiento de las 

disposiciones legales y normativas, manuales y políticas internas, prácticas, procedimientos y 

controles internos en materia de prevención de lavado de activos, por parte de todos y cada 

uno de los miembros del Grupo Financiero. 

El Oficial de Cumplimiento es el funcionario que forma parte de la alta gerencia, calificado por 

la Superintendencia de Bancos del Ecuador responsable de verificar la aplicación de la 

normativa inherente a la prevención de lavado de activos, financiamiento del terrorismo y otros 

delitos, ejecutar el programa de cumplimiento tendiente a velar por la observancia e 

implementación de los procedimientos, controles y buenas prácticas necesarios para la 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos. El Oficial de












cumplimiento debe disponer la implementación de medidas que deban ser adoptadas en 

aplicación de los mecanismos de prevención diseñados, acogidos o requeridos por el Grupo. 

Para el cumplimiento de sus objetivos, el Oficial de Cumplimiento debe contar con una 

estructura administrativa de apoyo independiente de cualquier área. Las unidades operativas, 

riesgos, sistemas, recursos humanos y auditoría interna, entre otras, están obligadas a 

proporcionar la información y accesos solicitados por el Oficial de Cumplimiento. 

La unidad de cumplimiento podrá realizar visitas de inspección a las compañías filiales o 

subsidiarias, sucursales, agencias, oficinas y dependencias en el lugar en el que éstas estuvieran 

ubicadas, con el objetivo de verificar el cumplimiento de la presente normativa. 

2.3.1 Funciones del Oficial de cumplimiento 

• Elaborar y actualizar el Manual de Prevención de Lavado de activos, financiamiento del 

terrorismo y otros delitos para conocimiento del Comité de Cumplimiento y para su 

posterior aprobación por parte del Directorio u organismo que haga sus veces; 

• Vigilar que el manual de prevención de lavado de activos, financiamiento del terrorismo y 

otros delitos y sus modificaciones, esté actualizado y sea divulgado entre el personal; 

• Coordinar con la administración en la elaboración de la planificación de cumplimiento para 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos de la entidad; 

• Remitir a la Superintendencia de Bancos del Ecuador el manual de prevención de lavado de 

activos, financiamiento del terrorismo y otros delitos y sus reformas, aprobado por el 

Directorio; 

• Elaborar y remitir, hasta el 31 de enero de cada año, a la Superintendencia de Bancos del 

Ecuador el plan de trabajo, de la Unidad de Cumplimiento para el nuevo año, así como el 

informe de cumplimiento de los objetivos de la institución en materia de prevención de 

lavado de activos, financiamiento del terrorismo y otros delitos del año inmediato anterior, 

debidamente aprobados por el Directorio. 

• Verificar el cumplimiento, por parte de toda la organización, de las disposiciones 

relacionadas a la prevención de lavado de activos, financiamiento del terrorismo y otros 

delitos contenidas en la Ley de Prevención, Detección y Erradicación del Delito de Lavado de 

activos, financiamiento del terrorismo y otros delitos en el manual de prevención de lavado 

de activos, financiamiento del terrorismo y otros delitos, en el Código de Ética, y en otras 

normas internas y externas, aplicables; 

• Formular las estrategias de la institución para establecer los controles necesarios sobre la 

base del grado de exposición al riesgo de lavado de activos, financiamiento del terrorismo y 

otros delitos; 

• Supervisar y propender que las políticas y procedimientos, respecto de la prevención de 

lavado de activos, sean adecuados y actuales;












• Verificar la aplicación de procedimientos específicos para prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos por parte de los empleados; 

• Controlar permanentemente el cumplimiento de las políticas “Conozca a su accionista” 

“Conozca su cliente”, “Conozca su empleado”, “Conozca su mercado” y “Conozca su 

corresponsal”; 

• Verificar permanentemente, en coordinación con los responsables de las diferentes áreas de 

la institución controlada, que las transacciones que igualen o superen cinco mil dólares 

(USD$5.000) o su equivalente en otras monedas, cuenten con los documentos de soporte 

definidos en el manual de control interno; y, con la declaración de origen lícito de los 

recursos; 

• Confirmar que los formularios para registrar las transacciones en efectivo u otras formas de 

pago, iguales o superiores a cinco mil dólares (USD$5.000) o su equivalente en otras 

monedas, sean debidamente diligenciados por parte del empleado encargado de atender al 

cliente al momento que realiza la transacción; 

• Coordinar los esfuerzos de monitoreo con las distintas áreas de la institución, identificando 

las fallas en el programa de prevención de lavado de activos, financiamiento del terrorismo y 

otros delitos; 

• Monitorear permanentemente las transacciones que se realizan en la institución, a fin de 

detectar las inusuales e injustificadas; 

• Recibir los informes de transacciones económicas inusuales e injustificadas, de acuerdo al 

mecanismo implementado por la institución en el manual de prevención de lavado de 


• Realizar el análisis de las transacciones económicas inusuales e injustificadas, detectadas y 

reportadas por quien tramita, registra o controla la transacción, para sobre esta base y con 

los documentos de sustento suficientes, preparar el correspondiente informe al Comité de 

Cumplimiento, cuerpo colegiado que deberá reunirse inmediatamente ante convocatoria del 

Oficial de Cumplimiento a fin de determinar la procedencia o no de remitirlo a la Unidad de 

Análisis Financiera UAF; 

• Dejar constancia de lo actuado sobre la transacciones mencionadas en los numerales 

anteriores, informes y documentos que, con las seguridades previstas en este capítulo, 

deben conservarse por un tiempo mínimo de seis (6) años; 

• Velar y vigilar que el reporte de transacciones inusuales e injustificadas a la Unidad de 

Análisis Financiera UAF se lo realice de manera adecuada y oportuna; 

• Orientar la conservación de los documentos relativos a la prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos, de modo que esto sean archivados de acuerdo 

a las seguridades previstas en la norma.












• Presentar al Comité de Cumplimiento, los informes sobre transacciones económicas 

inusuales e injustificadas intentadas o realizadas. El informe mensual y anual de gestión 

deben referirse como mínimo a los resultados de los procesos de cumplimiento y actividades 

desarrolladas, sugiriendo acciones de mejoramiento; 

• Absolver consultas del personal de la institución del sistema financiero relacionadas con la 

naturaleza de las transacciones frente a la actividad del cliente; 

• Reportar al Comité de Cumplimiento, el cometimiento de faltas o errores que resultaren del 

incumplimiento de los proceso de prevención de lavado de activos o financiamiento de 

delitos por parte de accionistas, directores, funcionarios o empleados de la institución; 

• Coordinar el desarrollo de programas de capacitación inicial y continua sobre prevención de 

lavado de activos, financiamiento del terrorismo y otros delitos para los empleados que 

contrate la institución y para los demás colaboradores, respectivamente; 

• Cumplir con el rol de enlace con autoridades e instituciones en materia de prevención de 

lavado de activos, financiamiento del terrorismo y otros delitos; 

• Elaborar estadísticas con base en los siguientes factores y criterios de riesgo, determinados 

en la matriz de riesgo: concentración de operaciones por cada segmento de mercado, 

movimiento consolidado por cliente, clasificación de operaciones por montos, clasificación 

de clientes por direcciones, etc. Si durante el ejercicio de sus labores, se identificasen otros 

factores, los mismos serán considerados, aprobados y debidamente incluidos en la 

metodología y actualizados en la normativa y matriz de riesgo correspondientes. 

• Colaborar con la instancia designada por el Directorio en el diseño de metodologías, 

modelos e indicadores cualitativos y/o cuantitativos para la oportuna detección de 

operaciones o transacciones económicas inusuales e injustificadas; 

• Emitir un informe sobre los nuevos productos y servicios que vaya a implementar la 

institución en forma previa a su aprobación por el Comité de Cumplimiento. Dicho informe 

expresará la opinión sobre la suficiencia de las políticas, procesos y procedimientos que se 

establezca para la aplicación de estos productos y servicios, respecto de las acciones o 

medidas de identificación y control de los riesgos asociados con el lavado de activos, 

financiamiento del terrorismo y otros delitos, 

• Proponer al Comité de Cumplimiento los mecanismos suficientes y necesarios, para que la 

institución del sistema financiero mantenga su base de datos actualizada y depurada, con el 

fin de que pueda ser utilizada de manera eficiente y oportuna en la aplicación de las políticas 

de prevención del lavado de activos y de financiamiento de delitos; 

• Coordinar e informar al Comité de Cumplimiento sobre la aplicación de los mecanismos 

suficientes y necesarios para que la institución financiera mantenga su base de datos 

actualizada.












• Verificar e informar sobre el establecimiento de perfiles transaccionales y de 

comportamiento actualizados de todos los clientes de la institución; y, 

• Otras que establezcan las instituciones del sistema financiero que coadyuven a prevenir el 

lavado de activos, financiamiento del terrorismo y otros delitos en la Organización. 

El Oficial de Cumplimiento está prohibido de: 

 

 

 

 

Delegar el ejercicio de su cargo, salvo en el caso de ausencia temporal debidamente 

justificada; en cuyo caso deberá ser reemplazado temporalmente por el oficial de 

cumplimiento suplente. Si la ausencia es definitiva se deberá notificar a la 

Superintendencia conforme lo establecido en la normativa vigente. 

Dar a conocer a personas no autorizadas los informes sobre transacciones económicas 

inusuales e injustificadas; 

Revelar datos contenidos en los informes, o entregar a personas no relacionadas con las 

funciones de control, información respecto a los negocios o asuntos de la entidad, 

obtenidos en el ejercicio de sus funciones. 

Desempeñar tales funciones u otra dignidad o función en otras entidades controladas 

por la Superintendencia de Bancos del Ecuador, salvo que se trate del mismo Grupo 

Financiero. 

2.3.2 Designación del Oficial de Cumplimiento 

El Oficial de Cumplimiento será designado por el Directorio, tendrá que acreditar 

conocimiento y experiencia en la temática de prevención de lavado de activos, 

financiamiento del terrorismo y otros delitos, y sobre las actividades, productos y 

servicios que el Grupo financiero desarrolla y ofrece, deberá ser empleado de la 

institución controlada, de alto nivel administrativo, tener capacidad decisoria y 

autonomía, de manera que pueda señalar las medidas que deban adoptarse en 

aplicación de los mecanismos de prevención diseñados, acogidos o requeridos a la 

institución. 

Por tratarse de un mismo grupo financiero, el Oficial de Cumplimiento designado por el 

Directorio para Diners Club del Ecuador S.A., también ejercerá el cargo en INTERDIN S.A. 

2.4 De las áreas de la Organización 

A continuación se describen las responsabilidades que las diferentes áreas de la organización 

tienen respecto a sus funciones y la prevención de lavado de dinero y financiamiento del 

terrorismo y otros delitos. 

2.4.1 De la Gerencia Nacional de Negocios 

Dentro de las responsabilidades principales de la Gerencia Nacional de Negocios respecto a la 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos están:












Áreas de atención a clientes: Canales – Cartera - Inversiones – Establecimientos 

Conocer y aplicar las políticas y procedimientos de control y mitigación del riesgo de lavado de 

activos, financiamiento del terrorismo y otros delitos implementados en la institución en sus 

funciones habituales y relaciones comerciales establecidas con clientes. 

Recopilar, validar/controlar y concluir sobre la información y documentación de cada cliente 

principal y beneficiario que permita tener un adecuado conocimiento del mismo y la actividad a 

la cual se dedica. 

Garantizar que todas las transacciones cuenten con los documentos de soporte internamente 

definidos por tipo de cliente o transacción. 

Aplicar las medidas de mitigación del riesgo de lavado de activos y financiamiento del 

terrorismo con cada uno de los clientes, en función del riesgo que los clientes representen. 

Conocer y entender la fuente de los recursos económicos que los clientes (principal y 

beneficiario) están ingresando a la institución. 

Observar las políticas y ejecutar los procesos correspondientes para que la información de los 

clientes se encuentre actualizada. 

Reportar oportunamente a los niveles correspondientes cuando detecte señales de alerta de 

lavado de activos o actividades ilícitas en su relación con clientes. 

Recopilar oportunamente información y/o documentación de clientes que presenten alertas, 

en el caso de que la Unidad de Cumplimiento lo requiera, de acuerdo a los plazos establecidos. 

Solicitar al cliente y asegurar que la información del mismo esté razonablemente actualizada 

según las políticas vigentes. 

Productos. 

Informar respecto al desarrollo de productos nuevos a la Unidad de Cumplimiento, a fin de que 

sea propuesto para aprobación del comité de cumplimiento; así como remitir la documentación 

y/o información que sea solicitada para el análisis y aprobación de la implementación del 

producto. 

Previo al lanzamiento de un nuevo producto o servicio deberá notificar a las áreas de riesgos, 

auditoría interna, cumplimiento y legal para que puedan aportar en la evaluación de riesgos, 

entre ellos aquellos relacionados con la prevención de lavado de activos que se puedan 

relacionar con el nuevo producto, servicio o mejora de productos,. 

2.4.2 De la Gerencia de Tesorería 

Aplicar la política Conozca su Cliente y su Corresponsal en las relaciones establecidas con 

bancos locales o internacionales y con los clientes que administra desde la mesa de dinero.












Mantener la documentación de corresponsales y clientes completa y actualizada conforme 

política y procedimientos definidos. 

Emitir un informe anual por cada corresponsal nacional e internacional que mantenga relación 

comercial con la institución, en el cual plasme el conocimiento al corresponsal, por parte de la 

Gerencia de Tesorería. 

Aplicar la política conozca su cliente en los procesos de captaciones a plazo y en general 

productos del pasivo que son manejados por esta área; los controles aplicables al área de 

negocio son aplicables también a Tesorería en cuanto a las captaciones de fondos. 

2.4.3 De la Gerencia Nacional de Riesgos 

Apoyar, cuando sea solicitado, con la elaboración, revisión y/o actualización de modelos y 

metodologías para la prevención del riesgo de lavado de activos, financiación del terrorismo y 

otros delitos. 

Proveer de información y estudios realizados por el área relacionados con análisis sectoriales, 

segmentos de clientes y tendencias económicas y específicamente informes y estudios para la 

aplicación de la política Conozca su mercado. 

Aprobar los accesos a sistemas y opciones para obtener información según las necesidades de 

la Unidad de Cumplimiento. 

Mantener actualizada en la Matriz de riesgo operativo, la matriz de riesgo de lavado de activos 

comunicada por Cumplimiento. 

2.4.4 Del Área Legal 

Apoyar, cuando sea solicitado, con la revisión de juicios y asesoría respecto a aspectos legales 

en las relaciones con clientes, proveedores, colaboradores, accionistas, directores y 

corresponsales; y, aspectos legales relacionados con contratos o nuevos productos 

Mantener la documentación de accionistas y directores debidamente completa y actualizada y 

aplicar los controles descritos en la política “Conozca a su accionista y su Director”. 

Informar a la Unidad de Cumplimiento cuando un accionista tenga una participación accionarial 

igual o mayor del 6%, solicitando al accionista el formulario de licitud de fondos, el mismo que 

deberá mantenerlo archivado en el file del accionista. 

Remitir mensualmente a la Unidad de Cumplimiento la base de accionistas actualizada. 

Designar a un responsable para participar como Secretario del Comité de Cumplimiento con las 

funciones y responsabilidades definidas en la normativa vigente. 

2.4.5 De la Gerencia Nacional de Recursos Humanos 

Dentro de sus procedimientos regulares, aplicar las políticas, procedimientos y controles 

relacionados a la política conozca a su colaborador.












Coordinar el proceso periódico de actualización de datos de colaboradores, a fin de mantener la 

información debidamente actualizada. 

Mantener las carpetas de los colaboradores con la documentación completa y actualizada 

conforme lo definido en la normativa vigente. 

Apoyar a la Unidad de Cumplimiento en la realización de charlas y capacitaciones referentes a 

las políticas y procedimientos para prevención de lavado de activos, financiamiento del 

terrorismo y otros delitos. 

Definir, conjuntamente con la Unidad de Cumplimiento, la metodología para identificación de 

inusualidades de colaboradores y sus alertas de comportamiento. 

Analizar los casos reportados (alertas); y comunicar y analizar las inusualidades identificadas en 

función de la aplicación de la metodología definida. Analizar los justificativos presentados por 

los colaboradores y justificar o no según el caso. 

Remitir el informe de aplicación de la Política Conozca su Colaborador a la Unidad de 

Cumplimiento cada año. 

Participar en el Comité de Cumplimiento y exponer los casos relacionados a inusualidades de 

colaboradores. 

Remitir mensualmente a la Unidad de Cumplimiento la nómina de colaboradores para su 

revisión en listas denegadas. 

Elaborar las estructuras y/o reportes solicitados por organismos de control que contengan 

información de colaboradores. 

2.4.6 De las áreas de la Gerencia Nacional del Centro de Servicios 

Área de Crédito y Mantenimiento de Cuentas.- 

Actualizar en el sistema, los datos de clientes como resultado de su gestión y en aquellos casos 

específicos solicitados por el área de Cumplimiento, enfocándose al requerimiento específico 

según el caso y en los tiempos establecidos para el efecto. 

Remitir al área de Cumplimiento la información para la generación de estructuras en forma y 

frecuencia definida en los ANS. 

Área de Operaciones Financieras.- 

Remitir al área de Cumplimiento la información en forma y frecuencia solicitada que sirve como 

input para la elaboración de estructuras y/o aplicación de metodologías. 

Área de Back Office.- 

Remitir al área de Cumplimiento la información en forma y frecuencia definida en los ANS












Área de Tecnología.- 

Brindar el soporte técnico necesario que permita obtener información, bases, datos o 

desarrollo que faciliten la ejecución de los procesos y controles para prevención de lavado de 

activos, financiamiento del terrorismo y otros delitos en la institución. 

Brindar soporte en el desarrollo y mantenimiento de los softwares utilizados por la Unidad de 

cumplimiento, a fin de que se ajuste a los estándares de seguridad y mejores prácticas 

tecnológicas requeridas por la organización. 

Área de Cobranzas.- 

Aplicar los procedimientos de prevención de lavado de activos en la solicitud del formulario de 

licitud de fondos en las transacciones de cobro y/o actualización de datos en los casos de 

novaciones, refinanciamientos y reestructuraciones. 

Notificar casos de pagos inusuales de personas con problemas crediticios cuando son montos 

importantes. 

Gerencia Administrativa 

Aplicar las políticas, controles y procedimientos definidos en la Política Conozca su proveedor y 

el Reglamento de Selección y calificación de proveedores. 

Entregar información de proveedores cuando sea solicitado por la Unidad de Cumplimiento. 

Conocer las alertas de lavado de activos en proveedores y reportar las inusualidades que se 

detecten a la Unidad de Cumplimiento. 

Entregar de manera mensual, al Área de Cumplimiento, la base de proveedores de la 

organización, la cual deberá incluir la información de accionistas de dichos proveedores con 

participación igual o mayor al 25%. 

Facilitar al Área de Cumplimiento, documentación del file del proveedor, informes de 

calificación o documentación soporte de proveedores, cuando sea solicitado para revisión, 

análisis o casos específicos. 

Establecer controles y alertas para mitigar riesgos relacionados con la política “Conozca su 

proveedor”. 

2.4.7 De Auditoría Interna 

Considerar dentro de su planificación anual la revisión periódica de políticas, controles y 

procedimientos para prevención de lavado de activos. Cada año, el alcance y naturaleza de 

dichos procedimientos se delimitan y definen en el plan anual aprobado por el Directorio y 

Superintendencia. Emitir los informes previstos en la normativa vigente. 

2.4.8 De los Colaboradores de la Organización 

En general, todo colaborador de la institución conforme el cargo ejercido en las diferentes áreas 

serán responsables de la relación comercial con los clientes, proveedores, establecimientos,












corresponsales, directores, accionistas, colaboradores de acuerdo a su propia descripción de 

cargos y funciones; así como de apoyar a la Unidad de Cumplimiento, desde su ámbito 

funcional, en la prevención de lavado de activos, financiación del terrorismo y otros delitos. 

Como responsabilidad principal de todo colaborador del Grupo Financiero es anteponer el 

cumplimiento de la normativa interna y externa para la prevención de lavado de dinero, 

financiamiento del terrorismo y otros delitos a las metas comerciales. 

Para la aplicación de la responsabilidad anteriormente descrita, todo colaborador deberá: 

Aplicar estrictamente las políticas, procesos y procedimientos que permitan verificar, 

actualizar y validar el conocimiento de los clientes, establecimientos, proveedores, 

directores, accionistas, corresponsales y colaboradores. 

Mantenerse actualizado respecto a las políticas, controles y procedimientos vigentes para 

prevención de lavado de activos, a través de la consulta del manual e instructivos 

relacionados publicados en la intranet de la organización. 

Asistir o atender las capacitaciones que brinda la organización y rendir las evaluaciones 

correspondientes. 

Reportar inmediatamente a la Unidad de Cumplimiento, bajo los procedimientos 

establecidos, cuando se identifiquen alertas o comportamientos inusuales. 

Proveer la información y/o documentación solicitada por la Gerencia de Recursos Humanos 

que le permita tener un conocimiento adecuado de cada colaborador según la política 

definida. 

Mantener su información permanentemente actualizada, comunicando a la Gerencia de 

Recursos Humanos respecto a cambios en su perfil financiero. 

Para los niveles de supervisión: 

Supervisar, controlar e implementar mecanismos de alerta temprana para verificar que las 

políticas y procedimientos, respecto de la prevención de lavado de activos y financiamiento 

de actividades ilícitas, sean aplicados y cumplidos en cada una de sus áreas; 

Recibir los reportes de alertas, analizarlas y complementar información necesaria, para 

establecer si son inusualidades que deben ser reportadas a la Unidad de Cumplimiento y 

atender oportunamente dichos requerimientos. 

Reforzar e instruir permanentemente a su personal a cargo respecto del cumplimiento de la 

normativa interna y externa para la prevención de lavado de activos y financiamiento de 

actividades ilícitas.












3. POLÍTICAS Y PROCEDIMIENTOS PARA EL CONTROL DEL LAVADO DE ACTIVOS, 

FINANCIAMIENTO DEL TERRORISMO Y OTROS DELITOS 

El Grupo Financiero Diners Club del Ecuador ha establecido mecanismos que permiten cumplir 

con lo establecido por los Organismos de control y las mejores prácticas a nivel internacional 

relacionadas con la prevención de lavado de activos, financiación del terrorismo y otros delitos; 

y ha diseñado las políticas, procedimientos y controles para mitigar dichos riesgos, los mismos 

que se describen a continuación y cuyo principal objetivo es controlar el riesgo de lavado de 

activos, financiación del terrorismo y otros delitos: 

3.1 POLÍTICA CONOZCA A SU CLIENTE 

La base fundamental para prevenir de manera eficaz el lavado de activos, se encuentra en la 

capacidad que tiene el Grupo Financiero Diners Club de conocer la identidad, actividad y origen 

de los fondos que son objeto de manejo de los clientes constituyentes y beneficiarios. 

Conocer al cliente (incluye clientes de cartera, de captaciones y establecimientos), implica 

recolectar, validar y analizar información relevante, entre otras sobre: su identidad, ingresos y 

su origen o fuente, gastos, patrimonio, actividad económica, zona geográfica en la cual realiza 

sus negocios, perfil económico, transaccionalidad esperada del cliente, otras; esta información 

se obtiene de fuentes públicas y privadas y debe ser consistente y congruente a fin de que sirva 

como base para reconocer los factores de riesgo y establecer el perfil del riesgo de lavado de 

activos del cliente. 

Toda persona que establezca un contrato de producto o servicio con la institución se considera 

como cliente permanente; por lo tanto, no existe la categoría de clientes ocasionales y para 

todos los potenciales clientes del Grupo Financiero se deberá aplicar el antes referido 

procedimiento de debida diligencia; el mismo que implica identificar a todas las personas 

naturales y jurídicas para conocer con exactitud de donde proviene su dinero, cuál es su 

principal negocio, establecer claramente el perfil financiero del cliente, validar sus datos y por 

ende conocer el volumen o índole de sus operaciones y negocios, razonabilidad y congruencia 

de sus ingresos y patrimonio. 

Las características, montos, patrimonio y procedencia de los ingresos, deben encasillarse de 

acuerdo a la categoría de persona definida por el Grupo Financiero Diners Club del Ecuador, a 

fin de establecer requisitos adicionales previos a la vinculación del cliente. La información 

recaudada debe facilitar como mínimo la comparación de las características de las 

transacciones efectuadas, con la actividad económica declarada por los clientes. 

3.1.1 PROCEDIMIENTOS PARA LA PREVENCIÓN DE LAVADO DE ACTIVOS CONOZCA A SU 

CLIENTE: 

Según lo establecido en las políticas, reglamentos y procedimientos internos del Grupo 

Financiero, a continuación se detallan los procedimientos relativos a la prevención de lavado de 

activos, financiamiento del terrorismo y otros delitos: 

No se afiliarán socios, comercios o captarán inversiones que estén reportados en estado 

activo, en la Central de Alto Riesgo con los siguientes códigos:






Estupefacientes 

Asesinato, violación o falsificación de documentos 

Insolvencia quiebra 

Dilapidación, y juicios por alimentos 







La única área responsable de levantar el código o activar a un cliente o aplicante con código 

de bloqueo 01 “estupefacientes” es la Unidad de Cumplimiento, previa presentación y 

justificación del motivo de levante al Comité de Cumplimiento. 

A fin de identificar clientes registrados en la CAR con código 01, se utilizará únicamente los 

registros que cuenten con el número de identificación válida de la persona reportada 

(cédula o RUC). Esta validación se realizará debido a que la información que se recibe de los 

Organismos de Control, Superintendencia de Bancos, UAFE, en algunos casos contiene 

errores en el número de identificación o no contiene número de identificación. 

No se afiliarán socios, comercios o captarán inversiones con personas que estén reportados 

en listas denegadas nacionales e internacionales y por sus nombres y características sean 

plenamente identificables con el solicitante de la relación comercial. 

Para el caso de empresas en liquidación ingresa inversiones se debe verificar que sea el 

liquidador de la compañía quien la realiza 

En caso de personas jurídicas, este control aplica para los representantes, y los socios o 

accionistas mayoritarios (25% o más de participación en la sociedad o empresa), 

coincidentes en Listas de personas Denegadas, nacionales (lista mensual proporcionada por 

el BASE DE DATOS DE PERSONAS CON SENTENCIA CONDENATORIA - PCSC) e internacionales. 

Como norma de comportamiento y control, bajo ningún concepto la institución establecerá 

una relación de carácter civil o mercantil con un cliente, a quien no se le pueda comprobar la 

identidad a entera satisfacción. 

Si un cliente se rehúsa a entregar la información requerida, la relación no deberá ser 

establecida o no deberá continuar, y los colaboradores encargados de la relación con el 

cliente deberán notificar de manera inmediata al Oficial de Cumplimiento en el formulario 

de notificación de alertas o vía mail. 

En caso de excepción temporal de documentos, debidamente autorizados por los niveles de 

supervisión correspondientes, si el documento que el cliente acordó enviar o facilitar a 

futuro no es presentado dentro del plazo que se señala en los reglamentos de afiliación de 

establecimientos y de instrumentación de inversiones a plazo, cualquier relación ya 

establecida se dará por terminada. 

No se exime a ningún cliente del suministro de la información contemplada en los formatos 

y/o documentación del procedimiento de conocimiento del cliente, salvo las excepciones 

que permitan la ley, la regulación financiera, o el Directorio.












Así mismo no se podrá establecer relación comercial con personas naturales o jurídicas cuya 

actividad corresponda a actividades de campañas políticas. 

Se deberán aplicar las políticas y procedimientos adoptados por la institución para la 

afiliación de clientes catalogados como mayor revisión por sus características propias del 

perfil (Peps, extranjeros, clientes con ingresos de donaciones o aportaciones, empresas no 

registradas en la Superintendencia de compañías, valores y seguros.) 

Habilitación de registros en la Central de Alto Riego código 01 (antigüedad más de 3 años) 

Para sindicados que constan en la central de Alto Riesgo con código 01 Estupefacientes, por un 

periodo superior a los 3 años, se procederá con la verificación de sus nombres e identificación 

en la lista de Información Reservada más actual remitida por el organismo competente, la 

verificación de casusas penales en la consulta de la función judicial y listas denegadas; al no 

presentar alertas ene dicha verificación se procederá con el cambio de estatus a inactivo y a 

habilitar para el inicio de relación comercial. 

3.1.2 Documentación requerida a clientes 

A todo potencial cliente (sea persona natural o jurídica) se le requerirá la información que se 

detalla a continuación, previo al inicio de cualquier relación comercial con la institución. La 

información recabada deberá ser verificada a fin de dejar constancia de que es veraz y 

compatible con la naturaleza y actividad declarada por el solicitante de acuerdo a las políticas y 

procedimientos establecidos para la afiliación de socios personales, corporativos, 

establecimientos, otorgamiento de préstamos, captación de inversiones. 

Personas naturales: 

El formulario de solicitud de inicio de la relación comercial o actualización de datos, debe tener 

como mínimo la siguiente información y debe adjuntarse la siguiente documentación: 

Nombres y apellidos completos; 

Lugar y fecha de nacimiento; 

Número de identificación: cédula de ciudadanía, cédula de identidad, documento de 

identificación de refugiado (visa 12 IV) o pasaporte vigente en el caso de extranjeros; 

Ciudad y país de residencia. 

Dirección y número de teléfono del domicilio; 

Dirección del correo electrónico, de ser aplicable; 

Ocupación, profesión u oficio; y, detalle de los ingresos y egresos que provengan de las 

actividades principales económicas o no económicas, efectuadas por el cliente, sean 

estas en calidad de independiente o dependiente ordinarias declaradas; 

Copia del pago del impuesto a la renta del año inmediato anterior o constancia de la 

información publicada por el SRI a través de la página web, de acceso público, de ser 

aplicable; 

Descripción de la actividad: independiente o dependiente, en este último caso el cargo 

que ocupa; 

Detalle de ingresos y gastos que provengan de las actividades económicas declaradas.












Actividad económica principal: comercial, industrial, construcción, etc. entre otras de 

acuerdo a las actividades económicas utilizada en la institución. 

Fuente y monto de ingresos; 

Propósito de la relación comercial; 

Nombre, dirección, número de teléfono, fax y dirección de correo electrónico de la 

empresa, oficina o negocio donde trabaja, de ser aplicable; 

Detalle de ingresos diferentes a los originados en la actividad principal, especificando la 

fuente; 

Situación financiera: total de activos y pasivos, de ser aplicable; 

Referencias personales, y/o bancarias y/o comerciales; 

Nombres y apellidos completos del cónyuge o conviviente, de ser aplicable; 

Número de identificación del cónyuge o conviviente, de ser el caso. 

Firma y número del documento de identificación del solicitante; 

Copia de la cédula de ciudadanía, cédula de identidad, documento de identificación de 

refugiado (Visa 12 IV) o pasaporte vigente, certificado de empadronamiento del cliente; 

y de ser aplicable el de su cónyuge o conviviente. . 

Declaración de origen y destino lícito de recursos; 

Copia de los recibos de cualquiera de los servicios básicos. En caso de que en alguna 

localidad no existan dichos servicios, tal particular deberá constar en el expediente. 

Notas: 

1. No se adjuntará la constancia de revisión de personas en listas denegadas, revisión que 

se realiza de manera automática. 

2. La copia del pago del impuesto a la renta o su constancia de publicación en el portal del 

SRI es aplicable para el caso de clientes con actividad de propietarios o independientes, 

pudiendo también en su lugar presentar la copia del pago del IVA de los últimos 3 

meses. 

3. La copia de la cédula de identidad del cónyuge del cliente se solicitará cuando éste 

aplique como tarjetahabiente adicional, o cotitular de una inversión. 

Personas jurídicas: 

Razón social de las personas jurídicas, empresas, fundaciones y otras sociedades; 

Número de registro único de contribuyentes o número análogo; 

Objeto social; 

Ciudad y país del domicilio de la persona jurídica 

Dirección, número de teléfono y dirección de correo electrónico de las personas 

jurídicas, de ser el caso; 

Actividad económica; 

Nombres y apellidos completos del representante legal o apoderado; y, el número de 

documento de identificación 

Lugar y fecha de nacimiento del representante legal o apoderado. 

Dirección y número de teléfono del domicilio del representante legal o del apoderado, y 

dirección electrónica, de ser el caso. 

Copia certificada del nombramiento del representante legal o apoderado; 

Nómina actualizada de socios o accionistas en la que consten los montos de acciones o 

participaciones, obtenida por el cliente en el órgano de control competente.












Certificado de cumplimiento de obligaciones, de ser aplicable otorgado por el órgano de 

control competente: Superintendencia de Compañías, Superintendencia de Bancos 

o Superintendencia de Economías populares y solidarias; 

Estados financieros auditados, para la compañías: 

a. Compañías Anónimas y de Responsabilidad Limitada, si el total activos del 

balance del año anterior supera el USD 1'000.000.00 

b. Sucursales de Compañías Extranjeras, Compañías de Economía Mixta, Anónimas 

con Participación Estatal y Asociaciones, si el total activos del balance del año 

anterior supera los USD 100.000.00 

En caso de personas jurídicas que no superen los montos referidos se utilizará la información de 

los estados financieros incluidos en la declaración del Impuesto a la renta, en cualquier 

momento, según el perfil de riesgo de cada cliente, se podrá solicitar información para verificar 

la fuente de ingresos de dichas personas jurídicas. 

Copia del pago del impuesto a la renta del año inmediato anterior o constancia de la 

información publicada por el SRI a través de la página web, de acceso público, de ser 

aplicable; 

Copia de los recibos de cualquiera de los servicios básicos; 

Declaración de origen y destino lícito de recursos; 

Copia de la escritura de constitución y de sus reformas de existir éstas (según de fé el 

Representante legal o apoderado). 

Estatutos sociales vigentes y/o últimas reformas (según de fé el Representante legal o 

apoderado). 

Documentos de identificación de las personas que sean firmas autorizadas de la 

empresa; o de quienes representen legalmente a la institución; 

Nombres y apellidos completos del cónyuge o conviviente, del representante legal o 

apoderado, si aplica 

Número de identificación y nombres completos del cónyuge o conviviente, del 

representante legal o apoderado, si aplica; 

Documentos de identificación de otras personas autorizadas a representar a la empresa, 

de ser aplicable; y, 

Constancia de revisión de listas de información nacionales e internacionales de los 

accionistas de las personas jurídicas, que tengan participación accionarial igual o 

superior al 25% (impresión de la revisión). 

Nota: Al igual que para personas naturales, no se adjuntará la constancia de revisión de las 

empresas en listas denegadas (persona jurídica), revisión que se realiza de manera automática. 

En caso de que el potencial cliente no cuente con alguno de los datos o documentación 

solicitada, y lo justifique razonablemente, se deberá consignar tal circunstancia en el formulario 

de vinculación (conozca a su cliente) suscrito por el responsable de la relación comercial, la 

justificación deberá estar aprobada por el nivel de supervisión gerencial correspondiente, para 

lo cual se requerirá la firma en el mencionado formulario.












3.1.3 Identificación de licitud de fondos 

El Grupo Financiero no iniciará ni mantendrá relaciones comerciales, ni realizará operaciones 

con personas naturales o jurídicas que presuntamente puedan estar vinculadas con 

movimientos ilícitos de fondos, y en general, con todas aquellas personas o entidades respecto 

de las cuales existan dudas de la legitimidad de sus actividades comerciales o profesionales. 

Por lo tanto, todo potencial cliente de la institución deberá ser el generador de fondos que 

ingresan a la institución y como documentación respaldo de sus ingresos (según producto a 

contratar y tipo de cliente) presentará balances, formulario de pago de impuestos, certificados 

laborables, certificados afiliación al IESS, brochures o folletos que acrediten su existencia 

(personas jurídicas), escrituras en caso de haber recibido herencia o venta de bienes, contratos, 

facturas y otros documentos que puedan garantizar a la institución que el potencial cliente es 

quien genera sus recursos económicos y no maneja fondos de terceros. 

En caso de existir inconsistencias entre la documentación y la situación económica de la 

persona (ingresos o patrimonio), se reportará el caso a la Unidad de Cumplimiento para el 

análisis respectivo. 

3.1.4 Aceptación de clientes por nivel de revisión AML 

Se ha identificado distintas categorías de personas, quienes por sus características representan 

mayor riesgo de lavado de activos y financiación del terrorismo y por consiguiente se debe 

aplicar una diligencia reforzada como parte del conocimiento del cliente: 

Nivel Descripción categorías de 

personas 

Extremo Personas naturales y jurídicas 

coincidentes en listas 

denegadas Base de Datos de 

Personas Con Sentencia 

Condenatoria - PCSC, listas 

internacionales. 

(En caso de listas propias de 

la institución, requerirá la 

revisión por Cumplimiento, 

previa la aceptación del 

cliente). 

Mayor Prospectos PEP´s (personas 

políticamente expuestas) 

Requisitos adicionales de debida diligencia 

- No se aceptan. 

- Para el caso de personas jurídicas, esta restricción 

aplica también para los accionistas con 

participación igual o superior al 25% y al 

Representante Legal. 

- En caso de coincidentes en listas propias (juicios, 

oficios reservados), se requiere la revisión del área 

de Cumplimiento. 

- Declaración del cliente de su condición PEP´s (en 

formatos definidos por tipo de producto). 

- Declaración patrimonial, preferible de menos de 

dos años de antigüedad. 

- Autorización del inicio de la relación comercial dada 

por el nivel gerencial correspondiente. 

*La declaración patrimonial es un documento que 

puede ser excepcionable, previa justificación y 

aprobación de la Gerencia de Negocios respectiva;












no se requiere la declaración patrimonial para 

representantes legales de clientes empresas. 

Extranjeros (personas INVERSIONES: 

naturales y jurídicas) - Conozca a su cliente ampliado, independiente del 

monto de inversión. 

- Sustento del valor a invertir del país de origen 

- Aprobación de la relación comercial (inversionista) 

por la gerencia respectiva. 

- Validar tipo de visa y documento soporte adicional. 

TARJETAS: 

- Conforme requisitos y perfil establecido para 

extranjeros. 

Personas naturales o jurídicas - Revisión del estado del juicio por el Área de 

con juicios relacionados a Cumplimiento y Legal (en caso de considerarse 

narcotráfico/ lavado de necesario). 

activos/ financiación del - Sobreseimiento definitivo del juicio (si aplica) o 

terrorismo (listas propias). certificado de no constar en la BASE DE DATOS DE 

PERSONAS CON SENTENCIA CONDENATORIA - PCSC. 

- Revisión listas Denegadas. 

- Soportes documentales válidos de actividad, 

patrimonio e ingresos 

Personas naturales o jurídicas INVERSIONES: 

con montos de patrimonio / - Soporte de ingresos / patrimonio declarado por el 

inversión fuera de la cliente. 

normalidad para su - Formulario conozca a su cliente. 

segmento. 

TARJETAS: 

- Revisión de antecedentes penales (juicios) y 

verificación de perfil económico y actividad del 

cliente (Cumplimiento). 

Personas naturales con Tarjetahabientes: 

patrimonio declarado mayor - Documentación mínima requerida y confirmación 

a usd 400,000. 

*Para el caso de inversiones 

de datos (proceso actual). 

Inversionistas: 

se considera el monto de la - Documentación soporte del origen de fondos. 

inversión. 

- Formulario conozca a su cliente. 

Personas 

naturales - Documento soporte de los valores invertidos 

inversionistas (nuevos o (facturas o balances o contratos de compra venta o 

antiguos) con incrementos de declaración de impuestos, liquidación, otros). 

inversión por montos 

superiores a usd 100,000 

Personas naturales y jurídicas - Formulario para Clientes No registrado, con Ingreso 

cuyos ingresos provienen de de donaciones-aportaciones anexo 1, con 

donaciones/ aportaciones, autorización de inicio de relación comercial por 

sin fines de lucro y empresas parte de la Gerencia correspondiente 

no registradas en la SICV












La vinculación de un potencial cliente catalogado como “mayor revisión” se realizará aplicando 

la debida diligencia con solicitud de los documentos adicionales a los detallados en la sección 

“Documentación requerida a clientes”. 

 

Persona Política Expuesta PEP´s.- La vinculación de una persona catalogada como PEP, 

requiere de la aplicación del proceso de debida diligencia reforzada, que permita conocer 

su reputación, el cargo que desempeña y el nivel de ingresos; para el efecto, previo al inicio 

de la relación comercial, se solicitará al potencial cliente la declaración de su condición PEP 

(incluida en los diferentes formatos de solicitud de productos) y su declaración patrimonial 

notariada, (de preferencia dentro de los dos años de antigüedad, la fecha de la declaración 

dependerá de la fecha en que el potencial cliente ingresó a trabajar en el sector público o 

tuvo la obligación de presentar su declaración) documentos que permitirán evaluar el 

riesgo de relacionamiento y reputacional que pueda existir. 

Una vez entregados la documentación (cliente nuevo), la vinculación o continuación de la 

relación comercial con un PEP debe ser aprobada por la alta gerencia; se define como alta 

gerencia para esta aprobación a la Gerencia de Inversiones, Gerencias de Oficina, Gerencia 

de Crédito y Gerencia de Establecimientos. 

Extranjeros.- El proceso de debida diligencia para extranjeros que deseen aperturar 

inversiones requiere solicitar el diligenciamiento del formulario conozca a su cliente 

ampliado, el potencial cliente deberá presentar documentación soporte del valor a 

invertir. Previo a la captación de la inversión, se debe validar el tipo de visa, según se 

detalla a continuación: 

En caso de que la nacionalidad del potencial inversionista extranjero sea de un país 

declarado como no cooperante por el GAFI o un país considerado como paraíso fiscal, la 

vinculación deberá ser aprobada por la alta gerencia (Gerencia de Inversiones, Gerencia de 

Tesorería o Gerencias de Oficina). 

Para el caso de socios tarjetahabientes potenciales, en la vinculación se observarán los 

requisitos según el perfil de crédito.












Adicionalmente, deberán completar y firmar los formularios w8, w9 y aquellos requeridos 

por la Ley FATCA. 

 

 

Personas naturales o jurídicas con juicios relacionados a narcotráfico: Para aceptar la 

vinculación de un cliente que se detecte que tiene un juicio relacionado a narcotráfico o 

financiación del terrorismo, el potencial cliente deberá presentar el sobreseimiento 

definitivo del juicio, para el correspondiente análisis y decisión por parte del comité de 

Cumplimiento, caso contrario no se aceptará la relación. La revisión del estado del juicio la 

realizará el Área Legal en coordinación con la Unidad de Cumplimiento. 

Personas naturales con inversiones por montos mayores a USD400.000.- La debida 

diligencia para potenciales clientes inversionistas, incluye el análisis de la proveniencia de 

fondos, según lo establecido en la Política y Reglamento para instrumentación de 

inversiones a plazo y la existencia del formulario Conozca a su cliente llenado por el Oficial 

de Inversiones correspondiente. 

Para el caso de potenciales socios, se aplica los requisitos según el perfil crediticio y el 

proceso de confirmación de datos. 

Personas naturales inversionistas con incrementos iguales o superiores a usd 100,000.- 

Todo potencial cliente que desee invertir valores superiores a usd 99,999 o inversionista 

actual que incremente montos superiores a usd 99,999 deberá presentar un documento 

soporte de la proveniencia de los valores invertidos, o soporte de sus ingresos, que 

justifiquen el monto de la captación. 

 

 

Personas naturales o jurídicas cuyos ingresos provienen de donaciones/aportaciones o 

empresas no registradas en la SICV.- 

Cuando el ingreso principal del cliente proviene de donaciones, regalos, herencias, 

aportaciones, o empresas no registradas en la SICV el cliente deberá solicitar la vinculación 

a la institución a través del formulario “Cuestionario PLA empresas no registradas 

Fundaciones“ (anexo 1). La autorización para la vinculación del cliente la dará la Gerencia 

responsable de la relación comercial, previo a analizar al cliente y la licitud de los fondos 

que podrían ingresar a la institución, así como los procesos de prevención de lavado de 

dinero que el cliente haya implementado. 

Personas naturales (socios potenciales) con patrimonio fuera del perfil edad-ingresopatrimonio.- 

Cuando un cliente presente la solicitud de afiliación a tarjeta de crédito y esté 

fuera del perfil edad-ingreso-patrimonio, se requerirá la revisión de la documentación del 

cliente por la Unidad de Cumplimiento. 

En el caso de inversiones, se deberá analizar la consistencia del patrimonio del cliente y 

solicitar los documentos respaldo de los ingresos del mismo. Cualquier información 

adicional y el análisis respectivo deben registrarse en el formulario “Conozca su cliente”












 

 

 

Fideicomisos.- 

Para el caso de Fideicomisos, independiente de la actividad, se deberá adjuntar la 

información del representante legal de fideicomiso, así como del cliente, constituyente, 

beneficiarios del fideicomiso, escritura de constitución del fideicomiso. La debida diligencia 

debe permitir conocer y verificar el motivo de la constitución u objetivo social del 

fideicomiso, así como la licitud de fondos con los que se constituyó. 

Clientes potenciales coincidentes en listas negativas propias de la institución.- 

Como resultado de la ejecución de diferentes procesos de la Unidad de Cumplimiento, se 

alimentarán bases propias de personas naturales o jurídicas con quienes se requerirá una 

debida diligencia reforzada previa al inicio de una relación comercial con los mismos. 

Diligencia simplificada: 

De manera contraria, se aplicará medidas abreviadas o simplificadas en la identificación de 

clientes cuando: 

El contratante sea una institución del sistema financiero, sujeta al control de la 

Superintendencia de Bancos del Ecuador 

El contratante sea una empresa de seguros o de reaseguros, o del mercado de valores 

sujeta al control de la Superintendencia de Compañías, Valores y Seguros. 

El contratante sea una empresa pública o gubernamental 

Adicionalmente, no se solicitará el listado de accionistas, cuando el contratante sea una 

sociedad anónima que cotiza sus títulos en bolsa, que esté debidamente registrada como 

empresa en la Superintendencia de Compañías, y que haya cumplido sus obligaciones (CCO). 

Se solicitará el listado de accionistas, sobre los que se efectuará procedimientos de debida 

diligencia en aquellos casos de accionistas que mantengan más del 25% en el capital o 

patrimonio de cada persona jurídica. 

3.1.5 Verificación y confirmación de información de clientes 

El colaborador encargado de la atención y/o de la relación con el cliente, debe verificar la 

información proporcionada por el cliente, en base a la documentación y la coherencia de 

información expuesta en los diferentes documentos utilizados en la institución, que le permita 

comprobar la veracidad de la información. 

3.1.5.1 Socios 

La aceptación de tarjetahabientes y clientes comerciales/corporativos en la institución, está 

sujeta al proceso de confirmación de datos de la Fábrica de Crédito y Cobranzas; a través del 

cual, como mínimo, se validará y confirmará la siguiente información: 

- Presentación y validación de la documentación requerida en base al perfil comercial del 

potencial cliente (ingresos, egresos y patrimonio). 

- Teléfonos, se confirma mediante llamadas y páginas web públicas. 

- Domicilio, se confirma mediante la presentación de recibo de pago de servicios básicos o 

llamada telefónica (cuando el recibo no está a nombre del solicitante o su cónyuge).












- Actividad Económica /Trabajo, a través de pago de impuestos (independiente) y/o 

llamada al lugar de trabajo; se confirma ingresos. Si las aportaciones al IESS coinciden con 

lo declarado por el cliente, no se confirmará el lugar de trabajo, a través de llamada. En el 

caso de dependientes se validan los ingresos a través de los certificados y roles de pago, 

los cuales también son validados mediante confirmación telefónica, según cada caso. 

- Referencias personales y comerciales si aplica, a través de la llamada telefónica. 

3.1.5.2 Inversionistas 

El proceso de captación de inversionistas se realiza a través de cada Oficial de Inversiones; 

quienes tienen la responsabilidad de cumplir lo establecido en la Política y Reglamento de 

Captaciones a Plazo; en la cual se establece: 

- Revisión de documentación e información entregada por el cliente constituyente y 

beneficiario (según aplique), especialmente la relacionada con sus ingresos y 

patrimonio. 

- Solicitud de formulario de licitud de fondos (cuando la inversión es por montos iguales o 

superiores a USD 5,000). En los casilleros correspondientes a ingresos y patrimonio 

declarados por cada cliente (en relación de dependencia o independiente), el oficial 

debe aplicar los procedimientos de debida diligencia y rigor (según el perfil de riesgo de 

cada cliente), para verificar y validar la razonabilidad y congruencia de la información 

declarada y que soporte la conclusión/recomendación documentada y firmada por cada 

oficial. 

- Solicitud de documentación soporte de fondos ingresados (por montos superiores a USD 

100,000); en los casilleros correspondientes a ingresos y patrimonio declarados por cada 

cliente, el oficial debe aplicar los procedimientos de debida diligencia y rigor (según el 

perfil de riesgo de cada cliente), para verificar y validar la razonabilidad y congruencia 

de la información declarada y que soporte la conclusión/recomendación documentada y 

firmada por cada oficial. 

- En los casos en que el dinero para constituir la inversión provenga de una transferencia 

del exterior, se aplicarán los siguientes controles: 

Es necesario que el ordenante de la transferencia sea el mismo cliente inversionista; 

caso contrario se requerirá aprobación del nivel de supervisión correspondiente 

(Gerencia de comercial - Personas o Gerencia de Tesorería), además de validar la 

relación entre el ordenante y el inversionista. La aprobación deberá constar en el 

formulario Conozca a su cliente. 

Si el dinero para la constitución de la inversión proviene del exterior de países no 

cooperantes con el GAFI o paraísos fiscales según lo descrito por la normativa 

tributaria vigente, se requiere la aprobación de la transacción por el nivel gerencial 

respectivo (conozca a su cliente). No se acepta ninguna transferencia proveniente 

de Irán. 

Para las inversiones con cheques del exterior, debe adjuntarse la constancia de la 

verificación del banco de la cuenta giradora en listas denegadas internacionales. 

Todo valor recibido en nuestras cuentas en bancos asociados, es revisado y validado 

diariamente en el proceso de Conciliación de cuentas contables; si este valor no es 

identificado con el correspondiente cliente en un plazo máximo de 15 días debe ser 

devuelto al banco ordenante. Se aceptarán cheques pagaderos en los EE.UU. y del 

Banco Pichincha Panamá.












 

Se recibirán cheques de terceros para la constitución de inversiones o para su pago, 

previo la revisión de la relación comercial entre el titular de la cuenta y el 

inversionista, según la política y procedimientos aprobados para el efecto. El análisis 

o información ampliatoria se registrará en el formulario “conozca su cliente”, dicha 

recepción deberá contener la firma de aprobación según el nivel que corresponda 

(Gerencia del área Comercial - Personas o Gerencia de Tesorería). 

En la Política y/o Reglamento de captaciones a plazo, se establece a detalle los controles 

a realizar por tipo de pago para constitución de inversiones, así como las relaciones de 

titularidad y los controles de prevención de lavado de activos que se deben efectuar 

para el caso de titulares y beneficiarios. 

3.1.5.3 Establecimientos 

Para la afiliación de establecimientos, se deberá observar los requisitos y proceso aprobados 

en el Reglamento de Afiliación de Establecimientos; a través del cual, como mínimo se 

observarán los siguientes controles: 

- Revisión de documentación (requisitos) 

- Confirmación de referencias comerciales y promedios bancarios. 

- Reporte de visita o inspección realizada por el Ejecutivo. 

- Formulario de Debida Diligencia reforzada para establecimientos que pertenezcan a 

especialidades catalogadas como “mayor revisión” por la Unidad de Cumplimiento. 

- Revisión de accionistas con participación accionarial mayor al 25% en listas denegadas. 

- Revisión y validación de la fuente de ingresos y patrimonio del establecimiento. 

3.1.6 Política de uso y control de formularios de excepción. 

Las Gerencias de Inversiones, Tesorería o Agencias, podrán utilizar los formularios de excepción 

de la firma del formulario de licitud de fondos por transacción, durante 1 año, para los clientes 

que, de acuerdo con su conocimiento, mantienen un volumen transaccional importante con el 

Grupo Financiero, y que en función al conocimiento de este cliente, perfil de revisión bajo y 

volumen de transacciones, no requirieran llenar un formulario de licitud de fondos por cada 

transacción que iguale o supere los USD$5,000. 

El formulario de transacciones especiales o excepción (Anexo 2) cubre todas las transacciones y 

operaciones realizadas por el cliente en un período de un año (mes año 1 – mes año 2), 

independientemente del monto de las mismas. 

Para la aprobación del uso del formulario de excepción, los Oficiales de Inversiones o de 

Tesorería deben observar los siguientes aspectos: 

Este formulario será diligenciado por los Oficiales de las áreas de Tesorería o Inversiones 

con los clientes, siempre y cuando, las personas naturales o jurídicas que mantienen 

relación comercial con la Organización, mantengan una antigüedad mayor a seis meses 

o en aquellos casos en los cuales de acuerdo con el conocimiento del cliente 

(debidamente documentado a través de los formularios de conozca a su cliente o 

información entregada), la transaccionalidad esperada del cliente justifique la excepción 

para el cliente de llenar el formulario de licitud de fondos, por cada transacción.












Al formulario de excepción se deberá adjuntar la documentación siguiente: 

- Formulario de actualización de datos debidamente lleno, firmado y vigente. 

- Documentación mínima requerida tanto para personas Naturales y Jurídicas 

requerida y detallada anteriormente, junto con la respectiva documentación soporte 

(validada por el oficial) de la fuente de ingresos y patrimonio de dichos clientes. 

- Formulario conozca a su cliente, en el cual se debe documentar las razones por las 

cuales el Oficial de Inversiones o Tesorero, considera que es aplicable el formulario 

de excepción. 

La Gerencia de Tesorería y Gerencia Nacional de Negocios son los funcionarios que tienen como 

responsabilidad de excepcionar a los clientes de la obligación de suscribir el formulario de 

licitud de fondos. Los dos funcionarios podrán delegar esta responsabilidad por mail en caso de 

ser necesario, notificando la delegación al Oficial de Cumplimiento. 

Una vez aprobado el uso del formulario de excepción de cada cliente, los oficiales de 

cumplimiento titular o suplente son los únicos que notificarán a Operaciones Financieras la 

vigencia del formulario. 

3.1.7 Formulario de licitud de fondos en transacciones específicas 

Durante la relación comercial con un cliente, se solicitará llenar el formulario de licitud de 

fondos por cada transacción mencionada a continuación que realice el cliente, la cual iguale o 

supere los usd 5,000: 

3.1.7.1 Cobranzas: 

Se debe solicitar al cliente la declaración de proveniencia de los fondos que está incluida en el 

formulario de Actualización de datos como habilitante para la transacción, debidamente lleno 

por la recepción de fondos por recuperación de cartera, cuando este monto sea igual o mayor a 

USD$ 5.000. 

3.1.7.2 Préstamos (no incluye consumos a través de tarjeta): 

En créditos iguales o mayores a USD$ 5.000, el Oficial de Crédito debe solicitar al cliente la 

declaratoria de licitud de fondos que está incluido en el formulario de Solicitud de crédito. 

El Oficial del Área de Crédito será el responsable de analizar crediticiamente al cliente para 

asegurar la procedencia de fondos y la razonabilidad de los valores que serán entregados a la 

institución. 

3.1.7.3 Pre cancelación de diferidos y créditos: 

Se solicitará la firma del formulario de licitud de fondos si la transacción iguala o supera los usd 

5,000. 

3.1.7.4 Devolución saldos a favor (SAF): 

En caso de que un cliente haya generado un saldo a favor, mayor o igual a USD 5,000 (por única 

vez o acumulado a la fecha de solicitud de su devolución), se solicitará el formulario de licitud












de fondos en el momento de la devolución del SAF, cuando el monto a devolver sea igual o 

superior a usd 5,000. 

3.1.7.5 Depósitos en tarjeta: 

Los depósitos en efectivo en tarjetas para la emisión de giftcards o constitución de PAD´s, 

iguales o superiores a usd 5,000 requerirán de la firma del formulario de licitud de fondos. 

3.1.7.6 Controles formularios de licitud de fondos 

Los formularios de licitud de fondos que son solicitados en las diferentes transacciones, y que 

forman parte de los documentos habilitantes para procesar dicha transacción deberán ser 

archivados como soporte transaccional y los resultados de la verificación de su adecuado 

diligenciamiento, según el procedimiento definido, serán reportados al Comité de 

Cumplimiento. 

3.1.8 Controles específicos por producto y transacción 

3.1.8.1 Transacciones en efectivo: 

El Grupo Financiero busca realizar negocios que no impliquen depósitos en efectivo en las 

cuentas que se encuentran habilitadas para la captación de recursos y recuperación de cartera 

de socios, de manera que en la estructuración del negocio se establece que los recaudos y 

pagos por regla general se deben hacer por la red bancaria o en cheque; sin que esto implique 

la prohibición de recibir pagos en efectivo. 

Los depósitos de clientes que deseen realizar una inversión en el Grupo Financiero lo deben 

efectuar mediante cheque o transferencia bancaria, por excepción los clientes podrán realizar 

depósitos en efectivo hasta un monto máximo de USD$10.000 con la autorización de la 

Gerencia Nacional de Negocios o la Vicepresidencia Regional de Negocios, según su ámbito de 

competencia, siempre y cuando el cliente no supere el monto máximo de depósitos en efectivo 

de USD$30,000 en el año. 

3.1.8.2 Identificación de beneficiarios finales: 

Conforme lo establece la normativa vigente, es deber permanente de las instituciones del 

sistema financiero identificar al (los) beneficiario (s) final (es) de todos los productos que 

suministren, que en todos los casos será una persona natural. 

En este sentido, para todos los clientes personas jurídicas, excepto a los que se aplica la debida 

diligencia simplificada, se solicitará el detalle de accionistas hasta llegar a la persona natural. 

Para los accionistas que tengan una participación igual o superior al 25%, deberá incluirse en el 

file del cliente la constancia de revisión del accionista en listas nacionales e internacionales 

(CAR y OFAC), este mismo control aplica para el representante legal. 

3.1.8.3 Beneficiarios al cobro de inversiones: 

Para el caso de beneficiarios designados en Certificados de inversión a plazo para el cobro de la 

captación al vencimiento, deberán observarse los siguientes controles:












Los beneficiarios no deberán constar en listas denegadas, la verificación se realizará al 

momento del cobro de la inversión. 

Todo beneficiario debe presentar la copia de la cédula de identidad o documento de 

identificación para el cobro. 

3.1.8.4 Pagos a terceros: 

A fin de controlar los pagos a terceros que puedan realizarse por cancelación de inversiones, 

saldos a favor, cobro de papel comercial, y facturación de establecimientos, estas transacciones 

se consideran como de mayor revisión y por lo tanto deberán ser reportados a la Unidad de 

Cumplimiento para su verificación. (Ver metodología de identificación de inusualidades). 

Los terceros que reciben pagos se consideran usuarios de la institución. 

Para el caso del vencimiento o cancelación de un CID, no se efectuará el pago a terceros 

diferentes del (los) titular (es) o beneficiario (s) de dicho CID. Para aquellos casos excepcionales, 

deberá constar la autorización de la Gerencia de cada plaza, previo a completar el formulario 

correspondiente, o una carta que lo reemplace. Sobre dicho pago a tercero debidamente 

autorizado por el cliente se deberán aplicar los controles y evidenciar la aplicación de la política 

conozca a su cliente y justificación del uso/destino de los fondos y pagos. 

3.1.8.5 Transferencias al exterior: 

Se prestará especial atención a las transferencias de fondos solicitadas por clientes, aplicando 

los siguientes controles: 

Formulario de solicitud de transferencia o carta de instrucción del cliente en el cual 

conste los datos del ordenante y se especifique los datos del beneficiario y monto de la 

transacción. 

Las transferencias a bancos locales se realizarán a través del SPI o sistema de cash 

management. 

En caso de transferencias al exterior, por valores iguales o superiores a usd 10,000, se 

verificará que el Banco beneficiario no esté registrado en listas denegadas 

internacionales, o en la lista de entidades designadas, la cual estará publicada en la 

intranet, sección “Prevención Lavado Activos” 

Las transferencias al exterior son monitoreadas como parte de la transaccionalidad de 

mayor revisión por la Unidad de Cumplimiento. 

3.1.8.6 Bienes recibidos en dación de pago: 

Con el objetivo de evitar el lavado de dinero y financiamiento del terrorismo y otros delitos en 

la institución a través de la venta de bienes recibidos en dación de pago, la Gerencia 

Administrativa revisará en listas denegadas a todos y cada uno de los compradores de los 

bienes. En caso de encontrar coincidentes, no se efectuará la venta. 

3.1.8.7 Gift Cards y Prepago: 

No se emitirán tarjetas gift card o prepago a personas naturales o jurídicas que no sean clientes 

de la institución.












3.1.9 ACTUALIZACIÓN DE DATOS DE CLIENTES 

Se solicitará actualización de datos de clientes cada dos años; sin embargo para los casos 

detallados a continuación se priorizará la actualización independiente del período antes 

mencionado: 

1. Clientes que resulten con perfil de riesgo o revisión del cliente alto y que presenten 

alertas en el proceso de revisión por el Área de Cumplimiento. 

2. Clientes que por consideración del área de Crédito ameriten una actualización 

independiente del período definido. 

Los responsables de la actualización permanente de información de clientes son: 

Tipo de cliente / persona 

Tarjetahabiente y cartera 

comercial y corporativa 

Inversionista 

Establecimientos 

Proveedores 

Bancos corresponsales 

Accionistas / Directores 

Responsable 

Fábrica de Crédito y Cobranzas 

Inversiones – Negocios y Tesorería 

Establecimientos – Negocios 

Gerencia Administrativa 

Tesorería 

Área Legal 

Cada área o gerencia responsable establecerá los procedimientos necesarios para cumplir 

cabalmente con la política de actualización de datos. 

La Unidad de Cumplimiento solicitará anualmente un reporte del cumplimiento de la 

actualización de datos e informará los resultados a los miembros del Comité de Cumplimiento. 

3.1.10 CONTROLES PARA PREVENCIÓN DE LAVADO DE ACTIVOS, FINANCIAMIENTO DEL 


3.1.10.1 Identificación de clientes registrados en la Central de alto Riesgo con código 01 

Estupefacientes 

La Unidad de Cumplimiento controla que la institución no mantenga relaciones comerciales con 

prospectos o clientes que estén registrados en listas de personas con sentencia condenatoria 

por delitos tipificados en la Ley de Sustancias Estupefacientes y Psicotrópicas, así como los 

delitos relacionados con sustancias catalogadas sujetas a fiscalización previstos en el Código 

Orgánico Integral Penal (anteriormente base CONSEP); cuando se realice el control y se 

detecten coincidentes, se deberá verificar si el prospecto o cliente coincidente no es un 

homónimo. 

Para mantener una relación comercial con personas naturales y/o jurídicas que presenten 

homónimos en la central de Alto Riesgo, código 01 Estupefacientes, se deberá solicitar 

directamente al cliente el Certificado de no constar en las listas de Información Reservada 

(BASE DE DATOS DE PERSONAS CON SENTENCIA CONDENATORIA - PCSC) (cuando el motivo sea












estupefacientes o narcotráfico) donde conste que se trata de un homónimo con la persona 

informada en la Central de Alto Riesgo. 

En caso de coincidentes por número de identificación, se procederá a la cancelación inmediata 

de la relación comercial con el cliente y su cónyuge. 

Si la coincidencia se da por los dos nombres y dos apellidos y no se puede descartar, en base a 

las características del cliente y del sindicado, que se trate de un homónimo, igualmente aplica la 

cancelación de la relación comercial con el cliente. 

3.1.10.2 Procedimiento de debida diligencia ampliada (DDA) 

El proceso de Debida Diligencia Ampliada (en adelante DDA) es diferente al procedimiento de 

debida diligencia reforzada que se aplica para prospectos o potenciales clientes catalogados 

como mayor revisión (PEP´s, extranjeros, patrimonio > USD 400,000, otros). 

El proceso de DDA, será aplicado para los clientes que presenten alertas, al determinar la 

existencia de transacciones que no guardan conformidad con los perfiles transaccionales y de 

comportamiento establecidos e implica la solicitud del formulario de actualización de datos 

ampliado, según corresponda, más la solicitud y presentación de documentación que permita 

justificar la transacción efectuada (ingresos, procedencia de fondos, patrimonio, frecuencia de 

operaciones, historial de situación económica, otros). 

El Área de Negocios será la responsable del acercamiento al cliente y la solicitud del formulario 

DDA y la documentación soporte necesaria. 

Aceptación de justificativos 

El análisis y aceptación de los justificativos presentados por el cliente la realizará el Oficial de 

Cumplimiento; quien podrá determinar si el documento presentado es suficiente o no para 

justificar la transacción objeto del análisis y por consiguiente la continuidad de la relación 

comercial. En caso de duda respecto de la justificación, se presentará el caso al Comité de 

Cumplimiento para la decisión de continuar o no con la relación comercial con el cliente. 

A fin de evitar la subjetividad en el análisis de justificativos, éstos a medida de lo posible, 

deberán ser documentos con validez legal (notariados, emitidos por organismos de control o 

instituciones formalmente establecidas, originales), los cuales deberán ser contrastados con la 

operación del cliente y deberán ser razonables entre sí. Bajo la imposibilidad de presentar 

algún documento por parte del cliente, se aceptará como justificativo el formulario Conozca a 

su cliente, debidamente firmado por el Oficial a cargo y la gerencia de inversiones o de oficinas, 

en el cual expondrá las razones por las cuales se certifica el origen lícito de fondos y patrimonio 

del cliente; y por lo tanto se recomienda continuar con la relación comercial. 

3.1.10.3 Clientes activos - controlados 

Se define a un cliente como activo controlado a aquel de quien tenemos algún indicio no 

comprobado de que puede estar relacionado con temas de lavado de activos, o financiación del 

terrorismo u otros delitos; estos clientes entran a un proceso de seguimiento a fin de 

identificar o descartar la inusualidad inicial.












3.1.11 TERMINO DE LA RELACIÓN COMERCIAL CON CLIENTES 

Se cancelará inmediatamente la relación comercial con el cliente en los siguientes casos: 

Coincidencias plenamente identificadas entre un cliente activo de la Institución y nombres de 

personas imputadas o sentenciadas reportados por los Organismos de Control: 

Superintendencia de Bancos en Providencias Judiciales (CAR 01), Unidad de Análisis Financiero 

y Económico (listas de sindicados- anterior Base de Datos de Personas con Sentencia 

Condenatoria - PCSC), las listas de denegados de la OFAC u otras listas denegadas o 

publicaciones en prensa, según definición del Comité de Cumplimiento. 

La cancelación se dará considerando los siguientes lineamientos: 

Personas Naturales: 

a. Si la persona coincidente es Socio principal, se cancelará la relación comercial 

conjuntamente con la(s) tarjeta(s) que tenga la cuenta (adicionales). 

b. Si la persona coincidente es socio adicional y es cónyuge del socio principal, se 

cancelará la relación comercial de toda la cuenta (incluye todos los adicionales a 

la cuenta). 

c. Si se presentan socios principales, que son cónyuges de personas coincidentes, se 

cancelará la relación comercial de las dos personas aun cuando, estos mantengan 

tarjetas individuales. 

d. En los casos de que un socio adicional sea coincidente, y mantenga una relación 

familiar con el socio principal, diferente a la de cónyuge, se cancelará la tarjeta 

adicional y se realizará un seguimiento del comportamiento financiero y 

transaccional del socio principal, que no superará los seis meses, para 

posteriormente en base a este análisis decidir si se mantiene o no la relación 

comercial con el socio principal. 

e. En aquellos casos en los cuales el cliente sea inversionista, establecimiento o 

deudor directo se aplicarán criterios similares a los expuestos en los puntos 

anteriores, previa presentación y análisis en el comité de cumplimiento. 

Personas Jurídicas: 

a. Si un socio corporativo es coincidente (cliente con RUC), se cancelará la relación 

comercial que dicha empresa mantenga con la Institución. 

b. Si el Representante Legal y /o Accionista(s) que posean más del 25% de 

participación accionaria de un Socio Corporativo es coincidente, se cancelará la 

relación comercial que dicha empresa mantenga con la Institución, siempre y 

cuando existieren claros indicios que la empresa está inmersa en la actividad.












c. Si un funcionario y/o empleado, diferente al Representante Legal, de un Socio 

Corporativo es coincidente se procederá a cancelar dicha tarjeta adicional, y; 

adicionalmente el Oficial de Cumplimiento realizará un seguimiento a las 

transacciones que realice dicha empresa con el objeto de comprobar que se 

encuentren justificadas en base al giro normal de su negocio, de no ser así se 

instruirá la cancelación de la relación comercial con dicha empresa conforme está 

normado en esta política. 

d. En aquellos casos en los cuales el cliente sea inversionista, establecimiento o 

deudor directo, se aplicarán criterios similares a los expuestos y de ser necesario 

se presentará al Comité de Cumplimiento. 

Se propondrá la cancelación de la relación comercial con el cliente y reporte a la UAFE, previo 

conocimiento y decisión del Comité en los siguientes casos: 

Comportamientos financieros inusuales sin justificación detectados en base a los perfiles 

y metodologías establecidas. 

Reportes en prensa, listas de Información Reservada (Base de Datos de Personas con 

Sentencia Condenatoria - PCSC), listas denegadas internacionales, coincidentes en 

oficios reservados o juicios que mantenga el cliente, y que producto de comportamiento 

inusual se presente el caso al comité. 

Nota 1: Solamente se permitirá el reinicio de la relación comercial con un cliente que ha sido 

previamente registrado en listas de Información Reservada (Base de datos de personas con 

sentencia condenatoria - PCSC), previo la presentación del respectivo certificado emitido por el 

ente correspondiente, o sobreseimiento del juicio. Los casos de levante serán puestos en 

conocimiento del Comité de Cumplimiento. Este concepto también aplica para el cónyuge del 

registrado en CAR. 

En caso de clientes que hayan cumplido su pena (delito comprobado), se reiniciará la relación 

comercial únicamente bajo análisis del comité de cumplimiento. 

Nota 2: Cuando existan coincidentes homónimos en los cuales no se pueda certificar la 

coincidencia por las características expuestas, se comunicará al cliente verbal o telefónicamente 

que se encuentra registrado en bases de Información Reservada: Base de datos de personas con 

sentencia condenatoria – PCSC (anteriormente Consep) a fin de que el cliente presente el 

certificado de homónimo o certificado de no constar en dichas listas en el plazo determinado, 

previo a la cancelación de la relación comercial. 

3.1.12. Comunicación del término de la relación comercial con clientes 

La comunicación del término de la relación comercial con clientes, se realizará exclusivamente 

cuando el cliente lo solicite. Para el caso de establecimientos con facturación importante, se 

procederá con la notificación previa. 

En caso de que el cierre de la cuenta haya sido producto de identificar coincidencias con listas 

denegadas de Información Reservada: Base de datos de personas con sentencia condenatoria –












PCSC (anteriormente Consep), se le indicará al cliente que debe solicitar al organismo 

pertinente un certificado de homónimo o de no constar en dichos listados, una vez presentado 

el certificado, será analizada la posibilidad de reiniciar la relación comercial. 

Para los demás casos, se le solicitará al cliente la presentación de justificativos o documentación 

que descarte la inusualidad identificada; la sola presentación de los documentos no garantiza 

un reinicio de la relación comercial (ver sección: aceptación de justificativos). 

3.2 POLÍTICA CONOZCA A SU PROVEEDOR 

Para la aplicación de la Política Conozca a su Proveedor, en la institución se ha definido tres 

niveles para determinar los requisitos de documentación a presentar por el proveedor, 

metodología de calificación por tipo de proveedor y posterior monitoreo del mismo. Los niveles 

y metodología de calificación de proveedores se describen en el Reglamento de selección y 

calificación de proveedores. 

Conocer al proveedor, implica recolectar la información del mismo, validar y analizar 

información de: su identidad, ingresos, negocio lícito, actividad económica, producto que 

ofrece, calidad del servicio, relaciones que mantiene con otras instituciones o empresas, 

factores que permiten establecer el nivel de riesgo y el nivel de calificación que se aplicará 

previo a establecer una relación comercial. 

Por lo mencionado, para todo potencial proveedor se deberán observar las políticas y controles 

descritos a continuación, los mismos que estarán detallados en el Reglamento de selección y 

calificación de proveedores: 

Todo proveedor que desee establecer una relación comercial con la institución no debe 

constar en listas denegadas, tanto nacionales como internacionales. El control se 

realizará tanto para la persona jurídica, representantes legales como accionistas. Cada 

área que gestione proveedores directamente debe asegurar la aplicación de esta 

política desde la contratación, actualización de documentos y pagos. 

Todo proveedor previo a iniciar una relación con la institución se someterá a la 

calificación como tal, de acuerdo a lo establecido en el Reglamento de selección y 

calificación de proveedores. 

Todo proveedor previo a iniciar la relación comercial deberá entregar la documentación 

mínima requerida, según su nivel de revisión asignado. 

Para la base de proveedores vigentes, se revisará mensualmente, la información 

remitida por el área Administrativa (persona jurídica, representante legal y accionistas 

con acciones igual o superior al 25%) en listas denegadas nacionales e internacionales. 

A fin de garantizar un adecuado conocimiento de los proveedores con quienes mantenemos 

una relación comercial, la Unidad de Cumplimiento revisará anualmente, en base a una 

muestra, que las políticas y procedimientos definidos para la selección y contratación de 

proveedores se hayan observado cabalmente. Los resultados de esta revisión serán expuestos 

en el Comité de Cumplimiento.








3.3 POLÍTICA CONOZCA A SU COLABORADOR, ACCIONISTA, DIRECTOR. 





3.3.1 POLÍTICA CONOZCA A SU COLABORADOR 

La responsabilidad por verificar la correcta aplicación de la política “conozca a su colaborador” 

le corresponde al responsable del área de Recursos Humanos, quien reportará sus resultados al 

Oficial de Cumplimiento. 

Esta política apunta a que la institución tenga un adecuado conocimiento del perfil de riesgo de 

todos los colaboradores, para cuyo efecto, se deberá solicitar, revisar y validar en forma previa 

al inicio de la relación de dependencia, de forma anual y cuando existan variaciones que 

ameriten su actualización, la siguiente información: 

• Nombres, apellidos completos; 

• Estado civil; 

• Dirección domiciliaria; 

• Número telefónico; 

• Dirección de correo electrónico; 

• Copia del documento de identidad: cédula de ciudadanía, cédula de identidad y 

documento de identificación de refugiado (Visa 12 IV) o pasaporte vigente para el caso 

de los extranjeros; 

• Consulta de antecedentes legales al momento de la vinculación; 

• Hoja de vida; 

• Referencias personales y laborales, de ser el caso; 

• Copia de un recibo de cualquiera de los servicios básicos; 

• Al momento de la vinculación, una declaración en formularios diseñados por cada 

entidad de no haber sido enjuiciado y condenado por el cometimiento de actividades 

ilícitas; 

• Declaración de origen lícito de recursos; 

• Declaración anual de la situación financiera: total y detalle de activos y pasivos; 

• Fecha de ingreso a la entidad; y, 

• Perfil del cargo y perfil de competencias. 

• Declaración de existencia de otros ingresos 

El área de Recursos Humanos realizará la selección de los colaboradores del Grupo Financiero 

bajo estrictas normas de calificación sobre su idoneidad y honorabilidad. Dichas personas se 

comprometerán a un manejo ético de los procesos a su cargo, confidencialidad de la 

información y al cumplimiento estricto de la presente Política, cumplimiento y compromiso que 

deberán quedar plasmados por escrito por parte de cada colaborador. 

3.3.1.1 Procedimientos para la prevención de lavado de activos – Conozca a su Colaborador. 

3.3.1.1.1 Identificación del Colaborador: 

Los requisitos de admisión y contratación que se estipulan en el Reglamento Interno de Trabajo 

serán aplicables a toda persona aspirante a trabajar en el Grupo Financiero Diners Club del 

Ecuador y éstos deberán ser totalmente compatibles y razonables con la documentación 

mínima detallada en la normativa para prevención de lavado de activos.












Adicionalmente, y a fin de verificar la información del colaborador, el área de Recursos 

Humanos, aplicará los siguientes procesos: 

- Confirmación de la información entregada por el aspirante, insertando la información 

verificada en la carpeta respectiva. 

- Verificación que el aspirante, no se encuentre como coincidente en las listas denegadas. 

Al ingreso a la Institución, los colaboradores deberán firmar el documento de "Declaración y 

compromiso de comportamiento ético" documento que se mantendrá archivado en la carpeta 

personal de cada Colaborador. 

Adicionalmente y con el fin de asegurar el cumplimiento de requisitos de la Política conozca a 

su Colaborador; la Gerencia Regional de Recursos Humanos, coordinará con la Unidad de 

Cumplimiento el reporte en el cual se exponga las inusualidades detectadas, en caso de existir. 

3.3.1.1.2 Actualización de datos y monitoreo del Colaborador: 

La actualización de datos del personal será efectuada anualmente. El área de Recursos 

Humanos, designará e implementará los mecanismos necesarios para cumplir con esta 

obligación. 

El área de Recursos Humanos, en base a la información actualizada del colaborador y a la 

aplicación de la metodología de identificación de inusualidades para colaboradores, identificará 

variaciones importantes en los ingresos o patrimonio del colaborador, para lo cual, anualmente 

solicitará a los colaboradores que completen y actualicen, entre otras, la información personal 

sobre sus ingresos, egresos y patrimonio; con dicha información realizará anualmente un 

análisis de su situación patrimonial e ingresos y de no existir compatibilidad o si ésta no es 

justificada, se los notificará a la Unidad de Cumplimiento para su posterior reporte al Comité de 

Cumplimiento y a la Unidad de Análisis Financiero y Económico (UAFE). 

Como resultado del análisis y validación efectuada, el área de Recursos Humanos remitirá un 

Informe a la Unidad de Cumplimiento, el mismo que será expuesto en el Comité respectivo. 

3.3.1.1.3 Identificación de alertas: 

Los niveles de supervisión de las diferentes áreas de la organización tienen la responsabilidad 

de observar y detectar la presencia de alertas o conductas inusuales en el personal a su cargo. 

En caso de que las alertas sean detectadas, éstas deberán ser notificadas a la Gerencia Regional 

de Recursos Humanos para su respectivo análisis. El área de Recursos Humanos revisará el caso 

y de comprobarse alertas relacionadas a lavado de activos y otros delitos, lo notificará al Área 

de Cumplimiento. Ver sección Política de notificación de alertas, mediante el formato definido 

(anexo 3) o vía e-mail. 

Protección para quien realiza el reporte 

Para el caso de reporte de alertas correspondiente a colaboradores de la institución, se 

mantendrá confidencialidad absoluta para la persona que realiza el reporte; lo cual no se












contrapone a la obligación de identificarse para reportar; por lo expuesto, queda prohibido 

recibir reportes de conductas inusuales de colaboradores de forma anónima. 

A fin de garantizar un adecuado conocimiento de los colaboradores la Unidad de Cumplimiento 

revisará anualmente, en base a una muestra, que las políticas y procedimientos definidos para 

contratación y actualización de información se hayan observado cabalmente. Los resultados de 

esta revisión serán expuestos en el Comité de Cumplimiento. 

3.3.1.1.4 Término de la relación laboral: 

El término de la relación laboral de colaboradores con alertas o inusualidades relacionadas al 

lavado de activos, financiación del terrorismo y otros delitos, se realizará previa presentación 

del caso en el Comité de Cumplimiento y bajo los lineamientos de la normativa nacional vigente 

relativa a recursos humanos y relaciones laborales. 

3.3.2 POLÍTICA CONOZCA A SU ACCIONISTA Y DIRECTOR 

Adicionalmente a la revisión de accionistas y directores en listas denegadas, la aceptación de un 

nuevo accionista estará sujeta a la declaración de origen lícito de fondos, en aquellos casos que 

el accionista fuere propietario de por lo menos el 6% del capital y la designación del director 

realizada por parte de la Junta General de Accionistas. 

El Área Legal es la responsable de mantener la relación con los accionistas y directores, así 

como de asegurar la actualización de información respecto al cuadro accionarial y en caso de 

Directores la actualización de información de forma anual. 

El Área de Cumplimiento en base a la información entregada del Área Legal emitirá un informe 

anual al Comité de Cumplimiento, en el cual se exponga los principales cambios que han 

existido en el cuadro accionarial, así como en el listado de Directores. Por otra parte, el Área 

Legal, será responsable de informar al Oficial de cumplimiento respecto de cualquier 

inusualidad o alerta identificada en la gestión de accionistas y directores, en caso de existir. 

3.4 POLÍTICA CONOZCA A SU MERCADO 

La Organización debe conocer y monitorear permanentemente las industrias en la que sus 

clientes desarrollan sus actividades económicas o comerciales, en función de los riesgos 

específicos de cada una frente al lavado de activos. Este pilar implica la necesidad de no 

solamente conocer al cliente sino también conocer y entender el mercado donde opera y la 

exposición del mercado al lavado de activos; es decir, entender cómo se lava dinero en el 

mercado. Con esto, se espera maximizar la relación con los clientes, a través de ofrecerles los 

productos y servicios financieros que mejor se adapten a sus necesidades, administrando 

eficientemente el riesgo de lavado de dinero y financiamiento del terrorismo al que podría 

estar expuesta la organización 

El conocer el mercado permite identificar conductas y patrones transaccionales, que a su vez se 

convierten en alertas, cuando la operatividad del cliente se aleja de los patrones establecidos 

para su segmento o mercado en el que opera. 

Para el efecto la Unidad de Cumplimiento, anualmente realizará el estudio conozca a su 

mercado y expondrá los resultados en el comité de cumplimiento.












3.4.1 Definición de factores de riesgo en el mercado.- 

El procedimiento para determinar los patrones transaccionales relacionados a la política 

conozca su mercado, se basará en los siguientes factores de riesgo: 

Sectores económicos.- Para el efecto, se considerará la tabla de sector económico 

proporcionada por la SBE, esta tabla permanentemente se actualizará en función de los 

casos de inusualidades identificados en los procesos de prensa, fiscalía e identificación 

de inusualidades. Los sectores que más incidencias reportan serán considerados como 

de mayor riesgo, calificándolos para ser considerados dentro de la metodología para 

identificación de variables mayor revisión. 

Zonas geográficas.- Al igual que en el caso anterior, la identificación de zonas geográficas 

de mayor riesgo (tanto internacionales – países, como nacionales – provincias) será 

producto de analizar los lugares que, por sus características, sean más propensas a 

facilitar el lavado de activos y otros delitos. La fuente para la obtención de esta 

información, es básicamente el análisis de prensa, estadísticas información de oficios 

reservados y reportes del GAFI. 

Variables de ingresos y ventas.- Para analizar las variables de ingresos y ventas, dentro 

de la metodología de identificación de Variables de mayor revisión, se considera a los 

clientes (personas naturales y jurídicas) comparándolas de acuerdo a los siguientes 

criterios: 

o Persona natural: Ingreso – edad del cliente 

o Persona jurídica: Ventas – tipos de empresa 

Variables macroeconómicas.- Dentro de las variables macroeconómicas, la institución ha 

definido al desempeño económico de los sectores y al desempleo, como las principales a 

tomar en cuenta. Estas variables son analizadas mensualmente por el Área de Riesgos, 

determinando su posible impacto dentro de los diferentes segmentos de mercado de 

socios de la institución; de igual forma la Unidad de Cumplimiento, mediante el reporte 

que recibe del área de Riesgos, analiza cambios en los hábitos de consumo de clientes, 

cuando éstos están dentro del segmento afectado por desempleo. 

La evolución de las variables de ingresos, volúmenes de ventas, frecuencia, inversiones, 

zonas geográficas en las que se realiza la actividad económica o relaciones comerciales, 

entre otras, en los sectores o industrias en los cuales interactúan sus clientes. 

Los ciclos o períodos en las que rigen las actividades económicas de sus clientes 

3.4.2 Segmentación del mercado.- 

La segmentación es el proceso de dividir un mercado en grupos más pequeños que tengan 

características semejantes. 

En la institución, se ha definido que para el control y monitoreo de segmentos de mercado de 

cara a prevención de lavado de activos, financiamiento del terrorismo y otros delitos, se realice












una sub-segmentación considerando los siguientes parámetros: edad, ingresos, actividad y 

patrimonio de clientes. 

3.4.3 Controles conozca su mercado.- 

De acuerdo a lo definido por el organismo de control y las mejores prácticas institucionales, la 

Unidad de Cumplimiento aplica principalmente tres controles que permiten establecer 

posteriormente los perfiles transaccionales del cliente: 

1. Definición y análisis de características homogéneas de las industrias y sectores económicos 

– Metodología de definición de variables de mayor revisión. 

2. Segmentación de los clientes en función de sus relaciones económicas o financieras con 

dichas industrias y sectores económicos – definición de perfiles transaccionales 

3. Determinación de comportamientos inusuales y alertas del cliente frente a los estándares 

de mercado – análisis de inusualidades 

La identificación de inusualidades; es decir, transacciones fuera de la normalidad para el 

segmento de mercado en general, serán gestionadas conforme los procedimientos de revisión, 

control y monitoreo de inusualidades. Así mismo, la matriz y mapa de riesgos de lavado de 

activos, financiación del terrorismo y otros delitos se modificará, de ser el caso, en función de 

los resultados obtenidos para las variables. 

3.5 POLÍTICA CONOZCA A SU CORRESPONSAL 

La Política Conozca a su Corresponsal se enfoca en cuatro aristas, que restringen una posible 

relación con corresponsales involucrados en temas de lavado de activos: 

3.5.1 Identificación y aprobación de la relación comercial: 

Para iniciar nuevas relaciones de corresponsalía, se requerirá de la aprobación de Presidencia, 

requiriendo información que sustente el debido conocimiento de la entidad financiera 

necesaria para establecer la relación comercial. 

Para el establecimiento de contratos de corresponsalía con instituciones extranjeras, se 

observará además, lo dispuesto en lineamientos de la franquicia. 

3.5.2 Revisión de requisitos: 

Al menos en forma anual o cuando se originen cambios importantes en la situación financiera, 

accionarial o de otro índole del corresponsal, el Tesorero debe emitir un informe que certifique 

el cumplimiento de esta política. Adicionalmente, y como parte del control realizado por la 

Unidad de Cumplimiento, esta área revisará físicamente los files de los corresponsales para 

evidenciar el cumplimiento cabal de los requisitos mínimos solicitados. 

3.5.3 Monitoreo publicaciones: 

El Área de Cumplimiento periódicamente monitoreará publicaciones relacionadas a lavado de 

activos, en las que pueda estar relacionado un Corresponsal de la Institución. 

3.5.4 Aplicación DDA para corresponsales locales: 

Cuando la Unidad de Cumplimiento lo requiera, se aplicarán los cuestionarios de Debida 

Diligencia para corresponsales a instituciones financieras locales.












3.5.5 Procedimientos para la aplicación de la política Conozca a su corresponsal: 

Anualmente el área de Cumplimiento verificará que se mantenga la documentación e 

información suministrada (file de comunicaciones) por las entidades financieras con las cuales 

mantiene relación de corresponsalía con bancos nacionales y del exterior, la verificación se 

realizará a la siguiente documentación: 

1. Permiso de funcionamiento 

2. Firmas autorizadas 

3. Estados financieros anuales debidamente aprobados y auditados 

4. Informes anuales de la gestión 

5. Calificación de la entidad por empresas de reconocido prestigio 

6. Conocimiento de sus relaciones en el mercado, servicios y productos que ofrece 

7. Informe emitido por el Tesorero en el que certifique el cumplimiento de la política de 

conocimiento al corresponsal. 

El área de Tesorería debe mantener por cada entidad financiera, nacional o del exterior, con la 

cual se mantiene relaciones comerciales o bancarias, la documentación descrita en el párrafo 

anterior y deberá estar alerta y actualizado respecto de cualquier noticia adversa que pueda 

afectar el cumplimiento de la política conozca a su corresponsal o del presente manual. 

La Gerencia de Tesorería debe emitir un informe anual que certifique el cumplimiento de esta 

política; así como recomiende la continuación de la relación comercial con el corresponsal. En 

los procedimientos de revisión, el Oficial de Cumplimiento verificará la evidencia documental. 

La Gerencia de Tesorería deberá informar a Cumplimiento, inmediatamente, respecto de 

cualquier señal de alerta o noticia relacionada con cada corresponsal, relacionada a temas de 

lavado de activos, financiamiento del terrorismo u otros delitos. 

3.6 OTRAS POLÍTICAS 

3.6.1 POLÍTICA PARA AUSPICIOS Y DONACIONES 

A fin de prevenir el uso indebido por parte de los beneficiarios de auspicios y donaciones, se 

observarán los siguientes controles: 

En caso de auspicios a no clientes de la organización (socio, inversionista o establecimiento), se 

revisará contra listas denegadas el beneficiario del auspicio; en caso de ser coincidente, no 

procede el contrato. La revisión incluirá al Representante Legal y accionistas con participación 

mayor al 25%, en caso de persona jurídica. 

El beneficiario de toda donación deberá ser calificado previamente por el área de 

Responsabilidad Social; observando que se haya solicitado, revisado y validado la siguiente 

información: 

Si es persona natural, no deberá constar en listas denegadas.












Si es persona jurídica debidamente constituida (incluyen fundaciones), igual que en el 

caso anterior no deberá constar en listas denegadas. 

No se revisarán listas denegadas para donaciones cuyos beneficiarios sean entidades 

públicas (escuelas fiscales, municipales). 

Identidad (cédula o Ruc). 

Existencia legal y Domicilio. 

Para el caso de personas jurídicas, la revisión incluirá al Representante Legal, y accionistas con 

un porcentaje accionario mayor o igual al 25%. La entrega de donaciones se realizará a través 

del formulario “Formulario para evaluación de donaciones” (Anexo 4), en el cual conste la 

declaración de destino lícito de fondos. 

El área deberá mantener archivos que soporten el mencionado análisis e informará 

inmediatamente al área de Cumplimiento de haberse identificado inusualidades o alertas. 

3.6.2 PRODUCTOS O SERVICIOS NUEVOS 

Cuando se desarrolle un nuevo producto o servicio, previo a su lanzamiento, éstos deberán ser 

validados por el Área de Cumplimiento, a fin de identificar y analizar los riesgos y controles 

asociados, así como las modificaciones o adiciones al Manual Prevención de Lavado de Activos, 

que permitan establecer las actividades necesarias para monitorear, controlar y mitigar su 

impacto sobre las actividades de lavado de activos. Cumplimiento deberá presentar un informe 

al Comité de cumplimiento como resultado del análisis y revisión efectuada a los productos y 

servicios analizados o puestos a su consideración. 

Para efecto de lo anterior, la Gerencia Nacional de Negocios deberá evaluar los productos o 

servicios a ser lanzado en la institución en función al riesgo de lavado de activos, financiamiento 

del terrorismo y otros delitos, que representan; según el rango del resultado de la evaluación, 

se implementarán adicionalmente las medidas de control necesarias, y serán expuestas en el 

Informe de Evaluación de Productos (Anexo 5) por la Unidad de Cumplimiento. 

Cualquier variación a las condiciones o características de productos, deberá ser comunicada a la 

Unidad de Cumplimiento, para el análisis respectivo y se defina de ser el caso la obtención de 

documentos o requisitos adicionales o la propuesta de controles posteriores. 

La revisión de los productos o servicios a implementarse, permitirá establecer políticas y 

procedimientos para impedir la utilización indebida de desarrollos tecnológicos para lavado de 

dinero o financiamiento del terrorismo, a través de los productos que la institución ofrece. 

3.6.3 SEÑALES DE ALERTA 

Una señal de alerta son las operaciones que ayudan a identificar o detectar comportamientos, 

conductas, actividades, métodos o situaciones atípicas que se salen de los parámetros de 

normalidad del cliente y que requieren atención inmediata de la Unidad de Cumplimiento. 

A fin de facilitar la identificación de alertas en la operatividad de un cliente, colaborador u otra 

relación, la Unidad de Cumplimiento, expondrá en la intranet de la institución, sección 

Prevención lavado de activos, las situaciones que deben observarse por tipo de producto o












servicio que se presta en la institución; independiente de esta publicación, adicionalmente en el 

presente documento constan las principales alertas por tipo de producto o transacción. 

Será responsabilidad de todos los colaboradores de la institución conocer las alertas, identificar 

si éstas se presentan en su relación con los clientes y reportarlas, de ser el caso. 

3.6.3.1 Procedimientos de reporte de alertas: 

a. Toda alerta detectada por la persona encargada de la relación comercial con el cliente, 

deberá ser puesta a consideración de la línea de Supervisión correspondiente, quien 

revisará si se justifica o no el comportamiento o transacción detectada en el cliente. 

b. En caso, de que el nivel de supervisión, luego de analizar, concluye que la alerta no se 

justifica, ésta será reportada a la Unidad de Cumplimiento, a través de mail o del 

formato de Notificación de Alertas. 

3.6.3.2 Señales de alerta 

A partir de la identificación de los productos financieros con mayor exposición para el uso 

indebido, se estableció comportamientos que pueden llamar la atención y permitir la 

identificación de operaciones inusuales. 

• Señal de Alerta: Son las operaciones que ayudan a identificar o detectar 

comportamientos, conductas, actividades, métodos o situaciones atípicas que se salen de 

los parámetros de normalidad del cliente. 

• Tipología: Es el conjunto de técnicas, procedimientos, operaciones o manipulaciones 

utilizadas por la delincuencia para lavar activos, financiar el terrorismo u otros delitos. 

3.6.3.3 Tipologías identificadas por producto: 

Conforme la descripción citada anteriormente, en la institución se ha identificado algunas 

tipologías que podrían utilizar los productos financieros ofrecidos para dicho fin:












Tipología Descripción Producto / 

transacción en el 

que puede 

utilizarse 

Pitufeo o 

reestructuración 

Empresas 

Fachada o 

ficticias 

En caso de lavado de activos, esta técnica 

consiste en estructurar muchas operaciones de 

montos pequeños con el objetivo de evadir 

controles de transacciones individuales o 

consolidadas. 

Para el caso de financiación del terrorismo, para 

esta técnica se utiliza la distribución de los 

valores legalmente conformados en varias 

personas beneficiarias de los valores. 

Empresas que prestan su nombre o son 

constituidas sin soporte o de forma ilegal para 

aparentar ingresos legítimos; esta tipología 

básicamente se utiliza para lavar activos. 

- Emisión de 

GiftCards. 

- Pagos tarjetas. 

- Cesión de CD 

- Constitución de 

CD 


CD 

- Apertura de TC 

- Pagos de tarjetas 

Encubrimiento 

de ingresos 

Abuso de 

facultades de 

funcionarios 

públicos 

Células 

durmientes 

Personas naturales o jurídicas que tratan de 

justificar ingresos de origen ilícito (falsificación 

de facturas, certificados, otros). Esta tipología se 

evidencia para el delito de lavado de activos 

Funcionarios públicos (PEP´s), que presentan 

transaccionalidad fuera de su nivel de ingresos. 

Al igual que las tipologías anteriores, esta se 

utiliza para lavar ingresos recibidos de forma no 

legal. 

Estudiantes o jóvenes, principalmente del medio 

oriente, viajan a países de América, permanecen 

en los países unos dos años aproximadamente. 

Luego de su estadía, perpetran o intentan 

perpetrar actos de terrorismo. 


CD 

- Apertura de TC 



- Constitución CD 

- Apertura de CD 

- Afiliación de 

tarjetas. 

3.6.3.4 Alertas por tipo de cliente /transacción / producto: 

En esta sección se describen las principales alertas que se deben observar en el 

comportamiento de los clientes, colaboradores, proveedores y otros, la presencia de una alerta 

no significa la identificación de un cliente involucrado en lavado de activos, sino simplemente 

un foco que llama la atención para su análisis. 

Las señales de alerta pueden ser identificadas previo al establecimiento de una relación 

comercial, o durante el monitoreo periódico y permanente de la misma.












3.6.3.4.1 SOCIOS: 

Antes de la vinculación: 

Persona que se rehúsa o evita entregar información actual o histórica, relacionada con su 

actividad, acreencias, historial de situación económica, o capacidad financiera. 

Persona que interactúa con la institución a través de representantes o encargados del 

manejo de sus finanzas a fin de evitar el contacto personal. 

Personas que han registrado para el envío de correspondencia y notificaciones una 

dirección fuera del país o utilizan casillas de correo para el efecto. 

Compañías con directivos cuyos perfiles no se ajustan a los cargos que desempeñan, ni la 

actividad de la empresa. 

Compañías cuyos estados financieros reflejan resultados muy diferentes en comparación 

con otras empresas del mismo sector o con actividad económica similar. 

Compañías que no están autorizadas por la Superintendencia de Compañías u otro 

organismo de control o su actividad aprobada difiere de la realmente realizada. 

Personas que no pueden comprobar sus ingresos o no se puede verificar razonablemente 

los mismos: facturas, pago de impuestos, contratos. 

Personas que exigen una atención rápida y evitarse el cumplimiento de requisitos para la 

apertura de Tarjeta de Crédito. 

Extranjeros que sin razón aparente, principalmente estudiantes, están en el país. 

Potenciales clientes con patrimonio fuera del perfil edad – ingreso. 

Potenciales clientes con ingresos fuera de la “normalidad” para su edad. 

Durante la relación comercial: 

Durante la relación comercial con un cliente, la identificación de alertas se realiza a través de la 

transaccionalidad: 

Pagos de consumos: 

• Socios que consumen y pagan cantidades que superan su ingreso promedio (en función 

de su actividad). 

• Socios que inusualmente realizan pagos importantes, sin justificación creando saldos a 

favor que luego son retirados. 

• Socios que estuvieron en mora o con problemas de pago durante algún tiempo y de 

repente pagan fuertes cantidades de dinero. 

Socios que se niegan a llenar los formularios correspondientes o entregar información 

solicitada. 

Retiros de saldos a favor: 

• Retiros de saldo a favor frecuentes (más de dos veces al mes y por montos superiores a 

USD$10.000). 

Monto de pagos mensuales con los cuales constituye el saldo a favor, que superen el 

valor del ingreso del cliente. 

• Solicitud de retiro de saldo a favor con pago a terceros (principalmente si no existe ningún 

vínculo familiar), No quiere llenar formulario de licitud de fondos.












Precancelación de diferidos: 

• Socios que pre cancelan consumos diferidos de inmediato, sin aparente justificación, con 

frecuencia, (más de dos veces al mes) y por montos importantes. 

• No quiere llenar formulario de licitud de fondos. 

• Cancelación de la deuda con cheque o transferencia de terceros, sin aparente 

justificación. 

Avances / préstamos: 

• Socios que realizan avances o solicitan préstamos que son pagados casi inmediatamente 

(pre cancelaciones) y no son justificados ni razonables con sus ingresos y actividad 

operativa regular. 

Actualización de datos: 

• Cliente que en un corto período de tiempo aparece como dueño o accionista de 

importantes y nuevos activos y/o negocios. 

• Socios adicionales que tienen perfil para ser principales y prefieren seguir teniendo esta 

condición. 

• Incremento de las ventas del negocio de un cliente, o incremento injustificado en los 

ingresos y patrimonio de clientes sin razón que lo justifique, que se evidencie en el 

movimiento de sus cuentas. 

• Cambio recurrente de propietarios de empresas o dirección sin aparente razón. 

• Clientes que muestran resistencia en proveer información o documentación. 

• Cliente insiste en mantener información de ingresos que no puede justificar. 

3.6.3.4.2 INVERSIONISTAS: 


Persona que rehúsa o evita entregar información actual o histórica, relacionada con su 

actividad, ingresos, patrimonio, acreencias o capacidad financiera. 


manejo de sus finanzas a fin de evitar el contacto personal. 

Persona que define su actividad económica como Independiente y manejan grandes 

cantidades de dinero. 



Compañías con directivos cuyos perfiles no se ajustan a los cargos que desempeñan, ni 

la actividad de la empresa. 

Compañías cuyos estados financieros reflejan resultados muy diferentes en 

comparación con otras empresas del mismo sector o con actividad económica similar. 

Personas que no pueden comprobar sus ingresos/patrimonio o fondos invertidos, 

mediante documentación y/o evidencia para validarlo, por ejemplo: facturas, pago de 

impuestos, contratos. 

Compañías que no se encuentran legalmente constituidas en el país o por la actividad 

que declaran en el SRI. 

Extranjeros que sin razón aparente están en el país. 

Perfil económico del cliente no es acorde con la adquisición de bienes.












Compañías que no tienen clientes locales de las mercaderías comercializadas 


Cliente que en un corto período de tiempo aparece como dueño de importantes y 

nuevos activos y/o negocios y/o que presentan cambios significativos no justificados 

sobre su actividad. 

Clientes que realizan operaciones que no están de acuerdo con la capacidad económica 

o su perfil. 

Clientes que incrementan sus inversiones sin comprobar los ingresos ni la procedencia 

de los mismos. 

Incremento de las ventas del negocio de un cliente, sin razón que lo justifique, que se 

evidencie en el movimiento de sus cuentas 

Cambio recurrente de propietarios o dirección sin aparente razón. 

Solicitud frecuente de cesión de inversiones (a uno o varios cesionarios) 

Solicitud frecuente de pago de inversiones a terceras personas o al exterior. 

Cambios evidentes del nivel de vida sin razón aparente de las personas que participan 

en las cadenas de suministro, compra y distribución de la empresa. 

Precancelación / cesión de inversiones y apertura de nuevas recurrentes sin 

justificación. 

Actividad Económica realizada diferente a la actividad declarada 

Manejo de dinero en efectivo no acorde al perfil económico de la persona o empresa 

3.6.3.4.3 ESTABLECIMIENTOS: 


Persona que presiona e insiste en que se le afilie de forma rápida, evitando cualquier 

trámite y sin justificar el motivo de su premura. 


manejo de sus finanzas a fin de evitar el contacto personal (principalmente en 

propietarios). 



Compañías con directivos cuyos perfiles no se ajustan a los cargos que desempeñan, ni 

la actividad de la empresa. 

Persona que se rehúsa o evita entregar información actual o histórica, relacionada con 

su actividad, acreencias o capacidad financiera. 

Compañías constituidas con capitales bajos y que han recibido importantes sumas de 

dinero desde el exterior para su funcionamiento. 



Establecimientos que no cuentan con la infraestructura necesaria para desarrollar las 

actividades que dicen desarrollar. 

Empresas que se abstienen de proporcionar información completa, como actividad 

principal de la empresa, referencias bancarias, localización, nómina de accionistas 

(mínimo 25% de participación), etc.












Establecimientos cuyos ingresos y patrimonio no son razonables con sus operaciones. 


Cliente que en un corto período de tiempo aparece como dueño de importantes y 

nuevos activos y/o negocios. 

Establecimiento que realiza transacciones por montos elevados que no se ven reflejados 

en su infraestructura, balances o pago de impuestos. Inconsistencia de ingresos y 

patrimonio versus sus operaciones de facturación, información financiera y/o 

inversiones. 

Cliente que presenta balances con exceso de efectivo en comparación con su capital de 

trabajo, sin justificación inicial. 



Compañías que presentan ingresos no operacionales superiores a los ingresos 

operacionales sin justificación. 

Incremento de la facturación del negocio de un cliente, sin razón que lo justifique, que 

se evidencie en el movimiento de sus cuentas 

Cambio recurrente de propietarios o dirección sin aparente razón. 

Clientes que presentan autoconsumos continuos y por montos importantes. 

Empresas ubicadas en ciertas zonas (fronteras), que registran un nivel de ventas que no 

guarda relación con la capacidad económica y de consumo de la población. 

Solicitud continua de pago de facturación a terceras personas. 

Cambios evidentes del nivel de vida sin razón aparente de las personas que participan 

en las cadenas de suministro, compra y distribución de la empresa. 

Precancelación de préstamos por anticipo de facturación. 

3.6.3.4.4 OTRAS RELACIONES: 

Proveedores: 

Proveedores que continuamente solicitan pagos al exterior, cuando sus matrices están 

ubicadas en el país o el valor a pagar no justifica el costo de la transferencia. 

Proveedores que se muestran renuentes a proveer información. 

Proveedores con pagos excesivamente bajos respecto a la competencia o con 

diferencias respecto al mercado. 

Proveedores que cambian su domicilio o se dificulta ubicarles. 

No se obtiene información del Representante legal o accionistas. 

Proveedor que ofrezca productos con precios inferiores al 50% respecto a su 

competencia más directa. 

Proveedores que se niegan a actualizar información cada año y/o se niegan a ser 

calificados según lo establecido en el Reglamento interno correspondiente. 

Proveedores cuyos accionistas tienen nacionalidad de países de mayor revisión o 

altamente identificados como designados para el LAFTOD: países de medio oriente, 

mexicano, colombiano 

Colaboradores: 

Estilo de vida que no corresponde a los ingresos familiares.












Colaboradores que se rehúsa a salir de vacaciones o que presentan un número de días 

inusual acumulados de vacaciones pendientes por tomar que no se justifican. 

Realiza tareas que no son de su competencia. 

Información declarada sin soporte o de difícil validación. 

No realiza actualización de datos, provee datos falsos, incompletos y/o no razonables 

sobre sus variaciones de ingresos y patrimonio. 

3.6.4 POLÍTICA DE RESERVA Y CONFIDENCIALIDAD 

Toda información y documentación generada en la organización está protegida conforme los 

lineamientos de la Política de Seguridad de Información; así también, todo colaborador debe 

observar lo señalado en el Reglamento Interno de trabajo en su Art. 6 Confidencialidad; 

específicamente la información generada por o para el Área de Cumplimiento está catalogada 

como confidencial y restringida. 

Los colaboradores del Grupo Financiero, están prohibidos de notificar a los clientes respecto de 

las investigaciones que las autoridades efectúen sobre sus transacciones; y de hacerlo, 

independientemente de las sanciones que pudiera sufrir la Institución, serán sujetos a las 

sanciones penales correspondientes. 

Con el fin de garantizar la confidencialidad y reserva de la información obtenida y generada, los 

accionistas, los miembros del Directorio, los ejecutivos, colaboradores, representantes legales, 

auditores internos, colaboradores, apoderados y asesores del Grupo Financiero, no podrán dar 

a conocer a persona no autorizada y en especial a las personas que hayan efectuado o intenten 

efectuar transacciones económicas inusuales e injustificadas, que se ha comunicado sobre 

dichas transacciones a las autoridades competentes y guardarán absoluta reserva al respecto. 

Tampoco informarán a personas no autorizadas sobre los requerimientos de información 

realizados por la autoridad competente. 

3.6.5 CAPACITACIÓN 

La organización, a través de la Unidad de Cumplimiento, programará la capacitación sobre la 

prevención de lavado de activos, financiamiento del terrorismo y otros delitos, la misma que 

permita conocer y mantener actualizados a los colaboradores sobre la normatividad que se 

emita sobre el tema. 

Basado en los mecanismos que posea la entidad para ejecutar esta política, orientará la 

capacitación especificando los casos que se puedan presentar dependiendo de los servicios y 

productos manejados en la institución. 

Los medios disponibles para su realización podrán ser: Vía electrónica; on-line, presencial, 

talleres o comunicaciones escritas; la capacitación podrá ser impartida por expositores externos 

o internos. 

La capacitación y su sistema se evaluarán anualmente con el fin de realizar los ajustes 

necesarios. 

Todo empleado, funcionario o ejecutivo de la Institución, deberá recibir un ejemplar de 

la sección de responsabilidades y políticas del Manual de prevención de lavado de












activos, el momento de la vinculación. El cumplimiento de éste, es de carácter 

obligatorio y por tanto debe ser entregado al nuevo personal, quienes tienen la 

obligación de leerlo, comprenderlo y entenderlo; y dar fiel y estricto cumplimiento. Se 

obtendrá la respectiva aceptación / certificación escrita, la misma que se archivará en la 

carpeta del nuevo empleado. 

Para el caso de cambios o actualizaciones del manual, éste será publicado en la intranet 

de la institución. Todo colaborador es responsable de mantenerse actualizado al 

respecto. 

Adicionalmente, y con el objetivo primordial de crear una cultura de prevención de 

lavado de activos, financiamiento del terrorismo u otros delitos en la institución, se 

planificará de forma anual una capacitación on-line dirigida a todo el personal de la 

institución. 

Independiente, de lo mencionado anteriormente, la Unidad de Cumplimiento, podrá 

programar, cuando estime necesario, charlas o talleres específicos para fortalecer los 

procedimientos dirigidas a las Áreas que corresponda. 

El Oficial de cumplimiento implementará las acciones correspondientes para asegurar el 

conocimiento y capacitación en la normativa correspondiente al Directorio. 

3.6.6 CONSERVACION DE DOCUMENTACIÓN 

Todos los documentos de soporte sobre las operaciones realizadas, tanto nacionales como 

internacionales, que les permitan cumplir con las solicitudes de información de las autoridades 

competentes, deben ser mantenidos al menos durante seis años, debiendo dar el mismo 

tratamiento a los registros de los datos de identificación de sus clientes. 

Los archivos digitalizados de la información reportada a la Unidad de Análisis Financiera deben 

ser mantenidos por las instituciones del sistema financiero por seis (6) años, contados desde el 

término del ejercicio fiscal durante el cual se realizó el reporte. 

Igual obligación se debe observar en relación a la conservación de los antecedentes y 

resultados del análisis realizado sobre las operaciones inusuales e injustificadas. 

3.6.7 ENVÍO DE REPORTES – INFORMACIÓN A ORGANISMOS DE CONTROL 

3.6.7.1 Requerimiento de información por autoridades competentes 

El Grupo Financiero atenderá a través del Oficial de Cumplimiento, la entrega de información 

relacionada con temas de lavado de activos, que soliciten las autoridades competentes; 

observando lo establecido en los respectivos procedimientos definidos. 

Las Gerencias de las diferentes áreas del Grupo Financiero, son responsables de suministrar la 

información al Oficial de Cumplimiento. La preparación de la información requerida, deberá












otorgarse dando cumplimiento a la norma de control y de confidencialidad, limitándose 

exclusivamente a lo solicitado. 

3.6.7.2 Transacciones que se reportan a la UAFE 

Los productos y transacciones que deben ser reportados a la Unidad de Análisis Financiera y 

Económico UAFE, se especifica en la respectiva normativa vigente y emitida por los organismos 

de control correspondientes. 

3.6.7.3 Transacciones que se reportan a la SBE 

De la misma manera a lo citado anteriormente, en la normativa, regulaciones e instructivos 

vigentes se establecen los reportes e información que debe ser enviada a la Superintendencia 

de Bancos del Ecuador. 

3.6.7.4 Afiches de publicación 

Por disposición de la Unidad de Análisis Financiera y Económico UAFE las compañías que 

conforman el Grupo Financiero, están obligadas a exhibir en sus oficinas principales y agencias 

el afiche que será provisto por la indicada entidad, el que debe ser ubicado en un lugar visible 

para el público, y que contendrá las obligaciones de suscribir la declaración de origen lícito de 

recursos. 

3.6.8 SANCIONES POR INCUMPLIMIENTOS 

Las sanciones por incumplimiento a las Políticas y Procedimientos de Prevención de Lavado de 

Activos, se sujetarán a las normas establecidas en el Reglamento Interno de Trabajo, Título VII, 

Del Régimen Disciplinario, Art 52 De la gradación de las faltas, en el cual se establece que el 

empleador calificará cada una de las faltas de una manera objetiva y con sentido común, 

quedando éstas clasificadas en leves, graves y muy graves. 

De acuerdo al Art. 49 numeral 31, se considera falta muy grave el infringir las normas relativas 

al sigilo bancario o a la prevención de lavado de activos. En caso de detectarse 

incumplimientos, éstos serán puestos en conocimiento del Comité de Cumplimiento, instancia 

que analizará y calificará la falta de acuerdo a lo establecido en el Reglamento Interno de 

Trabajo. 

4. MODELO DE PREVENCION DE LAVADO DE ACTIVOS 

En los últimos años el mundo ha evidenciado un importante incremento de las operaciones 

delictivas, principalmente enfocado a temas relacionados con el lavado de activos, narcotráfico, 

financiación del terrorismo y otros delitos. Para las instituciones financieras, el gestionar este 

riesgo integral y eficazmente se ha vuelto prioritario para la obtención de resultados 

concordantes con los objetivos institucionales. 

El modelo adoptado para la prevención de lavado de activos, financiamiento del terrorismo y 

otros delitos en la institución, es un conjunto integrado de elementos referidos a políticas, 

procedimientos, documentación, estructura organizacional, órganos de control, infraestructura 

tecnológica, divulgación, metodologías, modelos, procesos y controles, información y 

capacitación que permitan responder de forma eficaz, oportuna e integral ante amenazas 

relacionadas con este riesgo.












El modelo facilita la administración del Riesgo de lavado de activos, considerando las etapas de 

gestión de riesgos: identificación, medición, control y monitoreo: 

ETAPAS DE ADMINISTRACIÓN DEL RIESGO LAFTOD: 

Identificación del riesgo LAFTOD.- 

El desarrollo de esta etapa debe permitir identificar los riesgos inherentes de lavado de activos, 

financiación del terrorismo y otros delitos presente en los factores de riesgo y que pueden 

afectar las diferentes operaciones y procesos de la Organización. 

Para la identificación del riesgo de lavado de activos se utilizarán, como mínimo, los factores de 

riesgo sugeridos por la Superintendencia de Bancos del Ecuador. 

Medición y evaluación del riesgo LAFTOD.- 

Esta etapa consiste en realizar un análisis sistemático de los riesgos identificados en todos los 

procesos aplicables llevados a cabo por el Grupo Financiero, sus causas y consecuencias. Por lo 

tanto, una vez desarrollada la primera etapa de identificación, se procede a medir la posibilidad 

de ocurrencia del riesgo inherente, en función de los factores de riesgo definidos, obteniendo 

como resultado la matriz y el mapa de Riesgos de lavado de activos. 

El mapa de riesgos de lavado de activos es la representación gráfica del perfil de riesgo de cada 

cliente de la institución. 

Control del riesgo LAFTOD.- 

Esta etapa consiste en la definición de los diferentes controles de monitoreo, detectivos y 

preventivos, automáticos o manuales que adopta la organización para mitigar el riesgo de 

lavado de activos; éstos controles deben ser congruentes con el plan de acción para mitigación, 

que resulte de la elaboración de la matriz de riesgo de lavado de activos, deben estar diseñados












y operando de forma satisfactoria, dando como resultado una disminución de la probabilidad 

y/o impacto de ocurrencia hasta niveles aceptables. 

El sistema de controles de la organización considerará los siguientes elementos de prevención 

de lavado de activos y financiamiento del terrorismo: 

Políticas.- Son lineamientos o guías aprobadas por la institución para la ejecución de los 

diferentes procesos, que pueden contar con los respectivos reglamentos, manuales, 

normativas y descripción de subprocesos que se emitan, las mismas que deben ser 

observadas de manera obligatoria. 

Controles de procesos.- Son controles establecidos dentro de los procesos para 

monitorear, prevenir y detectar oportunamente cualquier desviación del resultado y 

evitar el involucramiento de clientes, proveedores, establecimientos, colaboradores y 

otros relacionados en temas de lavado de activos y/o financiamiento de delitos, incluido 

el terrorismo. 

Controles físicos/documentales.- Corresponde al establecimiento de requisitos, 

documentos, formularios e información a solicitar al cliente actual o potencial. 

Controles automáticos.- Son aquellos establecidos dentro de los sistemas o aplicativos 

tecnológicos de la organización, tales como: identificación de clientes registrados en 

listas denegadas nacionales e internacionales, modelos estadísticos, controles de acceso 

(perfiles/claves), etc. 

Estructura organizacional.- La estructura organizacional debe asegurar una distribución 

de funciones y responsabilidades que garantice una prevención de lavado de activos a 

todo nivel de la organización. 

Leyes y regulaciones.- Corresponde a las leyes que deben observarse por ser parte del 

sistema financiero nacional, así como normas específicas de lavado de activos, 

financiamiento del terrorismo y otros delitos y mejores prácticas y regulaciones. 

Infraestructura tecnológica.- Parte de este elemento son los sistemas y aplicaciones 

tecnológicas que se utilizan en la institución, tanto para su operatividad, como aquellas 

desarrolladas específicamente para la prevención de lavado de activos. 

Revisiones periódicas efectuadas por Auditoría interna, conforme al alcance y naturaleza 

de los procedimientos establecidos en sus revisiones periódicas descritas en su Plan 

anual, debidamente aprobado por el Directorio y Superintendencia. 

Monitoreo del riesgo LAFTOD.- 

El monitoreo consiste en el seguimiento efectivo y permanente a los perfiles de riesgo 

(determinados a través de la matriz de riesgos) y en general a los clientes y/o transacciones de 

mayor revisión, enfocado en cubrir aquellos que representen mayor exposición al mencionado 

riesgo para la organización.












Esta etapa utilizará para su operatividad las metodologías desarrolladas en el Área, las mismas 

que se describen más adelante como parte integral del presente manual. 

ETAPA 1: IDENTIFICACIÓN DEL RIESGO LAFTOD 

Consiste en el conocimiento, análisis e implementación de un conjunto de actividades que de 

manera ordenada y sistémica, permiten identificar o reconocer una serie de situaciones que 

pueden afectar la actividad económica u objeto social de la institución en relación con el 

Lavado de Activos y la Financiación del Terrorismo y otros delitos. 

Esta etapa implica la ejecución de los siguientes pasos: 

Paso 1: Identificación de los sujetos de revisión en la institución 

Paso 2: Descripción de los riesgos o eventos a los cuales estamos expuestos 

Paso 3: Identificación de los factores de riesgo por cada sujeto de revisión 

Paso 4: Elaboración de la matriz de riesgos LAFTOD 

1.1. Identificación de los sujetos de revisión.- 

Se entiende como sujeto de revisión en el ámbito de la prevención del lavado de activos, 

financiación del terrorismo y otros delitos, a los sujetos con los cuales la institución o grupo 

financiero mantiene relaciones en base a un contrato o acuerdo y por consiguiente se les 

debe aplicar las políticas “Conozca su…”. 

Se han definido los siguientes sujetos de revisión: Clientes, proveedores, empleados, 

accionistas y corresponsales. 

1.2. Descripción de los riesgos o eventos LAFTOD 

Este paso dentro de la metodología implica reconocer o identificar todos los eventos 

inherentes a los cuales estamos expuestos como institución financiera; es decir, aquellos 

riesgos que podrían suceder si la institución no tuviera ninguna barrera de protección 

llamada política, control, procedimiento, control automático, otros. 

La descripción de los riesgos se realizará por cada sujeto de revisión, identificando el 

proceso, la actividad, la tipología usada, el factor de riesgo directamente implicado y las 

causas por las cuales podrían suceder los mismos. 

1.3. Identificación de los factores de riesgo.- 

La normativa vigente define a los factores de riesgo como parámetros que permiten evaluar 

las circunstancias y características particulares de clientes, productos y servicios, canal y 

situación geográfica, con la finalidad de determinar la probabilidad de ocurrencia e impacto 

de una transacción inusual. 

A fin de aplicar este concepto, a partir de la descripción de los riesgos realizada en el paso 

anterior, se han definido los factores de riesgo que impactan en cada sujeto de análisis de 

las políticas conozca su, ejemplo:












Conozca su 

Factor de riesgo 

Actividad económica 

Cargo 

Profesión 

Edad 

Zona geográfica 

Cliente 

Nacionalidad 

Tiempo de relación comercial 

Producto 

Canal 

Especialidad (para establecimientos) 

Tipo de persona (natural o jurídica) 

Tipo de calificación 

Servicio provisto 

Actividad 

Proveedor 

Tiempo de existencia 


Localidad o Zona geográfica 

Nacionalidad 

Nivel del cargo – edad 

Perfil de Patrimonio sobre edad – ingreso 

Colaborador 

Tiempo de relación laboral 

Relación ingreso – deuda 

Edad 

Tiempo de relación 

Accionista 

Nacionalidad 

Tipo de persona (natural o jurídica) 


Director Nacionalidad 

Actividad 


Nacionalidad o lugar de constitución 

Segmentos / productos que ofrece / clientes que 

Corresponsal 

atiende 

Aplicación políticas PLAFT 

Ubicación y presencia Física 

Nota: Los factores, pesos, ponderaciones se analizarán y revalidarán periódicamente para 

ajustar a la realidad de mercado e institucional y su última actualización constará en el 

Manual Técnico de Metodologías de la Unidad de Cumplimiento. 

1.4. Elaboración de la matriz de riesgos LAFTOD.- 

Este paso es la documentación de cada riesgo en el formato definido como la matriz de 

riesgos LAFTOD.












Esta matriz debe ser revisada y alimentada con los eventos que ocurran en la institución, así 

como los estudios focalizados que se generen en la institución y los resultados de la 

aplicación de las políticas “conozca su…”. 

Determinación de la severidad del riesgo 

La evaluación de los eventos de riesgo consiste en combinar la probabilidad de ocurrencia y el 

impacto o consecuencia de ocurrencia de dicho evento; el resultado de la combinación de la 

probabilidad e impacto se lo conoce como severidad. 

Para determinar la probabilidad, impacto y severidad de los eventos identificados se utilizaron 

las siguientes escalas: 

DEFINICIÓN DE LA ESCALA PARA PROBABILIDAD DE OCURRENCIA 

Escala Descripción 

Casi Probabilidad de ocurrencia es muy alta se espera que ocurra en la 

certera mayoría de las circunstancias; es decir supera el 99% de que se presente. 

Muy Probabilidad de ocurrencia es alta; probablemente ocurrirá en la mayoría 

probable de las circunstancias; es decir, se tiene entre el 91% al 98% de seguridad 

que el riesgo se presente. 

Moderado Probabilidad de ocurrencia es media; podría ocurrir en algún momento; 

es decir, se tiene entre el 51% al 90% de seguridad que el riesgo ocurra. 

Poco Probabilidad de ocurrencia es baja; pudo ocurrir en algún momento; es 

probable decir, se tiene entre el 26% al 50% de seguridad de que se presente. 

Raro Probabilidad de ocurrencia es muy baja; puede ocurrir solo en 

circunstancias excepcionales; es decir, se tiene entre el 1% y el 24 % de 

seguridad que el riesgo ocurra. 

DEFINICIÓN DE LA ESCALA DE IMPACTO 

Escala Descripción 

Catastrófico Riesgo cuya materialización influye directamente en el cumplimiento de 

la misión, pérdida patrimonial o deterioro de la imagen, deja a la 

institución sin poder funcionar (accionistas) 

Alta Riesgo cuya materialización dañaría significativamente el patrimonio, 

imagen o logro de los objetivos sociales. Además, se requeriría una 

cantidad importante de tiempo para poder corregir los daños causados. 

(relación clientes ) 

Moderado Riesgo cuya materialización causaría ya sea una pérdida importante en el 

patrimonio o un deterioro significativo de la imagen (relación 

establecimientos, colaboradores, corresponsales); pero no deja de 

funcionar la institución. 

Media Riesgo que causa un daño en el patrimonio o imagen, que se puede 

corregir (relación con la institución proveedores). 

Baja Riesgo que puede tener un pequeño o nulo efecto en la institución – 

otros procesos.












Fuente: Las medidas cualitativas se definieron en base al Estándar Australiano de 

Administración de Riesgos, y tomando como referencia la escala que se maneja en la institución 

para la administración del Riesgo Operativo 

El producto de la evaluación del riesgo es la lista de eventos que pueden presentarse en los 

procesos de la organización con su nivel de severidad. 

Se ha definido que en la matriz de riesgo de Lavado de activos, financiamiento del terrorismo y 

otros delitos de la institución el Perfil demográfico del cliente se catalogue como la 

probabilidad y la transaccionalidad que realiza el cliente se catalogue como el Impacto. 

ETAPA 2: MEDICIÓN DEL RIESGO LAFTOD 

La medición es el proceso por medio del cual la Entidad establece en forma cualitativa o 

cuantitativa la posibilidad de ocurrencia o el impacto de los riesgos de LAFTOD identificados 

frente a cada uno de los factores de riesgo que lo determinan; para la medición del riesgo se 

utilizará la matriz de riesgos o mapa de riesgos. 

La Superintendencia de Bancos del Ecuador, define a la matriz de riesgos como una 

herramienta que permite diferenciar al cliente de acuerdo a la posibilidad de que su negocio, 

comportamiento, relaciones y otras variables, permitan que la entidad financiera sea utilizada 

para lavar dinero o financiar delitos. Utiliza factores cualitativos y cuantitativos, cuya 

correlación permite inferir (categorizar), en términos generales, el nivel en que la IFI podría 

estar expuesta al riesgo de lavado de activos y financiamiento de delitos. 

A través de esta metodología se busca focalizar a los sujetos de análisis (clientes, proveedores, 

empleados, corresponsales y accionistas) de la institución que representan una mayor 

exposición al riesgo de lavado de activos, financiación del terrorismo y otros delitos y por 

consiguiente necesitan un nivel de revisión reforzado. 

El resultado de la aplicación de esta metodología será la matriz y mapa de riesgo inherente de 

lavado de activos y financiación del terrorismo, herramienta a través de la cual se presenta a 

cada sujeto de análisis calificados como de mayor o menor revisión. 

2.1 MEDICIÓN DEL RIESGO LAFTOD CONOZCA SU CLIENTE 

METODOLOGÍA ANALISIS DE VARIABLES MAYOR REVISIÓN 

2.1.1. PERFIL DE RIESGO: 

A continuación se describen los criterios para evaluar cada factor de riesgo por sujeto de 

análisis. 

Actividad Económica 

La actividad económica a considerar será la declarada por el cliente según el catálogo de la 

tabla 28-5 (CIUU-SBS); a cada actividad se le ha asignado un nivel de riesgo, según su exposición 

para el uso en actividades ilícitas.












Para la asignación del nivel de riesgo se ha considerado las actividades que se presentan con 

mayor exposición en las tipologías definidas por la UAFE, en estudios propios realizados, así 

como en el documento “Cuarenta recomendaciones” del GAFI, que sugiere que los requisitos 

del procedimiento de la debida diligencia sean aplicados a las actividades y profesiones no 

financieras en las siguientes situaciones: 

Casinos 

Agentes inmobiliarios 

Inmobiliarias, constructoras, compra/venta de vehículos. 

Comerciantes dedicados a la compraventa de metales preciosos y piedras preciosas 

Abogados, notarios, otros profesionales jurídicos independientes y contadores o 

contables 

Se ha definido dos niveles de riesgo a cada actividad; bajo y alto. 

Nivel de Riesgo 

Alto (1) 

Bajo (0) 

Actividad Económica 

Descripción 

Actividades citadas como “Actividades y profesiones no 

financieras designadas” por GAFILAT (recomendación 21) estas 

homologadas a la tabla 28 (CIUU-SBE) 

Actividades señaladas con mayor recurrencia e impacto por 

delitos, según resultados del estudio anual Conozca su mercado 

(estadísticas públicas, casuística interna, estadísticas de oficios 

reservados y el criterio experto) 

Actividades más propensas al manejo de efectivo. 

Todas las demás 

Cargo 

Para el caso de personas naturales, se ha considerado la variable cargo como otro factor de 

riesgo. 

Se considera a quienes desempeñan cargos de propietarios y socios accionistas como de mayor 

revisión, de acuerdo a estadísticas de clientes cancelados por diferentes alertas LAFTOD. Para la 

asignación del nivel de riesgo al cargo se ha considerado los siguientes criterios: 

Nivel 

Alto 

Medio 

Bajo 

Descripción 

Propietarios, socios accionistas (negocios independientes) 

Cargos sugeridos como de mayor riesgo por el GAFI en su documento de 

cuarenta recomendaciones: contador, contralor. 

No aplica 

Los demás cargos. 

Profesión 

Para el caso de personas naturales, se ha considerado la información del campo “Profesión” 

como otro factor de riesgo. Para la asignación del nivel de riesgo de este factor se han 

considerado los siguientes criterios:












Edad 

La edad de los clientes se considera dentro del modelo, tomando en cuenta que es un factor 

que puede incidir en la propensión de una persona a la exposición al riesgo de lavado de activos 

y financiación del terrorismo. Se ha determinado por casuística institucional que no existe una 

clara diferenciación entre rangos de edades llamadas productivas; por lo que se ha definido los 

siguientes rangos: 

Nivel Rango 

Alto De 19 a 40 años 

Medio De 41 a 55 años 

Bajo menores a 19 años y mayores a 55 

años 

Para personas jurídicas, la edad corresponde a los años de funcionamiento de la empresa o 

sociedad desde su constitución; considerando que mientras menos años de funcionamiento 

tenga, la exposición al riesgo aumenta: 

Nivel Rango 

Alto Hasta 3 años 

Medio De 3 a 5 años 

Bajo Más de 5 

Los rangos de edad considerados como mayor o menor revisión podrían variar en función los 

casos presentados como lavado de activos en la institución, así como en mejores prácticas. 

Zona geográfica 

Corresponde a la zona/ciudad en la cual el cliente apertura su producto con la institución. La 

zona geográfica considerará tres niveles de revisión (bajo, medio y alto). Para la asignación del 

nivel de riesgo a cada provincia, se consideró los siguientes criterios, dándole la calificación 

respectiva dependiendo de 

Si el criterio no se presenta en la provincia, cuando el criterio está presente en la provincia, o 

cuando el criterio evaluado es común en la provincia: 

Criterio 

Concentración de cultivos ilícitos 

Existencia de altos índices delictivos 

Zonas de exposición al narcotráfico 

Zonas de mayor exposición al terrorismo 

Mayores incautaciones de droga 

Fuente 

Estadísticas, fuentes públicas 

Estadísticas, fuentes públicas 

Mapas y rutas del narcotráfico 

Mapas y estudios policiales 

Noticias, estadísticas












Casos propios (clientes cancelados) Estadísticas 

Mayor índice de corrupción PEP´s Casos de peculado presentados en la 

institución 

Concentración PEP’s por provincia Base de clientes PEP´s 

Concentración demográfica Central de Base de clientes de alto riesgo (CAR) 

Alto Riesgo 

Concentración oficios reservados 

Base de sindicados en oficios reservados por 

provincia 

El nivel de calificación podrá cambiar dependiendo de análisis, estadísticas de casos 

presentados, revisión de prensa, mejores prácticas, de los resultados el Estudio Conozca su 

mercado, entre otros. 

Nacionalidad 

Corresponde a la nacionalidad del cliente, dependiendo de ésta se asignará un mayor o menor 

peso al cliente, clasificándolo como de mayor revisión o menor revisión correspondientemente. 

Los países catalogados como mayor o menor revisión podrán cambiar su categoría 

dependiendo de análisis, estadísticas de casos presentados, revisión de prensa, entre otros. 

Nivel 

Alto 

Medio 

Bajo 

Criterio de evaluación 

Personas con nacionalidad de países 

dentro de la lista negra del GAFI 

Extranjeros en general 

Ecuatorianos 


El tiempo durante el cual se ha mantenido la relación comercial, es otro factor considerado en 

la matriz de riesgo, a mayor tiempo de relación, menor nivel de revisión y viceversa: 

Nivel 

Alto 

Medio 

Bajo 


Antigüedad de 1 a 3 años 

Antigüedad de 4 a 17 años 

Antigüedad más de 18 años 

Producto 

El producto que mantenga el cliente en la institución es calificado en función de los criterios 

detallados a continuación, a cada criterio se asigna un valor (del 1 al 3) y dependiendo del 

puntaje global se califica al producto. 

Tipo 

Criterio












Naturaleza 

Característica 

Nicho de 

mercado 

Permite el ingreso de fondos a la institución, los fondos usados son 

previamente pagados, por lo que hay poco incentivo para obtener más 

información sobre el cliente, ya que hay ausencia de riesgo de crédito. 

No existe definido un umbral para el monto a transaccionar directamente 

desde el producto (1 = no existe) 

Se emite a un cliente anónimo, no está atado a una cuenta 

Permite transacciones de fondos en efectivo 

Permite realizar el pago de fondos a terceros 

Permite recibir pagos de terceros 

Su uso tiene mayor alcance: geográfico y comercial (locales) 

Su uso es transferible sin notificación a la institución 

Utiliza deposito o retiros de cajeros ATM 

Utiliza transferencias del y al exterior 

La venta del producto se realiza sin la presencia del cliente 

No se cuenta con la plataforma tecnológica para el producto 

El mercado objetivo incluye a personas con actividad de mayor revisión 

Nivel 

Alto 

Medio 

Bajo 


Inversiones 

Tarjeta 


Canal 

A este factor se le considera como el medio a través del cual, una persona natural o jurídica 

realiza el contacto inicial para convertirse en clientes de la institución. Considerando esta 

definición, un cliente tiene a convertirse en cliente de la institución a través de los siguientes 

canales: 

Canal 

Oficina (cliente se acerca) 

Ventas (se busca al 

cliente) 

Web (cliente accede a 

web) 

Nivel de revisión 

Baja revisión 

Media revisión 

Mayor revisión 

Especialidad












Dentro de la metodología, para el caso de Establecimientos, también se toma en cuenta la 

especialidad; en este sentido se han clasificado las especialidades en mayor o menor revisión, 

homologándolas a la tabla de actividades o sectores económicos. Las especialidades 

catalogadas como mayor o menor podrán cambiar su categoría dependiendo de análisis, 

estadísticas de casos presentados, revisión de prensa, o resultados del estudio conozca su 

Mercado, entre otros. 

ASIGNACIÓN DEL PERFIL DEL CLIENTE: 

La metodología implica otorgar un puntaje a cada uno de los factores de riesgo detallados 

anteriormente para el cliente, dependiendo del tipo de persona (natural o jurídica). Esta 

puntuación será multiplicada por el peso asignado obteniendo una calificación como resultado. 

Ejemplo: Asignación pesos por variables 

Variable 

Persona 

Natural 

Persona 

Jurídica 

Establecimiento 

s 

Actividad /especialidad 15% 30% 40% 

Cargo 5% 

Profesión 5% 

Edad 5% 10% 10% 

Zona geográfica 15% 15% 20% 

Nacionalidad 15% 10% 

Tiempo afiliación 10% 25% 10% 

Producto (inversión. / TC) 15% 15% 5% 

Canal (establecimiento 

/oficina) 

15% 5% 5% 

Los pesos por cada variable y tipo de persona podrán variar previo la presentación y 

aprobación de los mismos en el comité de cumplimiento. La última actualización constará 

en el Manual Técnico de Metodologías de la Unidad de Cumplimiento. 

La asignación del perfil del cliente corresponderá al resultado obtenido, dependiendo del valor 

de los factores propios de cada cliente. 

Adicionalmente, se incluye como perfil de nivel de riesgo 3 de riesgo a los clientes que cumplan 

con las siguientes características: 

Personas políticamente expuestas - PEP´s: 

Se considera a los PEP´s como personas que presentan un mayor nivel de riesgo de lavado 

de activos, por lo expuesto, se ha definido que a todo cliente PEP se le asigne un nivel 3 de 

riesgo. 

Para el caso de personas jurídicas, la revisión de PEP´s se realiza para los Representantes 

Legales de las empresas. La metodología no incluye la evaluación de accionistas de 

personas jurídicas que sean PEP´s.












Clientes coincidentes en listas propias: 

Son aquellos clientes que han sido detectados o focalizados por alguna alerta en la Unidad 

de Cumplimiento y por lo tanto, forman parte de las listas propias generadas por la 

institución. 

Rangos de calificación del nivel riesgo: 

El resultado final para asignar el nivel de riesgo del cliente como la probabilidad de ocurrencia 

del riesgo, se presenta en la tabla a continuación: 

Nivel de 

revisión Personales Corporativos Establecimientos 

Nivel 1 0% - 74% 0% - 49% 0% - 49% 

Nivel 2 75% -90% 50% - 90% 50% - 90% 

> 90% > 90% > 90% 

Nivel 3 

+ PEP´s + Clientes coincidentes en listas propias (juicios) 

Clientes coincidentes en listas nacionales o 

Nivel 4 internacionales 

IDENTIFICACIÓN DE TRANSACCIONALIDAD MAYOR REVISIÓN - IMPACTO 

Esta parte de la metodología corresponde analizar ciertos patrones de actividad en las 

transacciones que realiza el cliente que, por su exposición a ser utilizadas de manera indebida, 

deben ser monitoreadas en forma regular, tanto para determinar la naturaleza de la actividad 

como para identificar inusualidades en su transaccionalidad, que pueden generar alertas. Las 

transacciones a monitorear, simplemente son un conjunto de patrones transaccionales en que 

las instituciones se deben enfocar para identificar alertas de forma preventiva. 

Definición y asignación del perfil transaccional o financiero del cliente: 

En la normativa vigente se define al perfil transaccional del sujeto de análisis como: “…el 

parámetro máximo determinado por la entidad, de las acreencias netas de todos los productos 

consolidados del sujeto de análisis, en función de la situación y actividades económicas que 

realiza mensualmente este cliente, sobre el cual se debe confrontar su transaccionalidad.” 

Para la asignación del perfil, se consideró: 

Pago de Tarjetas: El perfil financiero del cliente corresponde al valor que por las características 

de transaccionalidad histórica, edad, perfil demográfico e ingresos de la normalidad del 

segmento al que pertenece, se le asigna al cliente como valor referencial en la transacción de 

pagos en tarjetas. 

La segmentación de clientes se realizó considerando las siguientes condiciones, mismas que son 

mutuamente excluyentes y jerárquicamente descendentes: 

 

Perfil base: Clientes que registran ingresos menores a usd 3000 y promedio de pagos 

menores a usd 3000 al mes, se asigna como perfil usd 3,000.












Se subsegmentó el resto de la base por EDAD – INGRESO, asignando como perfil 

financiero de cada grupo el promedio de pagos que registra el grupo de registros en 

cada segmento.. 

Se asignó un porcentaje de tolerancia sobre el valor definido como perfil financiero, 

dependiendo del nivel de riesgo demográfico que incluyen factores de riesgo como la 

actividad económica del cliente (bajo, medio y alto riesgo). 

Los segmentos de edad y de ingresos se definieron de acuerdo a histogramas de frecuencias 

más el criterio del experto en relación a edades e ingresos que representan mayor o menor 

riesgo de lavado de activos, financiación del terrorismo y otros delitos. 

Para el caso de personas jurídicas, la segmentación de los clientes se realizó en base a las 

siguientes condiciones: 

Segmentos: Small Business, Pymes y Empresarial – Corporativo (esta segmentación 

depende del tamaño de la empresa medido por el patrimonio de la misma). 

Años de Experiencia: dentro de cada uno de estos segmentos, se dividió por edad 

considerando la fecha de constitución de la empresa. 

Actividad Económica del cliente: se consideró la actividad del cliente (mayor revisión, 

menor revisión, Debida diligencia Simplificada -DDS). 

Por cada sub-segmento se definió el valor correspondiente a la normalidad de pagos 

(promedio más dos desviaciones estándar). 

En caso de que algún clúster no tenga casos para análisis de la normalidad se asignó un 

perfil intermedio (los dos más cercanos) dependiendo del segmento. 

Monto de inversiones: Al igual que para el caso de pagos de tarjeta de crédito, se definió un 

monto normal de inversión que un cliente podría llegar a constituir considerando su edad e 

ingresos. 

Se realizó el análisis sobre los clientes que poseen un promedio de inversiones igual o superior 

a $10.000. 

Los segmentos de edad y de ingresos se definieron de acuerdo a histogramas de frecuencias 

más el criterio del experto en relación a edades e ingresos que representan mayor o menor 

riesgo LAFTOD. 

Se definió como valor esperado (Perfil financiero inversiones), el valor promedio de las 

inversiones mantenidas en 36 meses, por cada clúster, más dos desviaciones estándar. 

Nota: Este monto solo aplica a personas naturales.

PERFIL TRANSACCIONAL 

PRODUCTO 












El detalle de la metodología aplicada consta en el Manual Técnico de Metodologías de la 

Unidad de Cumplimiento 

METODOLOGÍA DE ANALISIS E IDENTIFICACIÓN DE INUSUALIDADES 

TRANSACCIONES DE REVISIÓN 

Corresponde a transacciones que según mejores prácticas y experiencia (casuística), pueden 

ser utilizadas para ocultar o lavar dinero ilícito, ejemplo: inversiones, Saldos a favor (SAF), 

precancelaciones. 

Nuevo 

Monto 

Condición 

Monto 

Vigente 

Volumen 

Definición de transacciones y condiciones de focalización: 

A fin de monitorear la transaccionalidad del cliente, se ha identificado por cada producto y 

transacción el nivel correspondiente. El monitoreo consiste en comparar los movimientos de las 

transacciones del cliente frente al umbral o perfil, definido tanto en monto como en frecuencia. 

NIVEL DE IMPACTO 

Transacción Baja revisión Media revisión Mayor revisión Alta 

CIB (cesión mismos 

beneficiarios) 

CIM (cesión inversión 

por monto) 

CIR 

(cesión 

recurrencia) 

FEC (crecimiento 

facturación) 

FIA (forma de pago 

inversión tipo -SALIDA) 

FIM (forma de pago 

inversión monto - 

SALIDA) 

Frecuencia 

Frecuencia al Frecuencia al 

mes (criterio mes (criterio 

experto) experto) 

Bajo el Monto Sobre el 

monto 

Frecuencia al Frecuencia al 

mes 

mes 

% crecimiento % crecimiento 

en valor en valor 

facturado facturado 

hasta umbral sobre umbral 

Bajo monto Sobre Monto 

inversión de inversión 

Bajo monto Sobre Monto 

inversión de inversión 

revisión












IIA (forma de pago 


INGRESO) 

IIM (forma de pago 


INGRESO) 

MIC (valor inversión – 

crecimiento) 

Bajo monto 

inversión 

Bajo monto 

inversión 

Sobre Monto 

de inversión 

Sobre Monto 

de inversión 

Monto de Monto de 

crecimiento crecimiento 

del valor de la valor de la 

inversión bajo inversión 

Transacciones umbral sobre umbral 

MIM (valor inversión – sin alerta Monto de Monto de 

nueva) 

inversión inversión 

nueva 

nueva 

PIM (Precancelación 

Valor de Valor de 

inversión monto) 

precancelación precancelación 

bajo umbral sobre umbral 

PIR (precancelación 

# de veces de # de veces de 

inversión recurrencia) 

inversiones inversiones 

precanceladas precanceladas 


PRTM (precancelación 

Valor 

Valor 

tarjeta monto) 


diferidos bajo diferidos sobre 

umbral umbral 

PTA (precancelación 

Valor 

Valor 

tarjeta monto anual) 


anual de anual de 

diferidos bajo diferidos sobre 

umbral umbral 

PTM (pago tarjetas 

% de 

mediana) 

crecimiento en 

valor de pago 

promedio de 

tarjetas 

PEF (Pagos tarjeta en 

Monto del Monto del 

efectivo) 

pago en pago en 

efectivo efectivo 

PTT (Pago tarjetas 

Según perfil Según perfil 

sobre Perfil Financiero) 

financiero – financiero – 

pagos bajo pagos sobre 

umbral umbral 

RTA (retiros SAF monto 

Monto SAF Monto SAF 

anual) 


RTM (retiro SAF monto Monto SAF Monto SAF 

Más de 

cuatro 

alertas 

simultáneas








mensual) bajo umbral sobre umbral 

RTR (retiros SAF 

# de veces de # de veces de 

recurrencia) 

Retiros de SAF Retiros de SAF 

PINV (Inversión sobre 

Perfil Financiero) 

FEC ( Facturación 

Establecimientos – 

crecimiento) 

VEF (Variable 


Facturación) 

STCM ( Saldo a favor – 

crecimiento) 

umbral 

Clientes fuera 

de perfil 

ingreso – 

inversión (bajo 

umbral) 

Porcentaje y 

Monto de 

crecimiento 

Mensual y 

Anual 

Monto de 

facturación 

bajo variable 

de inusualidad 

Valor del 

crecimiento 

último mes del 

SAF 





umbral 

Clientes fuera 

de perfil 

ingreso – 

inversión 

(sobre umbral) 

Porcentaje y 

Monto de 

crecimiento 

Mensual y 

Anual 

Monto de 

facturación 

bajo variable 

de inusualidad 

Valor del 

crecimiento 

último mes del 

SAF 

STA (Saldo a favor – 

monto mensual) 

Valor del SAF 

al mes 

Valor del SAF 

al mes 

STM (Saldo a favor – 

Valor de la Valor de la 

mediana) 

mediana del mediana del 

SAF mantenido 

en 12 meses 

SAF mantenido 

en 12 meses 

PCM ( Prepaid 

Monto de Monto de 

Corporativas Monto) 

recarga en recarga en 

tarjetas 

prepaid 

tarjetas 

prepaid 

MPAD (Mensual Póliza 

Valor del Valor del 

de acumulación Diners) 

crecimiento crecimiento 

mensual del mensual del 

PAD 

PAD 

APAD(Anual Póliza de 

Valor del Valor del 

acumulación Diners) 

crecimiento 

anual del PAD 

crecimiento 

anual del PAD 

PIM (Plazo Inversión 

Monto) 

Monto y plazo 

de la inversión 

Monto y plazo 

de la inversión 

La definición de umbrales de alerta, tanto en monto como en frecuencia se realizará con una 

frecuencia semestral y será presentada en el comité de cumplimiento para su aprobación. Su 

actualización consta en el Manual Técnico de Metodologías de la Unidad de Cumplimiento.








2.2 MEDICIÓN DEL RIESGO LAFTOD CONOZCA SU PROVEEDOR 





2.2.1. PERFIL DE RIESGO: Para la definición del perfil de riesgo de un proveedor se han 

identificado los siguientes factores de riesgo: 

Tipo de persona.- se refiere a la constitución legal del sujeto, diferente al registro de su RUC en 

el SRI. 

Criterio 

Nivel 

Persona natural u otras 

entidades 

Persona jurídica 

Mayor 

riesgo 

Menor 

riesgo 

Nota: En el nivel de mayor riesgo también se ubican a las sociedades civiles y comerciales u 

otras que no están registradas en la Superintendencia de Compañías, Valores y Seguros. 

Tipo de calificación.- El tipo de calificación es un factor propio del sujeto proveedor definido en 

función del tamaño de la empresa, forma de constitución y características propias: 

Calificación 

Descripción 

Empresas locales medianas o familiares (incluyen servicios 

Mayor = Riesgo 

profesionales con RUC a nombre personal) 

Mayor 

Empresas grandes que no coticen en bolsa 

Empresas locales grandes que cotizan en la bolsa de 

Menor= Riesgo valores o que tengan reconocido prestigio, en los términos 

Menor descritos en el presente documento (Independiente del 

valor de factura). 

Personas naturales o microempresa que brinden servicio 

de arrendamiento, y/o artesanos calificados. 

Empresas internacionales que coticen en bolsa (tengan o 

no representación en el país). 

Mínima= Riesgo Empresas internacionales de tamaño empresarial o pymes 

Bajo sin representación local o que no coticen en bolsa. 

Empresas locales medianas o familiares (incluyen servicios 

profesionales con RUC a nombre personal) 

Empresas con excepción de Calificación (bancos, seguros, 

cooperativas) 

Nota: Ver Reglamento de selección y calificación de proveedores 

Servicios provistos.- Este factor se calificará en función de los servicios o productos que 

nos brinda como proveedor, considerando a los servicios Core como de menor exposición 

frente a los servicios no Core.












Actividad.- Corresponde a la actividad económica realizada por el proveedor. Se considerará la 

calificación asignada a actividades según se señaló en la sección de Metodología Análisis de 

Variables Mayor Revisión, en la sección Perfil de Riesgo de clientes 

Tiempo de existencia.- Para proveedores se considerará los mismos rangos definidos para 

personas jurídicas (clientes): 

Nivel de Rango 

Revisión 

Alto 

Hasta 3 años 

Medio 

De 3 a 5 años 

Bajo Más de 5 


El tiempo durante el cual se ha mantenido la relación comercial considerando que a mayor 

tiempo, la exposición al riesgo es menor: 

Nivel de Rango 

Revisión 

Menor Igual o mayor de 2 

años 

Mayor 

Menor de 2 años 

Localidad o Zona geográfica 

Corresponde a la zona/ciudad en la cual el proveedor se ha constituido, asignando el nivel de 

riesgo de acuerdo a la provincia. Se considerará la calificación asignada a las zonas según se 

señaló en la sección de Metodología Análisis de Variables Mayor Revisión, en la sección Perfil 

de Riesgo de clientes. 

Nacionalidad 

Corresponde a la nacionalidad del proveedor; es decir internacional o local. 

Nivel 

Alto 

Medio 

Bajo 


Personas con nacionalidad de países dentro de la lista negra 

del GAFI 


Ecuatorianos 

ASIGNACIÓN DEL PERFIL DEL RIESGO PROVEEDOR: 

Se asignará el perfil de riesgo otorgando un peso a cada factor en función de los criterios 

evaluados.












FACTOR DE 

RIESGO 

CRITERIO DE EVALUACION PESO CALIFICACIÓN 

Tipo de 

Persona 

Se refiere a la constitución legal 

del sujeto 

10% 


Persona natural 

= Bajo 

= Alto 

Tipo de 

calificación 

Factor propio del sujeto 

proveedor definido en función 

del tamaño de la empresa, 

forma de constitución y 

características propias 

10% 

Mínima 

Menor 

Mayor 

= Bajo 

= 

Medio 

= Alto 

Servicios 

provistos 

En función de los servicios o 

productos que nos brinda como 

proveedor, considerando a los 

servicios CORE como de menor 

exposición frente a los servicios 

NO CORE 

15% 

No core 

Core 

= Bajo 

= Alto 

Actividad 

Económica 

Corresponde a la actividad 

económica realizada, y que 

genera los recursos económicos 

20% 

Actividades y profesiones 

designadas por GAFILAT, 

actividades y estudio de 

mercado 

Resto de Actividades 

=Alto 

= Bajo 

Tiempo de 

existencia 

Para proveedores se considerará 

los mismos rangos definidos 

para personas jurídicas 

(clientes) 

10% 

Hasta 3 años 

De 3 a 5 años 

Más de 5 

= Bajo 

= 

Medio 

= Alto 

Tiempo de 

relación 

comercial 

El tiempo durante el cual se ha 

mantenido la relación comercial 

10% 

Igual o mayor de 2 años 


=Bajo 

=Alto 

Localidad o 

zona 

geográfica 

Corresponde a la zona/ciudad 

en la cual el proveedor se ha 

constituido, asignando el nivel 

de riesgo de acuerdo 

10% 

Zonas con Indices 

delictivos, zonas de 

mayor exposición a 

delitos 

Resto de Zonas 

=Alto 

= Bajo 

Nacionalidad 

Corresponde a la nacionalidad 

del proveedor; es decir nacional 

o extranjera 

15% 

Ecuatorianos 


Nacionalidades lista negra 

GAFI 

= Bajo 

= 

Medio 

= Alto












Tamaño de 

la empresa 

Se evalúa el tamaño de la 

misma en función de sus 

activos, y por valor de 

facturación o tipo de calificación 

100% 

Facturación hasta $ 

5000 

- Facturación hasta 

$10,000 

- Facturación >$10,000 

= Bajo 

= 

Medio 

= Alto 


El resultado final para asignar el nivel de riesgo del cliente se presenta en la tabla a 

continuación: 

Nivel de 

revisión Rango porcentaje 

Nivel 1 0% - 25% 

Nivel 2 25% -50% 

Nivel 3 > 50% 

Proveedores coincidentes en listas 

Nivel 4 nacionales o internacionales 

IDENTIFICACIÓN DEL IMPACTO 

Para identificar el impacto se analiza el nivel de facturación que mantiene el proveedor con la 

institución. 

Nivel de 

revisión Monto facturación mensual 

Nivel 1 Hasta usd 5,000 

Nivel 2 Hasta usd 10,000 

Nivel 3 > usd 10,000 

2.3 MEDICIÓN DEL RIESGO LAFTOD CONOZCA SU COLABORADOR 

2.3.1. PERFIL DE RIESGO: Para la asignación del perfil de riesgo se evalúa los siguientes 

criterios: 

Nivel de cargo - Edad.- El nivel de cargo se evalúa relacionando directamente a la edad de 

colaborador: 

Nivel 

Bajo 

Alto 

Criterio 

Edad del colaborador dentro del rango de edades 

“normales” presentes en la institución para cada 

nivel de cargo. 

Edad del colaborador fuera del rango de edades 

“normales” presentes en la institución para cada 

nivel de cargo.












Perfil Patrimonio sobre Edad - ingreso.- Se evaluará la normalidad del patrimonio para 

determinar la compatibilidad con ingresos para los rangos de edad predefinidos. 

Nivel 

Bajo 

Alto 

Criterio 

Patrimonio dentro de la normalidad en el rango 

de edad ingresos 

Patrimonio fuera de la normalidad en el rango de 

edad ingresos. 

Colaboradores con patrimonio igual o mayor a 

usd 400,000. 

Tiempo de relación laboral 

El tiempo durante el cual se ha tenido la relación laboral con el empleado: 

Nivel 

Menor 

Mayor 

Tiempo 

Igual o mayor de 2 años 


Relación ingreso - deuda 

Se determinará en función de segmentar a los colaboradores por ingreso - deuda: 

Nivel 

Bajo 

Alto 

Criterio 

Total deudas dentro o bajo de la normalidad en el 

rango de ingreso familiar 

Total deudas sobre la normalidad en el rango de 

ingreso familiar. 

ASIGNACIÓN DEL PERFIL DEL RIESGO COLABORADOR: 


evaluados. 


El resultado final para asignar el nivel de riesgo del colaborador se presenta en la tabla a 

continuación:








Nivel de 


Nivel 1 0% - 25% 

Nivel 2 25% -50% 

Nivel 3 > 50% 

Colaborador coincidentes en listas nacionales o 







Para determinar los colaboradores a revisar se considerará como mayor impacto los siguientes 

niveles: 

Nivel 

Descripción 

Mayor Colaboradores que por su nivel de cargo ocasionarían 

gran impacto al estar relacionados en esquemas de lavado 

(alta gerencia y gerencia) 

Medio Colaboradores que por su nivel de cargo ocasionaría 

mediano impacto al estar relacionados en esquemas de 

lavado (subgerencias y jefaturas) 

Colaboradores con incremento patrimonial Igual o mayor 

al 20%; considerando el umbral definido. 

Menor 

Resto de colaboradores 

2.4 MEDICIÓN DEL RIESGO LAFTOD CONOZCA SU ACCIONISTA Y DIRECTOR 

2.4.1. PERFIL DE RIESGO: Para la asignación del perfil de riesgo se evalúa los siguientes 

criterios: 

ACCIONISTAS 

Edad.- Se evaluará únicamente la edad del accionista en función a: 

PERSONA NATURAL 

Nivel 

Bajo 

Alto 

Criterio 

Accionistas mayores a 50 años. 

Accionistas menores a 50 años. 

PERSONA JURIDICA 

Nivel 

Bajo 

Criterio 

Existencia por más de 5 años.












Alto 

Existencia por menos de 5 años. 

Tiempo de relación.- El tiempo durante el cual se ha tenido la relación accionarial: 

Nivel 

Mayor 

Menor 

Tiempo 

Menor a un año 

Mayor a un año 

Nacionalidad 

Corresponde a la nacionalidad del accionista; es decir internacional o local. 

Nivel 

Alto 

Medio 

Bajo 





Ecuatorianos 

Tipo de persona.- 

Se refiere a la constitución legal del sujeto 

Nivel 

Menor 

riesgo 

Mayor 

riesgo 

Criterio 

Persona natural 


DIRECTOR 


El tiempo durante el cual se ha tenido la relación con el Director: 

Nivel 

Mayor 

Menor 

Tiempo 

Menor a un año 

Mayor a un año 

Nacionalidad 

Corresponde a la nacionalidad del director; es decir internacional o local.












Nivel 

Alto 

Medio 

Bajo 





Ecuatorianos 

Actividad 

Corresponde a la actividad a la que se dedica el Director. Se considerará la calificación asignada 

a actividades según se señaló en la sección de Metodología Análisis de Variables Mayor 

Revisión, en la sección Perfil de Riesgo de clientes. 

ASIGNACIÓN DEL PERFIL DEL RIESGO ACCIONISTA Y DIRECTOR: 


evaluados. 


El resultado final para asignar el nivel de riesgo del cliente se presenta en la tabla a 

continuación: 

Nivel de 


Nivel 1 0% - 25% 

Nivel 2 25% -50% 

Nivel 3 > 50% 

Directores coincidentes en listas nacionales o 



Para determinar los accionistas y directores a revisar se considerará como mayor impacto los 

siguientes niveles: 

Nivel 

Mayor 

Descripción 

Accionistas o directores con participación 

igual o superior al 6%. 

Accionistas o directores con capital 

accionarial igual o superior a usd 400,000 

Menor 

Resto de accionistas o directores 

2.5 MEDICIÓN DEL RIESGO LAFTOD CONOZCA SU CORRESPONSAL 

2.5.1. PERFIL DE RIESGO: 

Los factores y criterios a evaluar para corresponsales son: 

Tiempo de relación.- A menor tiempo mayor riesgo








Nacionalidad o lugar de constitución.- Extranjeros mayor riesgo. 





Segmentos / productos que ofrece / clientes que atiende: personales mayor riesgo. 

Aplicación políticas PLAFT.- si están o no regulados por un organismo de control 

Ubicación y presencia física.- Sin presencia física mayor riesgo 

A cada uno de éstos factores se calificará obteniendo un resultado. 

PERFIL CORRESPONSAL 

FACTOR DESCRIPCION PARÁMETROS 

Experiencia 

Nacionalidad 

Aplicación 

políticas Plaftod 

Número de años en la institución 

Lugar de constitución 

Están controlados por un 

organismo del gobierno de su 

país / noticias 

NIVELES 

DE RIESGO 

(0) >3 BAJO 

(1)









Nivel de 


Nivel 1 0% - 25% 

Nivel 2 25% -50% 

Nivel 3 > 50% 

Clientes coincidentes en listas nacionales o 



El impacto se definirá en función del tipo de relación: 

Nivel 

Descripción 

Mayor El corresponsal tiene la facultad de 

establecer relaciones con clientes en 

nombre de la institución. 

Menor El corresponsal únicamente tiene la 

facultad de transaccionar con clientes 

nuestros. 





MAPA DE RIESGO 

La clasificación de sujetos de mayor revisión se realizará según la matriz de riesgos establecida 

a continuación. Es importante mencionar que esta matriz podría modificarse de acuerdo a los 

criterios, experiencia y cambios en el entorno o mercado. 

La matriz de riesgos de lavado de activos será la combinación entre la probabilidad (perfil de 

revisión) y el impacto (umbral de revisión transaccional), se establecen cuatro niveles de 

severidad representados por la colorimetría: 

Niveles de severidad 

PERFIL CLIENTE PERFIL TRANSACCIONAL Ponderación Color 

Baja revisión 1 Baja revisión 1 Bajo Verde 

Baja revisión 1 Menor revisión 2 Bajo Verde 

Baja revisión 1 Mayor revisión 3 Moderado Amarillo 

Baja revisión 1 Extrema revisión 4 Alto Naranja 

Menor 

revisión 

2 Baja revisión 1 Bajo Verde 

Menor 

revisión 

2 Menor revisión 2 Moderado Amarillo 

Menor 

revisión 

2 Mayor revisión 3 Moderado Amarillo 

Menor 2 Extrema revisión 4 Alto Naranja












revisión 

Mayor 

revisión 


Mayor 

revisión 


Mayor 

revisión 

3 Mayor revisión 3 Alto Naranja 

Mayor 

revisión 

3 Extrema revisión 4 Extremo Rojo 

Extrema 

revisión 


Extrema 

revisión 


Extrema 

revisión 

4 Mayor revisión 3 Alto Naranja 

Extrema 

revisión 

4 Extrema revisión 4 Extremo Rojo 

El producto de la evaluación del riesgo es el detalle de sujetos (individuales y 

consolidados) con prioridades para la evaluación inmediata, la cual se explica en el 

cuadro siguiente: 

Nivel de severidad del riesgo LAFT 

Severidad Color Consideración Descripción Medidas 

Riesgo Riesgo extremo. Inaceptable 

4 Extremo 

Eliminar 

Inaceptable en la organización. 

Riesgo Alto. Requiere 

debida 

diligencia 

Riesgo 

Eliminar/ 

3 Alto 

especializada y decisión de 

Importante 

Prevenir 

continuación de la relación 

2 Moderado 

1 Bajo 

Riesgo 

Tolerante 

Riesgo 

aceptable 

comercial y/o reporte. 

Riesgo aceptable. Requiere 

evaluación para justificación 

de alertas. Monitoreo y 

evaluación. 

La exposición es casi nula. 

Monitoreo de evolución. 

Prevenir 

Aceptar 

el riesgo 

La representación del mapa de riesgos consiste en combinar en el eje Y el perfil del cliente y en 

el eje X, el perfil transaccional. 

ETAPA 3: CONTROL DEL RIESGO LAFTOD 

La etapa de control del riesgo corresponde al proceso en el cual la entidad realiza un análisis de 

sus controles, valora su efectividad y eficacia y determina de esta forma el RIESGO RESIDUAL de 

la institución.












El control del riesgo LAFTOD está enfocado en dos aspectos: 

El control del riesgo identificado (matriz de riesgo LAFTOD) 

El control de los sujetos de análisis que representan mayor exposición al riesgo. 

3.1 CONTROL DEL RIESGO LAFTOD IDENTIFICADO: 

Esta etapa de la gestión de riesgos, está enfocada en identificar e implementar el control 

apropiado para mitigar el riesgo inherente identificado. Los controles, pueden ser el 

establecimiento de políticas, procedimientos, controles o validaciones automáticas, controles a 

nivel de supervisión, entre otros cuyo objetivo principal es impedir la ocurrencia del evento y 

anticipar que se materialice mediante la implementación de controles reactivos, preventivos y 

detectivos. 

La operatividad y diseño eficiente y satisfactorio del control aplicado y la posterior evaluación 

de los controles dará como resultado el riesgo residual de cada evento identificado. 

3.1.1. Evaluación de controles 

Una vez que se han identificado los riesgos, su impacto, probabilidad, severidad, y los controles 

asociados a los mismos, el siguiente paso es la validación del control identificado. Para el 

efecto, el Área de Cumplimiento establecerá periódicamente un cronograma de actividades 

para la revisión de los controles implementados en los procesos. El resultado de la revisión será 

expuesto para conocimiento en el Comité de Cumplimiento y en caso de existir una mitigación 

no adecuada de los riesgos identificados, se propondrá la implementación de un plan de acción 

a cargo y bajo la responsabilidad de la Gerencia Nacional dueña del proceso. 

4.1. CONTROL DEL RIESGO LAFTOD DE SUJETOS DE ANÁLISIS 

De acuerdo a lo explicado anteriormente, los sujetos de análisis para el riesgo LAFTOD son: 

clientes, proveedores, empleados, accionistas, corresponsales. 

Esta etapa de la gestión de riesgos implica realizar una debida diligencia a los sujetos 

focalizados en la etapa de medición del riesgo LAFTOD e implementar la medida de mitigación 

que se considere necesaria. 

3.2.1 Matriz de riesgos de lavado residual 

Una vez identificados y valorados los sujetos, se realizará la evaluación respectiva para 

justificar o no la inusualidad presentada, obteniendo como resultado, el mapa de riesgo 

residual y las acciones a seguir, el riesgo residual se calculará en base a la siguiente 

fórmula: 

Severidad residual = Severidad inherente – (severidad inherente x % mitigación). 

El porcentaje de mitigación corresponderá a las siguientes acciones:



Nivel de mitigación 






Porcentaje 

Mitigación 

de 

mitigación 

Justificado 100% 

Reportado – cancelado 100% 

Monitoreo (juicio o transaccionalidad) 80% 

Solicitar mayor información / 50% 

documentación 

Debida diligencia ampliada 30% 

Reportado no cancelado 5% 





El nivel de mitigación podrá cambiar producto de la aplicación de la metodología, al 

igual que las variables definidas y porcentajes. Estos cambios serán presentados al 

Comité de Cumplimiento. 

El éxito de la metodología depende de la continua revisión, actualización y ajuste, tanto 

de los factores de riesgo, como del peso asignado a cada uno. Todo ajuste a los 

factores, ponderaciones, criterios, serán presentados al Comité para aprobación. 

PROCEDIMIENTO PARA EL ANALISIS INUSUALIDADES 

OBJETIVO: 

Desarrollar un método que permita a la Organización identificar y tomar decisiones más 

acertadas sobre clientes y en general sujetos que registran transacciones y comportamiento 

catalogados como inusuales. 

METODOLOGÍA DE ANÁLISIS: 

El análisis exitoso de transacciones y perfil del cliente requiere de una estructura definida, la 

misma que consta de los siguientes elementos: 

Fuentes de información: 

Las fuentes de información de clientes con inusualidades son: 

Matriz de riesgo de lavado de activos: Se considerará para revisión aquellos clientes que 

se ubiquen en la matriz de riesgo con un nivel alto. 

Prensa: Incluye la identificación de clientes a partir de la revisión de medios de 

comunicación. 

Fiscalía: Considera aquellos clientes de quienes la Fiscalía solicita información, 

considerando los siguientes motivos:












EQUIVALENCIA 

AI 

API 

COA 

DEO 

ENRIL 

EPROFAPE 

IF 

INV 

IP 

LA 

PEC 

PIN 

PROMATPRE 

SE 

TESFIS 

TIA 

TIE 

TRAID 

TRASE 

TSD 

USU 

VAIPN 

JUICIO 

ASOCIACION ILICITA 

ASISTENCIA PENAL INTERNACIONAL 

CONTRABANDO ADUANERO 

DELINCUENCIA ORGANIZADA 

ENRIQUECIMIENTO ILICITO 

ELABORACION, PRODUCCION, FABRICACION Y 

PREPARACION DE SUSTANCIAS ESTUPEFACIENTES O 

PSICOTROPICAS 

INSTRUCCIÓN FISCAL 

INVESTIGACION 

INDAGACION PREVIA 

LAVADO DE ACTIVOS 

PECULADO 

PROPIEDAD INTELECTUAL 

PRODUCCION, MANTENIMIENTO Y TRAFICO DE 

PRECURSORES U OTROS PRODUCTOS QUIMICOS 

ESPECIFICOS PARA ELABORAR SUSTANCIAS SUJETAS A 

FISCALIZACION 

SUSTANCIAS ESTUPEFACIENTES 

TENENCIA DE SUSTANCIAS SUJETAS A FISCALIZACION 

TENENCIA ILEGAL DE ARMAS 

TENENCIA ILEGAL DE ESTUPEFACIENTES 

TRAFICO ILEGAL DE DROGAS 

TRAFICO DE SUSTANCIAS ESTUPEFACIENTES 

INVESTIGACIONES POR TRANSFERENCIA INUSUAL DE 

DINERO 

USURA 

VINCULOS CON ACTIVIDADES IRANIES DE 

PROLIFERACION NUCLEAR 

Reporte de alertas.- Son aquellos casos detectados y reportados por los colaboradores y 

funcionarios de la institución producto de la identificación de alertas que puedan 

presumir actos ilícitos cometidos por clientes, socios, establecimientos, inversionistas, 

proveedores, empleados y corresponsales. 

Coincidentes listas denegadas.- Corresponden aquellos clientes cuyos nombres son 

coincidentes en la revisión de listas denegadas, pero no su identificación, 

estableciéndose una alerta inicial que deberá descartarse mediante la verificación de su 

identidad y luego complementar con la revisión de su transaccionalidad. 

Juicios.- Son personas con juicios de lavado de activos o relacionados que puedan ser 

detectados y monitoreados a través de los procesos establecidos en el Área.












Estudios Específicos.-Son aquellos casos identificados de aquellos estudios específicos 

que se consideren necesarios al interior del área, tales como mayores pagadores, 

futuros profesionales, actividades económicas específicas, estudios de mercado, etc. 

Consultas públicas: 

Como información en páginas públicas para el análisis de las alertas podemos citar las 

siguientes: 

- Listas denegadas (BASE DE DATOS DE PERSONAS CON SENTENCIA 

CONDENATORIA - PCSC / OFAC /INTERPOL) 

- Registro de la Propiedad (Municipio de Quito) 

- SRI 

- Superintendencia de Compañías, Valores y Seguros 

- Buró de información crediticia 

- Consulta del pago de impuesto predial 

En cuanto a bases de datos específicas, se puede incluir a: 

- Información de oficios remitidos por la Fiscalía o SBS (relacionados a temas de 

lavado de activos o financiación del terrorismo). 

- Otras Instituciones financieras. 

- Buscadores de Internet. 

- Prensa escrita. 

- Páginas web de entidades públicas 

- Otras publicaciones. 

Análisis de casos 

Cualquier técnica y método de análisis tendrá que incluir las diferentes trayectorias que una 

persona pueda adoptar considerando la actuación conjunta con diferentes productos y/o 

transacciones. En este documento nos interesa enfocar cómo diferentes trayectorias y 

posiciones pueden servir de evidencia para determinar transacciones inusuales. 

A continuación se describen los principales aspectos a analizar: 

Factores a revisar por tipo de relación con la institución: 

La función principal de la Unidad de Cumplimiento debe ser el controlar permanentemente 

que la institución no mantenga ningún tipo de relación con clientes presuntamente vinculados 

con lavado de activos, financiamiento del terrorismo u otros delitos; por lo tanto, deberá 

revisar: 

‣ Origen de fondos. 

‣ Uso y destino de fondos 

Definición de indicios que puedan presumir transacciones inusuales 

Esta sección tiene como objetivo listar indicios para detectar involucramiento de clientes en 

actividades ilícitas. Para efectos de una aplicación óptima, se ha desarrollado en la institución












el Check List de Revisión, el mismo que se lo puede definir como un listado de condiciones a 

revisar por tipo de cliente y/o producto o servicio que mantenga. 

El objetivo de buscar estas alertas es el de orientarnos sobre la búsqueda de operaciones o 

transacciones que presentan un riesgo potencial de estar particularmente vinculadas con 

actividades de lavado de activos, financiación del terrorismo u otros delitos, teniendo en cuenta 

que esto NO implica que dichas transacciones estén necesariamente vinculadas a actividades 

ilícitas. 

Persona natural: 

Variable Ingreso Actual Indicadores 

Ingresos 

Actividad 

Comparar la información del 

cliente el momento de la 

vinculación respecto al 

crecimiento que ha existido 

el momento de la revisión. 

Sueldo acorde con la 

actividad declarada por el 

cliente y cargo que ocupa. 

Cambios de actividad sin 

soporte. 

Riqueza irreal comparada con 

el perfil financiero del cliente. 

Personas que sin motivo 

alguno aparecen 

inesperadamente como 

dueñas de importantes 

negocios. 

Actividad que declara en el 

SRI no sea la misma que 

declara en la institución en 

caso de propietarios












Persona jurídica: 

Tipo de cliente 

Inversionista / 

Establecimiento/ 

Socio 

corporativo 

Indicadores 

Empresa no constituida en el Ecuador 

Empresa declara ingresos y no paga impuestos acordes a su 

ingreso – Resultados irreales del negocio. 

Actividad de la empresa declarada en el SRI no corresponde a 

la actividad declarada en la Institución 

Inexactitud de los datos declarados en los formularios versus 

la realidad – consulta en bases. 

Transacciones por montos fuera de su normalidad o 

concentración por tipo de consumos, país de emisión del 

plástico, etc. 

Cambios constantes de jurisdicción – domicilio de la empresa. 

Negocios pantalla (explicaciones no creíbles ej. Importación de 

piñas a Ecuador). 

Cambios societarios de una persona jurídica, en los que el 

perfil de los nuevos socios o accionistas no sea consistente 

con su objeto social; o, en los que los nuevos socios o 

accionistas presenten resistencia a proporcionar información 

personal o financiera. 

Solicitud de préstamos sin motivo justificado o con poco 

sentido económico, ofreciendo garantizar la operación con 

colaterales en efectivo, tales como pólizas o depósitos en 

moneda nacional o extranjera 

Situación económica: 

Tipo de cliente Indicadores 

Todos 

Disminución en los pasivos del cliente frente a fuentes no 

establecidas de financiamiento. 

Ingreso de cantidades fuertes de fondos sin justificación. 

Evolución de incrementos patrimoniales sin respaldo de 

ingresos (sueldos / utilidades). 

Adquisición de bienes y bajo nivel de endeudamiento 

Obtención de fondos: 

Este análisis busca identificar la naturaleza, origen y destino de las transacciones, 

prestando especial atención a los siguientes elementos: 

‣ Preexistencia de fondos. 

‣ Personas intervinientes. 

‣ Establecer la forma de pago. 

‣ Justificación bancaria o mercantil.



‣ Rentabilidad de la operación. 










Juicios: 

Los clientes coincidentes en la base de juicios (oficios reservados), deberán entrar a una 

etapa de seguimiento periódico; siempre y cuando, éste sea el único indicador del cliente. 

En caso de presentarse otras señales, se considerará un análisis integral del cliente para 

emitir la respectiva recomendación. 

Círculo Familiar: 

Identificar las relaciones de personas presuntamente vinculados con delitos, de lavado de 

activos, financiamiento de terrorismo y otros delitos con clientes de la institución. En esta 

sección es fundamental revisar la actividad inusual de clientes asociados, considerando: 

GRUPO FAMILAR Y SOCIAL: Parientes hasta el segundo grado de consanguinidad o 

afinidad, que aparezcan como titulares de algún elemento patrimonial o del propio 

patrimonio en su conjunto. 

GRUPO SOCIETARIO: Sociedades civiles o mercantiles que figuren como titulares de 

bienes integrados en el patrimonio investigado. 

GRUPO DE TERCEROS: Lo componen aquellas personas físicas o jurídicas que 

mantienen algún tipo de vinculación con el patrimonio y que, sin embargo, no 

forman parte de los grupos anteriores: 

Sociedades de hecho. 

Testaferros. 

Representantes y apoderados. 

Accionistas, socios y administradores de sociedades participadas. 

Determinación de operaciones inusuales no justificadas. 

Además del análisis que por separado se pueda realizar de cada uno de las señales de alerta y 

de su evolución, es indudable que se requiere de un análisis integral para una mejor 

interpretación y adecuadas conclusiones. 

Cuando la confrontación de las operaciones detectadas como inusuales con la información que 

se tiene del cliente y cuyo origen no puede ser justificada no arroja resultados satisfactorios, 

podemos estar frente a una operación no justificada. 

El deber de la institución es fundamentalmente el que acabamos de mencionar: 

Detectar, analizar, evaluar y decidir si la operación está o no justificada y en caso de no estarlo 

comunicarlo a la autoridad competente, previo conocimiento y aprobación del Comité de 

Cumplimiento, junto con las decisiones posteriores que se deban efectuar, por ejemplo: 

bloqueo, cancelación, reporte, etc.












Fichas 

Se ha definido estructurar toda la información disponible, elaborando la ficha de clientes, 

cuando se presente una alerta no justificada del cliente y el caso sea expuesto al Comité de 

Cumplimiento. 

Los respaldos e información de los casos revisados se mantendrán en medio magnético. 

Toma de decisión 

El Oficial de Cumplimiento, luego de analizada la información, dará una respuesta, la misma 

que podrá ser: 

Desestimar el posible ilícito, determinar si las transacciones se justificaron y continuar 

operando con el cliente. 

Detectar si se trata de una operación inusual no justificada. Rechazar la operación, en 

aquellos casos que sea posible y/o solicitar la cancelación de la relación comercial. 

Continuar operando con el cliente. 

Solicitar mayor información y /o documentación. 

Monitorear al cliente. 

Presentar al Comité para cancelación y/o reporte. 

Reporte de transacciones inusuales no justificadas 

Es claro que el deber de las instituciones financieras no es otro que el de informar a las 

autoridades sobre la condición de sospecha de transacciones que se apartan de los parámetros 

de normalidad en el tipo de operación, trayectoria del cliente o condiciones del mercado. 

Es importante considerar que el Reporte de Operación Inusual no debe ser confundido con una 

denuncia. 

En la Institución, conforme lo establece la normativa legal vigente respecto a esta materia, las 

operaciones inusuales serán reportadas al organismo de control luego de la presentación al 

Comité de Cumplimiento, utilizando para el efecto los mecanismos y procedimientos 

establecidos estrictamente de forma confidencial. 

Seguimiento de casos 

Para los casos en que la respuesta o recomendación del Oficial de Cumplimiento sea “solicitar 

mayor información”, “Solicitud DDA” o “monitorear al cliente”, se implementará 

inmediatamente un proceso de seguimiento, monitoreo y análisis del caso. 

El responsable de contactar al cliente y obtener la información o documentación respaldo de 

las transacciones siempre será el Oficial de Inversión o la persona que maneja la relación con el 

cliente – Canales, Oficial del Establecimiento, Recursos Humanos o Gerencia Administrativa. 

En los casos en los cuales el cliente no permita que se realice la visita de verificación o se niegue 

a diligenciar el formato de actualización de datos o a presentar los documentos respectivos, el 

Oficial o funcionario encargado de la relación con el cliente, deberá comunicar esta situación y 

por consiguiente, la operación será reportada al Comité de Cumplimiento como inusual para su 

decisión final.












ETAPA 4: MONITOREO DEL RIESGO LAFTOD 

Un indicador de riesgos clave (KRI) es una métrica para determinar qué tan posible es que la 

probabilidad de un evento, combinada con sus consecuencias, supere el apetito de riesgo de la 

organización (es decir, el nivel de riesgo que la institución está preparada para aceptar), y tenga 

un impacto profundamente negativo en la capacidad de tener éxito. 

Un KRI al analizarlo evolutivamente indica en forma temprana la aparición emergente de 

riesgos, que en el caso que atañe a este manual, indica la tendencia de exposición a riesgos de 

lavado de activos, financiación del terrorismo y otros delitos. 

Indicador Fórmula de Cálculo Fuente de Información 

Clientes con exposición 

LAFTOD 

Distribución Clientes por 

factor de riesgo LAFT 

PEP´s 

Clientes activos controlados 

Reporte transacciones sobre 

el umbral a la UAFE.(tra) 

Distribución por nivel de 

riesgo transaccional 

Inconsistencias formularios 

AML 

Número clientes con exposición 

LAFTOD / total clientes 

calificados 

% distribución Clientes por 

factor de riesgo LAFT 

% (PEP´s / total clientes 

calificados) 

% (clientes activos controlados 

/ total clientes calificados) 

Matriz de riesgo PLAFT 


E21 - PEP´S 

Base clientes activos 

controlados 

# transacciones reportados Reporte UAFE (TRA) 

% distribución por nivel de 

riesgo transaccional 

# de observaciones / total de la 

muestra 


Reporte de revisión de 

formularios 

Los resultados de los indicadores, así como la tendencia al riesgo se exponen mensualmente en 

el comité de cumplimiento. 

ANEXOS 

DETALLE DE ANEXOS 

Número 

Descripción 

Cuestionario PLA empresas no registradas o 

1 

Fundaciones 

2 Formulario de transacciones especiales o 

excepción 

3 Formulario notificación de alertas 

4 Formulario para evaluación de donaciones 

5 Informe evaluación productos 

El formato de los anexos descritos se encuentran publicados en la intranet de la institución, en 

la sección: Prevención lavado de activos.

POLÍTICA DE SEGURIDAD DE LA 

INFORMACIÓN 

Responsable aplicación: Toda la Organización 

Responsable monitoreo: Auditoría Interna, Riesgos, Tecnología 

Fecha Creación: Nov 2007 

Fecha Actualización: Mayo 

2016 

Versión: 4.0 Pág.: 1 de 42 

POLÍTICA DE 

SEGURIDAD DE LA INFORMACIÓN 

MAYO 2016 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 

Administración 

Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Control de Cambios 

Fecha de Descripción del Actualizado 

actualización cambio 

por: 

07-04-2009 Ajustes PCI-DSS Marlene 

Versión 2 

Ocampo 

02-05-2011 Ajustes PCI-DSS Marlene 

Usuarios Externos Ocampo 

Revisión general Juan Almendáriz 

28-05-2012 Revisión anual Marlene 

Resolución JB- Ocampo 

2012-2148 Juan Almendáriz 


Ocampo 

Juan Almendáriz 


Ocampo 

28-07-2015 Revisión anual JB- 

2014-3066 

Marlene 

Ocampo 


Ocampo 

Revisado 

por: 

Dany 

Espinosa 

Dany 

Espinosa 

Dany 

Espinosa 

Dany 

Espinosa 

Dany 

Espinosa 

Dany 

Espinosa 

Aprobado por: 

Juan Carlos 

Rodríguez 







1. INTRODUCCIÓN 

A medida que la Organización incrementa el uso y gestión de la información, se hace 

necesario, crear un entendimiento común y estándar de los requisitos, expectativas y 

controles relacionados con la seguridad de la información, evitando en lo posible los 

daños que pueden ser causados en caso de una contingencia, uso indebido de la 

misma o cualquier incidente que pueda atentar contra ella. 

En este contexto, es necesario adoptar mejores prácticas y/o definir normas que 

permitan asegurar la información y reducir los riesgos relacionados a su adecuada 

custodia, divulgación, acceso, uso, eliminación, modificación no autorizadas y/o la falta 

de disponibilidad de la misma. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


2. OBJETIVO 

Establecer los lineamientos orientados a garantizar y preservar la información 

organizacional en base a los principios de seguridad de la información 

(confidencialidad, integridad, disponibilidad y trazabilidad) y en concordancia con los 

requerimientos del negocio, leyes, normativas y/o regulaciones relevantes aplicables. 

3. BASE NORMATIVA 

Actualizado 

por: Riesgo 

Operativo 

3.1 PCI DSS 

El Estándar de Seguridad de Datos (en inglés Data Security Standard, DSS) de la 

Industria de Tarjetas de Pago (PCI, Payment Card Industry) es la normativa que 

define el conjunto de requerimientos para gestionar la seguridad, definir 

políticas y procedimientos, con el propósito de reducir el riesgo de fraude con 

tarjetas de crédito. Dicho estándar está basado en las mejores prácticas de 

seguridad e ISO 27000. 

Cualquier organización y sus proveedores que, por su actividad participen en el 

procesamiento, transmisión o almacenamiento de información de tarjetas de 

crédito, están en la necesidad de cumplir los requerimientos que establece PCI 

DSS. 

La norma PCI DSS especifica en su Requerimiento 12 la necesidad de crear y 

mantener políticas de seguridad de la información. 

3.2 PCI CP 

La norma PCI CP - Payment Card Industry Card Production por sus siglas en 

inglés, describe los requisitos de seguridad necesarios para el desarrollo, 

fabricación, personalización, transporte y entrega de tarjetas de crédito; la 

seguridad física y lógica es su principal objetivo. 

3.3 PCI PTS 

El estándar PCI PTS - Payment Card Industry PIN Transaction Security por sus 

siglas en inglés, recoge los requisitos de seguridad para transacciones con PIN, 

está dirigido a los productores de los dispositivos de pago, para quienes define 

los requisitos que deben seguir en el diseño, fabricación y transporte de estos 

dispositivos, así como, para las entidades que los utilicen; su principal objetivo es 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


definir requerimientos de seguridad que reduzcan la probabilidad e impactos de 

compromiso del PIN. 

3.4 JB-2005-834 Junta Bancaria del Ecuador 

La Junta Bancaria a través de la Resolución N° JB-2005-834 establece la 

obligatoriedad de las instituciones financieras de contar con políticas y 

procedimientos de seguridad de información que contribuyan a garantizar que el 

sistema de administración de seguridad satisfaga las necesidades de la 

institución para salvaguardar la información contra uso, revelación y 

modificación no autorizados, así como daños y pérdidas de la misma, y 

mecanismos a implementar. 


Establece que las instituciones del sistema financiero implementen suficientes 

controles y medidas de seguridad para mitigar el riesgo de fraude por el uso de la 

tecnología de información y comunicaciones en las operaciones y canales 

electrónicos. 


Incrementa las medidas de seguridad en canales electrónicos, mejora los 

controles de gestión de la tecnología de la información y comunicaciones, e 

incluye disposiciones específicas sobre la continuidad de las operaciones del 

negocio y la gestión de la seguridad de la información. 

4. DEFINICIONES 1 

Seguridad de la información.- Es el conjunto de mejores prácticas, métodos, 

mecanismos y controles usados para proteger la información de una gran 

variedad de amenazas con el fin de preservar su confidencialidad, integridad y 

disponibilidad; además, otras características como autenticidad, responsabilidad, 

no repudio y confiabilidad pueden estar implicadas. 

1 

Extracto de definiciones de: 

CISSP CBK (Content Body of Knowledge), 2006. 

ISO-IEC 27001 y 17799 – 2005. 

PCI-DSS Glosario de términos. V1.2 2008. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


La seguridad de la información debe asegurar la continuidad del negocio, 

minimizar el riesgo de negocio, maximizar el retorno de la inversión y las 

oportunidades de negocio. 

Confidencialidad.- Es la característica de la información que consiste en 

garantizar que todos sus recursos estén protegidos contra uso no autorizado o 

revelaciones accidentales. Para la Seguridad de Información, la confidencialidad 

busca prevenir el acceso no autorizado ya sea en forma intencional o no 

intencional a la información, a través de la definición del grado de criticidad de la 

misma, siendo la de mayor criticidad aquella que este íntimamente relacionada 

con la estrategia del negocio de la empresa. 

Integridad.- Es la característica que salvaguarda la exactitud y la completitud de 

los activos de la información. La integridad busca garantizar: 

Que personas no autorizadas no realicen modificaciones a los datos, 

información o procesos. 

Que el personal autorizado no realice modificaciones no 

autorizadas a los datos, información o procesos. 

Que los datos o información sean consistentes tanto interna como 

externamente. 

Disponibilidad.- Comprende previsiones para minimizar las amenazas de 

interrupción del negocio y para preservar la continuidad de la operativa normal. 

Por lo tanto se garantizará que la información y la capacidad de procesamiento 

críticas puedan ser resguardadas y recuperadas rápida y completamente en caso 

de que ocurra alguna contingencia que interrumpa su funcionamiento o dañe las 

instalaciones, medios de almacenamiento y/o equipamiento. Para la seguridad 

de información, la disponibilidad busca el acceso confiable y oportuno a los 

datos, información o recursos para el personal autorizado. 

Privilegios de acceso.- Capacidad de usar un servicio controlado o restringido. 

Por ejemplo, los derechos pueden ser: escritura, lectura, ejecución, borrado, 

entre otros. 

Bitácoras (logs) de seguridad y auditoría.- Son registros electrónicos de la 

actividad realizada en equipos de computación. 

Contraseña.- Una contraseña o clave es una forma de autenticación que utiliza 

información secreta para controlar el acceso a algún recurso o sistema. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Autorización.- Otorgamiento de derechos de acceso u otros derechos similares a 

un usuario, programa o proceso. La autorización define lo que un individuo o 

programa está autorizado a realizar después de un proceso de autenticación 

correcto. 

En cuanto a las transacciones realizadas mediante tarjetas de pago, se refiere al 

momento en el cual el comerciante recibe notificación de que una tarjeta de 

pago está autorizada para una determinada transacción. 

Cifrado.- Es el proceso mediante el cual la información o datos son ocultados 

mediante una serie de algoritmos de forma que el resultado sea ilegible a menos 

que se conozcan los datos necesarios para su interpretación. 

Activo.- Es cualquier objeto tangible o intangible con valor para la organización. 

Amenaza.- Es la causa potencial de que un incidente no deseado puede afectar a 

la organización. 

Impacto.- Consecuencia de la materialización de una amenaza. 

Riesgo.- Posibilidad de que se produzca un impacto determinado en un activo, 

en un dominio o en toda la Organización. También puede interpretarse como la 

combinación de la probabilidad de ocurrencia de un evento no deseado y su 

impacto. 

Vulnerabilidad.- Es la debilidad en la seguridad de un activo o de un grupo de 

activos que pueden permitir ser violentadas por una amenaza. 

Ataque.- Evento, exitoso o no, que atenta sobre el buen funcionamiento del 

sistema o intenta tener acceso no autorizado a un sistema o información. 

Desastre o contingencia.- Interrupción de la capacidad de acceso a información y 

procesamiento de la misma a través de computadoras necesarias para la 

operación normal de un negocio. 

Evento.- Es una ocurrencia identificada en un recurso/activo, sistema, servicio o 

de comunicaciones en la red, que indica un fallo posible de las políticas de la 

seguridad de la información o una falta de control. 

Incidente de tecnología de la información.- Eventos asociados a posibles fallas 

en la tecnología de la información, fallas en los controles/monitoreo, o 

situaciones con probabilidad significativa de comprometer las operaciones del 

negocio. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Incidente de seguridad de la información.- Eventos asociados a posibles fallas en 

la seguridad de la información, o una situación con probabilidad significativa de 

comprometer las operaciones del negocio y amenazar la seguridad de la 

información. 

Control.- Cualquier acción que permita controlar el riesgo, el mismo puede 

incluir políticas, procedimientos, lineamientos, prácticas o las estructuras de 

Organización, que pueden ser de carácter administrativo, técnico, gerencial, o de 

naturaleza legal. Tiene como fin señalar las debilidades y errores a fin de 

rectificarlos e impedir que se produzcan nuevamente. 

El control también se utiliza como sinónimo de salvaguarda o las medidas 

aplicadas. 

Lineamiento.- Es la descripción que clarifica qué debe hacerse y cómo, para 

cumplir con los objetivos de una política. 

Política.- Es la intención y directiva de las normas de control formalmente 

expresadas. 

Análisis de riesgo.- Es el uso sistemático de la información para determinar la 

frecuencia con la que ciertos eventos se pueden producir y la magnitud de sus 

consecuencias. 

Determinación de riesgo.- Es el proceso de análisis y evaluación del riesgo. 

Evaluación de riesgo.- Proceso de comparación del riesgo estimado bajo un 

criterio definido de riesgo para determinar la significancia del mismo. 

Administración del riesgo.- Las actividades coordinadas para dirigir y controlar la 

organización respecto a sus riesgos. 

Control del riesgo.- Proceso de selección e implementación de medidas que 

permitan el control, disminución o transferencia del riesgo. 

Riesgo residual.- Margen o residuo del riesgo que puede darse a pesar de las 

medidas de control para la administración del mismo. 

Aceptación del riesgo.- Es la decisión de aceptar el riesgo existente, siempre que 

el tratar de controlarlo resulte más costoso que su propio impacto. 

Análisis de seguridad de red.- Proceso mediante el cual se comprueba de 

manera remota o in situ la vulnerabilidad de las entidades de un sistema. Este 

proceso se realiza por medio de herramientas manuales o automáticas. Los 

análisis de seguridad incluyen la evaluación de sistemas internos y externos y la 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Actualizado 

por: Riesgo 

Operativo 

elaboración de informes acerca de servicios expuestos a la red. Los análisis 

pueden, además, identificar vulnerabilidades de los servicios, dispositivos y 

sistemas operativos que individuos malintencionados pueden utilizar a su favor. 

Prueba de penetración.- Las pruebas de penetración tienen como objetivo 

identificar y/o explotar vulnerabilidades a fin de determinar la posibilidad de 

accesos no autorizados al sistema u otras actividades malintencionadas. Las 

pruebas de penetración incluyen pruebas de aplicaciones, sistemas operativos y 

redes. Se realizan tanto desde el exterior de la red hacia el interior (pruebas 

externas) como internamente. 

PCI.- Acrónimo de “Payment Card Industry”, Industria de Tarjetas de Pago. 

PCI DSS.- Acrónimo de “Payment Card Industry Data Security Standard”, Norma 

de Seguridad de Datos de la Industria de Tarjetas de Pago. 

PAN.- Acrónimo de “Primary Account Number”, en español Número de Cuenta 

Principal. Se trata del número exclusivo de una tarjeta de pago (en general, de 

tarjetas de crédito o débito) que identifica al emisor y la cuenta específica del 

titular de la tarjeta. 

PIN.- Acrónimo de “Personal Identification Number” (Número de Identificación 

Personal). Es la contraseña numérica secreta que conocen sólo el usuario y un 

sistema de acceso. Este último utiliza el PIN para autenticar al usuario. El usuario 

tan solo obtiene acceso si su PIN coincide con el PIN almacenado en el sistema. 

Los PINs más comunes se utilizan en las operaciones de préstamo de efectivo y 

ATMs. 

Otro tipo de PIN es el que utilizan las tarjetas con chip de tipo EMV, en las que el 

PIN reemplaza la firma del titular de la tarjeta. 

Datos del titular de la tarjeta.- Los datos del titular de la tarjeta contienen, como 

mínimo, el PAN completo. Además, es posible que los datos del titular de la 

tarjeta incluyan el PAN completo más alguno de los siguientes datos: 

Nombre del titular de la tarjeta. 

Fecha de vencimiento. 

PIN. 

Código de seguridad. 

Código de servicio. 

Algoritmo de cifrado.- Secuencia de instrucciones matemáticas usadas para 

transformar textos o datos planos o claros en textos o datos cifrados y viceversa. 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Actualizado 

por: Riesgo 

Operativo 

Controles compensatorios.- Los controles compensatorios pueden tenerse en 

cuenta cuando una entidad no puede cumplir con un requisito explícitamente 

establecido debido a límites comerciales legítimos, técnicos o documentados, 

pero pudo mitigar el riesgo asociado con el requisito de forma suficiente, 

mediante la implementación de otros controles. Los controles de compensación 

deben: 

Cumplir con el propósito y el rigor del requisito original de las normas 

PCI o resoluciones de organismos de control. 

Proporcionar un nivel similar de defensa, como el requisito original de 

las normas PCI o resoluciones de organismos de control. 

Superar ampliamente los requisitos de otras normas PCI o resoluciones 

de organismos de control. 

Ser cuidadoso con el riesgo adicional que impone la no adhesión al 

requisito de las normas PCI o resoluciones de organismos de control. 

Banca electrónica.- De acuerdo a la Resolución No. JB-2012-2148, son los 

servicios suministrados por las instituciones del sistema financiero a los clientes a 

través de Internet, indistintamente del dispositivo tecnológico a través del cual 

se acceda. 

Canales electrónicos.-Según la Resolución No. JB-2012-2148, se refiere a todas 

las vías o formas a través de las cuales los clientes o usuarios pueden efectuar 

transacciones con las instituciones del sistema financiero, mediante el uso de 

elementos o dispositivos electrónicos o tecnológicos, utilizando, o no utilizando 

tarjetas. 

Transacción.- Se refiere a las acciones realizadas por los clientes a través de 

canales electrónicos, tales como: consultas, transferencias, depósitos, retiros, 

pagos, cambios de clave, actualización de datos y otras relacionadas. 

5. ÁMBITO DE APLICACIÓN 

Es responsabilidad de toda la Organización conocer y cumplir lo dispuesto en el 

presente documento. 

La Gerencia Nacional de Riesgos, será la responsable de: 

Verificar e implementar los controles que aseguren el cumplimiento de 

los lineamientos emitidos en el presente documento, a través de 

revisiones aleatorias y periódicas. 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Actualizar la política de seguridad de la información cuando el análisis 

de riesgo o las regulaciones locales o internacionales lo requieran. 

Auditoría Interna, será responsable de verificar el cumplimiento de las 

disposiciones del presente documento, verificando la efectividad de las medidas 

de seguridad del Grupo Financiero relacionados con brechas de seguridad, según 

su plan anual de Auditoría aprobado por la Superintendencia de Bancos y 

Seguros (SBS) y el Directorio. 

El Comité de Seguridad de Información (COSI) está encargado de: 

Establecer, revisar y difundir la política de seguridad de la información y 

proponer su aprobación por parte del Directorio. 

Promover la gestión de seguridad de la información al interior de la 

Organización. 

Aprobar las principales iniciativas en materia de seguridad de la 

información que permitan incrementar la confidencialidad, integridad y 

disponibilidad de la misma. 

Conocer los principales proyectos de la Organización con efecto 

significativo en potenciales riesgos y/o cumplimiento de seguridades 

físicas y/o de la información. 

Definir y establecer los roles y responsabilidades de todo el personal 

involucrado en materia de seguridad de la información. 

Establecer metodologías de seguridad de la información y los controles 

que aseguren el cumplimiento de los objetivos del grupo. 

Realizar seguimiento al cumplimiento de PCI DSS, conocer su calificación 

y los planes de remediación o controles mitigantes, de existir. 

Conocer los resultados de todos los test de penetración de la 


Aprobar el plan integral/estratégico de seguridad de la información y 

efectuar el seguimiento al mismo. 

Promover la capacitación, concienciación y apoyo a la seguridad de la 

información dentro de la organización. 

Promover los proyectos de seguridad de la información. 

Monitorear cambios significativos en los riesgos de seguridad de 

información. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Evaluar y coordinar la implementación de controles específicos de 

seguridad de la información. 

Tomará conocimiento, efectuará el seguimiento de la investigación, e 

instará al área o personal responsable la resolución de los principales 

incidentes relativos a la seguridad (riesgo alto y extremo). 

Interactuar con equipos de similar naturaleza. 

Cumplir con todas aquellas disposiciones y responsabilidades emitas por 

organismos de control dentro de su ámbito de competencia. 

Conocer los resultados de la gestión de Auditoría interna, Riesgo 

operativo, Seguridades físicas, Oficial de seguridad y Control 

tecnológico, relacionadas con seguridades físicas y de la Información. 

Planificar, coordinar, implementar, monitorear y difundir el sistema de 

gestión de seguridad de la información. 

La Alta Gerencia es responsable de asegurar el compromiso con la gestión de 

seguridad de la información, su difusión y aplicación, comunicando la 

importancia de alcanzar los objetivos de seguridad de la información a toda la 


Las Gerencias son responsables de implementar y velar por el cumplimiento de 

ésta política y sus reglamentos en los equipos de trabajo. 

El Oficial de Seguridad de la Información es el responsable de: 

Planificar, proponer y participar en la estrategia de seguridad de la 

información para la Organización, fortaleciendo la cultura de seguridad, 

a través de la definición, propuesta y comunicación de las políticas, 

procedimientos, controles y mejores prácticas. 

Actualizar la política de seguridad de la información de la Organización, 

sus reglamentos y coordinar su implementación con las gerencias. 

Implementar mecanismos periódicos de control y revisión aleatoria de 

su parte para verificar el cumplimiento de la normativa interna y externa 

aplicables a la seguridad de la información, acorde al plan de trabajo 

aprobado. 

En conjunto con las gerencias respectivas del Grupo, crear, modificar o 

eliminar los perfiles de acceso a los recursos de información con base a 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


las funciones realizadas por cada usuario y con la revisión y aprobación 

de las gerencias de división. 

Monitorear la asignación de perfiles correspondientes a los sistemas 

core del Grupo Financiero, así como, el monitoreo periódico de accesos, 

operaciones privilegiadas e intentos de accesos no autorizados. 

Efectuar la revisión de la clasificación de la información por su criticidad 

y monitorear de forma periódica los accesos a la misma por el personal 

apropiado. 

Revisar a detalle la matriz de riesgos e incluir y/o actualizar 

periódicamente los riesgos de seguridad de la información, esta 

actividad se la debe también realizar en conjunto con las áreas 

responsables. Comunicar los riesgos más significativos en el Comité de 

Seguridad de la Información. 

Difundir, capacitar y evaluar a los colaboradores respecto de la cultura 

de seguridad. 

Capacitar y evaluar al personal respecto del conocimiento y aplicación 

de las normativas internas sobre seguridad de la información. 

La Gerencia de Tecnología es responsable de: 

Implantar y velar por el cumplimento de las políticas, normas, pautas y 

procedimientos de seguridad en el área de Tecnología de la 

información. Además, es responsable de realizar actividades necesarias 

para garantizar un ambiente informático seguro. 

Debe ocuparse de proporcionar apoyo técnico y administrativo en todos 

los asuntos relacionados con la seguridad, como administración de 

incidentes de seguridad, escaneo y control de vulnerabilidades 

(infraestructura y aplicaciones de negocio), seguridad general de la red, 

seguridad de los sistemas core del negocio (desarrollo seguro), 

procedimientos de respaldo, control de cambios, mantenimientos a las 

bases de datos, control de software, control de licenciamiento, gestión 

de la disponibilidad de servicios, seguridad integral de los sitios web, así 

como, la seguridad del entorno del centro de cómputo. 

Procedimientos que permitan la administración, monitoreo y registros 

de configuración de las bases de datos, redes de datos, hardware y 

software base, que incluya límites y alertas. 

Las áreas pertenecientes al Departamento de Tecnología deben ejecutar 

y apoyar el desarrollo de los controles necesarios para cumplir con los 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


lineamientos expuestos en este documento y otros relacionados al 

mismo. 

El Gerente de Producción y Servicios, a través del área de Monitoreo, es 

responsable de velar que todos los servicios tecnológicos en producción 

se mantengan operativos. Además se encargará de: 

 

 

 

Actualizar y difundir el plan de respuestas a incidentes a todo el 

personal correspondiente de Tecnología. 

Recibir, clasificar y comunicar al área resolutoria pertinente (Control 

Tecnológico, Diseño y Entrega del Servicio, Producción y Servicios) 

el tipo de incidente según corresponda y con base a lo detallado en 

el IRP (Plan de Respuestas a Incidentes). 

Mantener sincronizados todos los relojes de los diferentes 

componentes de los sistemas de información. 

El Gerente de Control Tecnológico es el responsable directo de: 

 

 

 

Asignar y controlar todos los accesos en base a los perfiles 

aprobados o a las autorizaciones emitidas por las líneas de 

aprobación aceptadas. 

Monitorear y analizar las alertas de seguridad. 

Implementar las definiciones de acceso aprobadas por las 

gerencias, previa definición de perfiles de accesos por parte del 

oficial de seguridad de la información las cuales deben ser 

apropiadas para cada usuario, supervisar el uso de los recursos 

informáticos, revisar las bitácoras de acceso y de llevar a cabo las 

tareas de seguridad relativas a los sistemas que administra. 

El área de Canales Alternativos es responsable de la gestión y conciliación de los 

siguientes canales electrónicos: 

 

 

 

 

Mailing masivo. 

Botón de Pagos. 

Servicios Web de socios y establecimientos- Portales Web. 

Análisis y mineo de información. 

Actualizado 

por: Riesgo 

Operativo 

El área de Canales y Servicios, es responsable de definir y/o recomendar los 

lineamientos de seguridad validando la funcionalidad y su aplicación desde el 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


punto de vista del cliente alineado con los conceptos de usabilidad, a fin de 

asegurar a los clientes un acceso y transaccionalidad confiable, observando 

mejores prácticas y disposiciones de organismos de control. 

El área de Análisis de Cartera es responsable del monitoreo de transacciones 

(consumos con tarjeta de crédito) como Emisor y Adquirente, por medio de 

procesos de prevención, detección y alerta oportuna de consumos no usuales 

(monitoreo de fraudes). 

Los usuarios son responsables de observar y cumplir con los lineamientos 

relativos a la seguridad de información y que se encuentran en la política y 

reglamentos publicados en la intranet, con especial énfasis en: 

Conocer y aplicar la política, reglamentos, procedimientos y controles 

apropiados en relación al manejo de la información y de los sistemas 

informáticos, establecidos por la Organización. 

Capacitarse y aprobar las evaluaciones periódicas de actualización en 

seguridad de la información. 

No divulgar información de la Organización a personas no autorizadas. 

No acceder a información confidencial del socio o tarjetahabiente si sus 

funciones no lo requieren o si no ha sido autorizado por el mismo. 

No permitir y no facilitar el uso de los sistemas informáticos de la 

Organización a personas no autorizadas. 

No utilizar los recursos informáticos (hardware, software o datos) y de 

telecomunicaciones (teléfono, fax, dispositivos móviles) para otras 

actividades que no estén directamente relacionadas con el trabajo en la 

Organización. Ref. Reglamento de seguridad en la estación de trabajo y 

responsabilidad de la información. 

Proteger meticulosamente su contraseña de acuerdo al Reglamento de 

Uso de Contraseñas y evitar que sea vista por otros en forma 

inadvertida. No escribir su contraseña ni compartirla con otros usuarios. 

Seleccionar una contraseña robusta (secreta, difícil de adivinar, 

resistente ante un ataque de fuerza bruta o de diccionario) que no tenga 

relación obvia con el usuario, sus familiares, el grupo de trabajo y otras 

asociaciones parecidas. 

Cambiar periódicamente su contraseña. Ref. Reglamento de uso de 

contraseñas. 

Informar al Oficial de Seguridad de la Información sobre cualquier 

posible incidente relacionado a seguridad de la información. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Custodiar adecuadamente la información asignada según sus 

responsabilidades, velar por su confidencialidad y no hacer uso indebido 

de la misma y/o generar con ella potenciales riesgos operativos, legales 

y reputacionales para el Grupo Financiero. 

El Jefe de seguridad física y la Subgerencia Administrativa, son responsables de: 

Establecer y cumplir el plan anual de seguridades físicas. 

Actualizar la normativa interna correspondiente. 

Implementar los controles de seguridad física en áreas críticas, accesos en 

general y otras, tendientes a salvaguardar las instalaciones, los activos 

tangibles e intangibles de la Organización (incluyendo información) y a 

garantizar la seguridad de los colaboradores, visitas y terceros que se 

encuentren en las instalaciones del Grupo Financiero Diners Club, Ref. 

Política de seguridad y protección física de instalaciones. Efectuar 

pruebas al plan de seguridad, capacitar y evaluar al personal. 

6. LINEAMIENTOS DE LA SEGURIDAD DE LA INFORMACIÓN 

6.1 ROLES DE LA SEGURIDAD DE LA INFORMACIÓN 

Este capítulo tiene como objetivo asignar roles y responsabilidades, para 

asegurar adecuadamente la pertenencia, custodia y salvaguarda de los recursos, 

teniendo en cuenta una correcta distribución de funciones: 

6.1.1 Dueños de la información 2 

Los dueños de la información son aquellos que por la naturaleza de sus 

funciones en la Organización conocen el tipo de información que se maneja 

o comunica y mantienen responsabilidad sobre el uso, administración y 

control de la misma ya sea directamente o a través del personal al cual han 

autorizado su uso. 

Los dueños de la información pueden ser: Presidencia, Gerencias 

Nacionales, Gerencias Departamentales, Gerencias Locales, Subgerencias, 

Supervisores y Jefaturas. 

2 

El término “dueño” no significa que la persona tenga realmente algún derecho de propiedad sobre el 

activo de información 

Actualizado Revisado 

por: Riesgo por: 

Operativo Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Son responsables de: 

Identificar y clasificar la información en términos de su valor, 

requerimientos legales, sensibilidad y criticidad, y protegerla 

adecuadamente conforme se establece en la presente política y en el 

Reglamento de Clasificación y Control de Activos de Información; esta 

clasificación será enviada al Oficial de Seguridad para su análisis, 

registro y/o posible modificación de acuerdo al riesgo. 

Revisar periódicamente la clasificación de la información con la 

finalidad de mantenerla actualizada de acuerdo al Reglamento de 

Clasificación y Control de Activos de Información. 

Definir y revisar periódicamente las restricciones y clasificaciones de 

acceso tomando en cuenta las políticas de control de acceso. 

Monitorear y asegurar el cumplimiento de los controles establecidos 

como por ejemplo, el uso, acceso y distribución de la información por 

parte del personal al que han autorizado su uso. 

Autorizar los cambios funcionales a las aplicaciones. 

Supervisar y aplicar estrategias y controles para que la información 

contenida en los sistemas de aplicación y datos, sean de óptima 

calidad. 

6.1.2 Responsables directos o usuarios finales 

Los usuarios finales son aquellos que por la naturaleza de sus funciones en 

la Organización deben acceder, modificar o almacenar información. La 

autorización para su acceso será otorgada por los dueños de la información 

considerando el nivel mínimo necesario de privilegios para acceso a las 

aplicaciones o recursos para cumplir con las actividades de su cargo. 


Manejar, transmitir, comunicar, procesar y almacenar de forma 

segura la información a la que se les dé acceso. 

Cumplir las políticas y procedimientos establecidos para la protección 

de la información, incluyendo el Reglamento de Uso de Contraseñas, 

Reglamento de Uso de Internet, Reglamento de Uso de Correo 

Electrónico y Reglamento de Seguridad de Estación de Trabajo y 

Responsabilidad de Uso de la Información. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


6.1.3 Custodios 

Los custodios de la información son aquellos que por la naturaleza de sus 

funciones en la Organización deben custodiar, mantener, respaldar o 

almacenar la información. 

Los custodios pueden ser, dependiendo del alcance respecto al acceso a la 

información, la Gerencia de Tecnología y sus jefaturas relacionadas como: 

Jefaturas de las áreas de Producción y Servicios, Control Tecnológico, etc., 

quienes por sus labores respecto a la información deben administrarla. 

De igual forma adquiere la responsabilidad de custodio al personal que se 

le asigna tareas sobre las bases de información y/o que las almacena en su 

PC o cualquier otro dispositivo. 


Manejar, transmitir, comunicar y almacenar la información a la que 

se les dé acceso a través de los canales de transmisión seguros. 

Mantener la integridad, confidencialidad y disponibilidad de la 

información custodiada. 

Mantener el acceso y permisos de acceso a la información custodiada 

por parte de sus subordinados. 

Brindar soporte para evaluar e identificar la información para su 

clasificación. 

6.2 CLASIFICACIÓN DE INFORMACIÓN 

La información deberá ser clasificada basándose principalmente en términos de 

su valor, analizando los perjuicios que pudiera ocasionarle a la Organización y/o 

su personal la manipulación o mal uso de la misma. 

Los dueños de la información, anualmente deben clasificar con el soporte del 

Oficial de Seguridad, la información que manejan y deben asegurarse de que se 

respete el acceso a la misma por parte del personal a su cargo. 

Los activos de información de la Organización deben ser clasificados en una de 

las categorías definidas en el apartado “Niveles de Clasificación de la 

Información” de este documento y del Reglamento de Clasificación y Control de 

Activos de Información. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Para clasificar la información dentro de uno de los niveles determinados o 

cambiar su categoría, se debe utilizar los criterios de clasificación de información 

mencionados en “Criterios de Clasificación” de esta Política. 

Cada gerencia deberá mantener un inventario de activos de información, en el 

cual se detalle el nombre de la misma, la clasificación, el dueño, los responsables 

y los custodios de la misma. Adicionalmente se deberá indicar si la información 

es electrónica o impresa la ubicación de la misma y si es respaldada. 

Toda información generada en la Organización deberá ser apropiadamente 

clasificada en uno de los cinco niveles determinados, no podrá existir 

información sin clasificar. Referirse al Reglamento de Clasificación de 

Información. 

6.2.1 CRITERIOS DE CLASIFICACIÓN 

Valor.- Es el principal criterio de clasificación, está basado en el valor del 

activo desde el punto de vista del negocio (valor propio del activo o producto 

del mismo). 

Edad.- Criterio de temporalidad que determina la clasificación de cierta 

información si su valor se reduce con el tiempo. 

Vida útil.- Determina cuándo la información se vuelve obsoleta en base a 

nueva información generada, cambios organizacionales u otros motivos. 

6.2.2 NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN 3 

Pública.- Es la información que por su naturaleza, puede ser visible o 

divulgada por el personal general de la Organización, clientes o el público en 

general, sin riesgo de que su contenido pueda afectar en ningún sentido la 

integridad o economía de la organización. 

Esta información puede ser, pero no limitarse a: publicaciones, anuncios de 

prensa o medios de comunicación, página Web corporativa, etc. 

Nivel de visualización y acceso: Este tipo de información debe obtener su 

clasificación por niveles autorizados en base a la Matriz de Niveles de 

Autorización - Anexo 1.De uso interno.- Sólo para uso interno, destinada al 

uso exclusivo por parte de los empleados de la Organización en el desarrollo 

rutinario de los procesos de negocio. La divulgación y visibilidad de la misma 

3 De acuerdo al CBK (Common Body of Knowledge) de la ISC2 (International Information Systems Security 

Certification Consortium, Inc) y a PCI CP. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


dentro de la organización es segura. Esta información debe ser mantenida 

dentro de la Organización, pues su divulgación fuera de la misma puede tener 

un impacto leve o moderado a la privacidad del personal o causar un daño 

leve al negocio o la imagen de la organización. 

Esta información puede ser, pero no limitarse a: memos, avisos, 

comunicaciones, informativos. 

Nivel de visualización y acceso: Todo el personal de la Organización, tiene 

acceso a esta información para su visualización. La modificación de la misma 

debe darse por el dueño de la información o por autorización escrita en base a 

la Matriz de Niveles de Autorización. 

Restringida.- Información que por su naturaleza es destinada sólo para uso, 

distribución y almacenamiento exclusivo de la Organización. Esta información 

debe ser accedida y visualizada sólo por el personal de la Organización que 

cuente con la autorización y extenderse a los departamentos, áreas o 

divisiones de la misma. 

La divulgación o visualización no autorizada dentro de la Organización o fuera 

de ella podría violar la privacidad de personas, reducir la ventaja competitiva 

de la Organización o causar un daño significativo al negocio o a la imagen de la 

Organización y es sancionada según lo establecido en el Reglamento interno 

de trabajo y en el Código de ética. 

Ejemplo: información de los empleados, roles de pagos, etc. 

Nivel de visualización y acceso: Departamentos, áreas, división o personas con 

autorización en base a la tabla de autorizaciones. La autorización debe ser 

explícita para visualización y/o para modificación en base a la matriz de 

niveles de autorización. 

Confidencial.- Información considerada crítica y que está destinada a uso 

solamente interno y por parte del personal específico que debe tener permiso 

para su visualización, distribución, almacenamiento y/o manejo. La 

divulgación o visualización no autorizada podría violar la privacidad de 

personas, reducir la ventaja competitiva de la organización o causar un daño 

muy significativo, grave o irreparable al negocio o la imagen de la 

organización. 

Esta información puede ser pero no limitarse a: información de decisión de 

negocio, información de tarjetahabientes como PAN, fecha de caducidad de la 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


tarjeta, CVV2, información de productos nuevos, información de negocios 

nuevos, etc. 

Nivel de visualización y acceso: El acceso, modificación o visualización de la 

misma es permitido sólo para los dueños de la información y para personal 

expresamente autorizado de forma escrita por los mismos. La autorización 

debe darse en base a la Matriz de Niveles de Autorización. Anexo 1. 

Datos secretos.- Información considerada como muy crítica y que nadie 

dentro o fuera de la Organización puede tener acceso de su visualización, 

distribución, almacenamiento y/o manejo. La divulgación o visualización no 

autorizada podría generar un grave o irreparable daño a la Organización o su 

imagen. 

Esta información puede ser pero no limitarse a: llaves simétricas (por ejemplo: 

3DES, AES), asimétricas privadas (por ejemplo: RSA), MFK – Master File Key, 

Pines, etc. 

Nota: las llaves utilizadas sólo para el cifrado de datos de tarjetahabientes no 

se consideran datos secretos. 

Nivel de visualización y acceso: ningún colaborador o personal externo puede 

tener acceso de ningún tipo. 

Protección de los datos secretos: los requerimientos mínimos para el 

tratamiento de los datos secretos se describen en el Reglamento de 

Clasificación y control de activos de la información, sección 5. 

6.2.3 PERSONAL DE LA ORGANIZACIÓN 

Los lineamientos referentes a las responsabilidades de uso de la información 

por el personal de la Organización se encuentran en los Reglamentos de Uso 

de Contraseñas, Uso del Internet, Correo Electrónico y Reglamento de 

Seguridad de Estación de Trabajo y Responsabilidad de Uso de la Información. 

6.2.4 ACCESO A RECURSOS Y PRIVILEGIOS 

Los usuarios deberán tener el nivel necesario de privilegios para acceso a las 

aplicaciones, configuración de perfil o acceso a recursos para cumplir con las 

actividades de su cargo. Todos los privilegios se asignarán en base a un perfil 

previamente definido, que cumpla con los principios de segregación de 

funciones y deberá contar con la aprobación de la Gerencia. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Siempre se debe considerar que el acceso entregado a un usuario del sistema 

debe ser el mínimo necesario para la ejecución de sus tareas. 

Cualquier acceso al sistema no justificado o no necesario para la ejecución de 

las labores diarias debe ser removido inmediatamente y/o justificado por la 

Gerencia de mayor nivel; para lo cual el Oficial de seguridad de información - 

OSI y Control tecnológico efectuarán el monitoreo periódico correspondiente. 

6.3 RETENCIÓN DE LA INFORMACIÓN 4 

Observar los requisitos de cumplimiento de los reglamentos para la retención y 

la disponibilidad de los datos, descrito en el Código Orgánico Monetario y 

Financiero, el Código Tributario, la Ley para Reprimir el Lavado de Activos y 

normas y Resoluciones dictadas por la Superintendencia de Bancos, así como en 

artículos puntuales del Código de Trabajo, Ley de Seguridad Social, Ley de 

Compañías y Ley de Control del Poder de Mercado. Por lo tanto, toda 

información almacenada en computadores centrales que sea producto de las 

operaciones y transacciones realizadas en la Organización a través de sistemas 

informáticos tendrán la clasificación de CONFIDENCIAL y deberán permanecer 

almacenadas en medios magnéticos como mínimo el tiempo requerido en las 

disposiciones legales que se mantienen en vigencia y en el Reglamento de 

Clasificación y Control de Activos de Información. 

La información que se encuentre en formato electrónico y que resida en los 

equipos del centro de cómputo estará bajo la responsabilidad del área de 

tecnología quien aplicará las medidas de seguridad necesarias para retener 

adecuadamente la información ahí almacenada, teniendo que coordinar con el 

dueño de la información para proceder con su eliminación. Ref. Reglamento de 

Clasificación de la información, Reglamento de retención y eliminación de datos. 

La información que se encuentre en formato electrónico y que resida en los 

equipos asignados a cada colaborador, será responsabilidad del mismo aplicar las 

medidas de seguridad necesarias a fin de cumplir con los tiempos de retención y 

eliminación. Ref. Reglamento de Respaldos.ELIMINACION DE LA INFORMACIÓN 

Todo papel impreso con información restringida y confidencial de la 

Organización (informes, borradores, pruebas de desarrollo, información de 

cuentas o clientes, información de tarjeta habientes, bases de datos, etc.) que no 

4 

Para el archivo de documentación física deberá observarse la Política para la Administración 

de Archivo General. 

Actualizado Revisado 

por: Riesgo por: 

Operativo Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


sea de utilidad, que haya cumplido su ciclo y que no se desee conservar debe ser 

desechado o eliminado en forma segura utilizando trituradores de papel. 

Referirse al Reglamento de Clasificación y Control de Activos de Información. 

Igualmente la información restringida y confidencial almacenada 

electrónicamente que no sea de utilidad o que haya cumplido su ciclo debe ser 

eliminada de los discos duros o de cualquier otro medio magnético, de tal 

manera que se asegure que la información de la Organización no pueda ser 

recuperada. Para ello se deberá eliminar definitivamente del computador – 

incluyendo la papelera de reciclaje – y de medios extraíbles como discos 

portátiles y pen drives. Además, medios ópticos como CDs y DVDs deberán ser 

destruidos antes de desecharlos para garantizar la no accesibilidad a la misma, 

nunca se deberán botar discos enteros sino rotos. Referirse al Procedimiento 

para equipos de Baja y Donación. 

Previo a la venta o donación de equipos de computación y/o unidades de 

almacenamiento, se deberá formatear en bajo nivel el disco duro/memoria 

correspondiente, para lo cual, el área de tecnología deberá asegurar que la 

información de los discos duros sea eliminada de tal forma que sea imposible 

recuperarla, conforme al Procedimiento para equipos de Baja y Donación. 

6.4 CONTINUIDAD DE NEGOCIO 

La Organización debe contar con un Plan de Continuidad del Negocio actualizado 

permanentemente conforme lo establecido en la política de actualización, 

pruebas y difusión del Plan de Continuidad del Negocio publicado en la intranet. 

El Plan de Continuidad del Negocio debe estar enfocado en recuperar la 

operatividad e integridad de los procesos, recursos y sistemas de información de 

la Organización en base a su criticidad, recuperación de la información y bases de 

datos, así como la reanudación del servicio y procesos una vez superada la 

contingencia. 

Los distintos procesos y procedimientos de recuperación y reanudación del 

negocio deben ser claramente descritos, de tal forma que cualquier persona de 

la organización pueda ser capaz de asumir los roles y responsabilidades de otra. 

Referirse al Plan de Continuidad del Negocio. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


6.5 GESTIÓN DE INCIDENTES DE SEGURIDAD 

La gestión de incidentes de seguridad debe realizarse considerando los siguientes 

objetivos: 

Detectar, registrar y priorizar un incidente de forma inmediata. 

Analizar y responder rápida y eficientemente. 

Escalar para contener y reparar el daño causado por los incidentes. 

Efectuar las actividades tendientes a recuperar la información y 

reanudar las operaciones, en el tiempo establecido cuando se ha 

materializado un incidente de seguridad. 

Según el tipo de incidente, reportar a las franquicias y organismos de 

control. Ref. Procedimiento de Seguridad para el compromiso de 

información confidencial. 

Prevenir daños futuros y mantener una base de incidentes cuya 

administración y control estará a cargo y deberá ser reportada por 

cada área a la unidad de Riesgo Operativo. 

Las normas y lineamientos para la gestión de incidentes de seguridad se los debe 

observar en el Reglamento de Gestión de Incidentes y Procedimiento de Gestión 

de Incidentes de Seguridad de Información. 

6.6 SEGREGACIÓN FUNCIONAL 

Ningún proceso crítico debe ser ejecutado y controlado por una sola persona. 

Se debe respetar el principio de segregación funcional, lo que implica que en 

cada proceso deba definirse claramente los roles y niveles de responsabilidad, de 

tal forma que ningún proceso sea ejecutado, aprobado, revisado, etc., por una 

sola persona. 

La Organización deberá asegurar que exista una adecuada segregación de 

funciones entre el personal que administra, autoriza, opera, mantiene, 

controla/monitorea y en general accede a los dispositivos y sistemas usados en 

los diferentes canales electrónicos y tarjetas, de acuerdo la Resolución JB-2012- 

2148. 

6.7 PREVENCIÓN, CONCIENCIACIÓN Y ENTRENAMIENTO CONTINUO 

Las políticas, reglamentos y normas referentes a seguridad de la información 

deberán ser conocidos por todos los miembros de la Organización. Dichos 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


documentos en su versión actualizada y aprobada deben estar publicados en la 

intranet. 

Para el efecto, la Organización proveerá al Oficial de Seguridad de la información 

de los recursos necesarios para realizar planes, capacitaciones, evaluaciones y 

distribución de información técnica y de seguridad de la información al personal. 

Además realizará campañas de promoción y concienciación sobre mejores 

prácticas de uso de contraseñas, correo electrónico, Internet, seguridad del 

computador y puesto de trabajo, entre otros, dentro de la Organización, las 

mismas que permitan crear una cultura de seguridad de la información en cada 

uno de los colaboradores. 

6.8 APOYO TECNOLÓGICO Y DE OPERACIONES 

Se incluirán las siguientes prácticas como apoyo tecnológico y de operaciones: 

Soporte al usuario.- En la Organización existirá un área de mesa de ayuda, con el 

fin de proveer asistencia técnica al usuario. 

Gestión de licencias.- Todo software instalado en las máquinas de la 

Organización deberá tener la licencia de uso respectiva, se deberá implementar 

controles para detectar y evitar la instalación de software no autorizado o sin la 

respectiva licencia. 

Configuración de sistemas y equipos.- La configuración de sistemas y equipos 

computacionales debe garantizar que los cambios en los sistemas no disminuyan 

su seguridad sin intención o conocimiento y ésta información sea respaldada 

adecuadamente. Ver Procedimiento de Instalación de Software Base. 

Gestión de cambios.- Se aplicarán procedimientos formales a fin de garantizar 

que los cambios en los sistemas de información, hardware y software base, 

elementos de comunicaciones, entre otros, contribuyan a cubrir los 

requerimientos del negocio y aumentar la calidad del servicio sin afectar su 

continuidad. Ref. Reglamento de control de cambios. 

Afectación de base de datos.- En caso de que los aplicativos de negocio no 

permitan la modificación o corrección de información se podrá afectar 

directamente las bases de datos bajo los lineamientos de PCI DSS 5 , para lo cual, 

se aplicarán procedimientos que permitan identificar los solicitantes, 

5 

Todo acceso, consultas y acciones de usuario en las bases de datos se realizarán, únicamente, 

mediante métodos programáticos. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


autorizadores, y motivo de la modificación, así como el registro de pistas de 

auditoría que facilite la trazabilidad del cambio. Ref. Procedimiento uso de 

utilitarios SQL. 

Cifrado de información.- A fin de garantizar la confidencialidad de la información 

restringida y confidencial de la Organización, se aplicarán técnicas de cifrado. 

Respaldos.- Se respaldará aplicaciones e información con la frecuencia y 

cronograma definido en el Reglamento de Respaldos. La restauración de la 

información almacenada en medios magnéticos deberá ser garantizada por el 

área de Tecnología, esto con el fin de asegurar su uso, recuperación, además las 

copias serán resguardadas en un sito alterno que cumpla con las condiciones 

ambientales y normativas para su resguardo seguro y apropiado. Dicho sitio 

alterno deberá ser evaluado al menos una vez al año para verificar el 

cumplimiento requerido por la Organización. 

Bitácoras de seguridad y auditoría.- Todo sistema, afectación a base de datos 

y/o aplicación considerado crítico debe generar logs de seguridad que garanticen 

un rastreo de operaciones preciso y completo. Además se deberá configurar para 

que dichos logs sean enviadas a un sistema de correlación de eventos de 

seguridad, y asegurar que los administradores no puedan borrar o desactivar las 

pistas de sus propias actividades. 

Mantenimiento.- El mantenimiento de sistemas computacionales y/o equipo 

será realizado únicamente por personal autorizado, que cuenten con 

contraseñas y seguridades para su acceso. Referirse al Reglamento de 

contraseñas Administrativas. Se deberán realizar constantes actualizaciones de 

sistemas operativos, aplicaciones, antivirus y ejecución de parches de seguridad. 

No será autorizado el uso de sistemas operativos y firmware obsoletos. 

Estándares.- No podrá realizarse compra o renta de software o hardware que no 

cumpla con los estándares tecnológicos mínimos definidos (PCI DSS) y aprobados 

por la Gerencia de Tecnología. Los lineamientos referentes a la compra y 

selección de software y hardware deben ser observados en el Reglamento de 

Selección y Validación de Hardware y Software y Reglamento de Adquisición, 

Desarrollo y Mantenimiento de los sistemas de información. 

6.9 SEGURIDAD FÍSICA Y AMBIENTAL 

Las seguridades físicas y ambientales son implementadas para proteger los 

recursos humanos y tecnológicos con el fin de asegurar la continuidad y 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


operatividad de la Organización. A fin de prevenir interrupciones, daño físico, 

acceso no autorizado a información, pérdida de control sobre la integridad del 

sistema o robo, deberá observarse los siguientes lineamientos: 

Control de acceso físico.- El ingreso y salida de las diferentes locaciones de la 

Organización deben ser controlados. El ingreso a las áreas de procesamiento, 

almacenamiento de datos, Custodia de Valores, Datacard, y otras áreas críticas 

será restringido a personal autorizado por las Gerencias responsables. Para el 

acceso de personal ajeno se solicitará autorización al responsable del área 

restringida, está prohibido el acceso con bolsos, maletas o mochilas, en el caso 

de la Datacard y Custodia de Valores deben utilizar el mandil de seguridad. El 

acceso del personal autorizado que no corresponda al grupo de operadores de 

las áreas restringidas debe ser correctamente registrado en bitácoras de acceso, 

las que deberán ser guardadas por 1 año. Referirse a la Política de Seguridad y 

Protección Física de Instalaciones y al manual de procedimientos de la Datacard. 

Cámaras de video.- Las áreas en las que se almacena o procesa la información de 

tarjetas de crédito y son consideradas áreas de riesgo deben ser monitoreadas 

continuamente por cámaras de video. Los archivos de video capturado deberán 

almacenarse por un mínimo de 90 días según indica la normativa aplicable. 

Instalaciones de detección y control de incendios.- En todas las áreas de la 

Organización, se debe instalar un sistema de detección y control de incendios 

apropiado ajustado a la Política de Seguridad y Protección Física de 

Instalaciones; el sistema que para el efecto se instale en el Centro de Cómputo, 

deberá garantizar la detección oportuna del incendio y extinción automática 

usando tecnología acorde al bien que se protege como por ejemplo gases 

limpios, espuma, entre otros. 

Elementos ambientales.- Las instalaciones tecnológicas estarán siempre 

provistas de electricidad continua, regulada, con sistemas UPS y aire 

acondicionado a una temperatura apropiada. Referirse a la Política de Seguridad 

y Protección Física de Instalaciones. 

Equipos portátiles y dispositivos móviles.- Las computadoras portátiles y 

dispositivos móviles (tablets, teléfonos inteligentes o similares) deberán estar 

siempre aseguradas físicamente dentro o fuera de la organización y su 

información deberá estar cifrada. Ref. Reglamento de Uso Seguro de Dispositivos 

Móviles Inteligentes. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


6.10 IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS 

La identificación y autenticación de usuarios es una medida técnica que previene 

que personal o procesos no autorizados puedan ingresar al sistema; por lo que, 

se convierte en una parte crítica referente a la seguridad de información. 

Identificación única.- Cada usuario tendrá una única identificación para ingresar 

y operar el sistema, cualquier excepción tal como asignación de funciones 

adicionales o similares, debe ser correctamente autorizada y registrada. 

No se deben crear o usar usuarios genéricos en el sistema, cualquier excepción 

debe ser correctamente autorizada y registrada. Ref. Reglamento de gestión de 

usuarios. 

Contraseñas.- Todo sistema utilizado en la Organización deberá contar con la 

administración de seguridades, requiriendo para el ingreso un usuario y 

contraseña, estos serán regulados por el Reglamento de Uso de Contraseñas. 

El personal no debe compartir contraseñas o usuarios bajo ninguna 

circunstancia. Las contraseñas serán de uso personal e intransferible en todo 

momento; manejadas por el usuario como información confidencial, el compartir 

o divulgar las contraseñas se considerará falta grave sancionable. Hacer 

referencia al reglamento interno de DCE. 

Contraseñas Administrativas.- En los diferentes ambientes de procesamiento 

existen cuentas de usuarios con las cuales es posible efectuar actividades 

sensibles como: instalación de plataformas o sistemas, habilitación de servicios, 

actualización de software, configuración de componentes informáticos, entre 

otras. El control y monitoreo de estas contraseñas será supervisado y 

monitoreado a través de un sistema de correlación de eventos administrado por 

el área de Control tecnológico y su uso será regulado por el Reglamento de Uso 

de Contraseñas Administrativas 

6.11 PROPIEDAD INTELECTUAL Y LICENCIAMIENTOS 

La Organización se ajusta a las leyes, tratados y licenciamientos nacionales o 

internacionales pertinentes en cuanto a los derechos de propiedad intelectual. 

Cualquier derecho de propiedad intelectual o técnica de los productos o 

software desarrollado por personal de la Organización en el ejercicio de sus 

deberes profesionales normales y de otros que se les asignen serán adjudicados 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


a la Organización; además, esta condición se manifestará en todos los contratos 

de empleo en su cláusula de exclusividad. 

Cuando se comparte la propiedad del desarrollo de los productos o software por 

participación colaborativa, la propiedad y el uso para el cual el software fue 

generado (o ambas cosas) serán negociados por los socios. 

6.12 PROVEEDORES DE SERVICIO 

Los proveedores de servicio, que procesan, reciben y/o envían información de 

tarjetahabientes, deben obligatoriamente contar con una infraestructura 

tecnológica que sea catalogada de alta seguridad y confidencialidad para el 

manejo de información restringida, adicionalmente si trabajan con números de 

tarjeta de crédito deberán alinearse y cumplir con el estándar PCI DSS (Ref. 

Criterios de Validación para Proveedores de Servicios emitido por la Franquicia 

VISA 6 ), esto implica que sus sistemas y su red tengan las suficientes seguridades 

en contra de cualquier tipo de ataque externo, que cuenten con el hardware y 

software adecuados para evitar pérdidas, alteraciones o accesos no autorizados, 

así como políticas, reglamentos y controles que garanticen a la Organización la 

seguridad de su información. Se dará acceso a la información de tarjetahabientes 

solamente cuando el mismo sea debidamente justificado. 


tarjetahabientes, deben estar obligados a mantener la más estricta reserva y 

confidencialidad de la información recibida, incluso una vez concluido su 

contrato, por lo que aceptará responsabilidades civiles y penales por uso 

indebido de la información recibida, cláusulas que deben estar incluidas en el 

contrato. 

Los colaboradores de los proveedores de servicios que, para realizar sus 

funciones, necesiten acceder a los aplicativos de la Organización, sólo lo podrán 

hacer con perfiles autorizados por el Oficial de Seguridad de la Información, 

revisados y autorizados por las respectivas Gerencias , adicionalmente deberán 

firmar las cláusulas de confidencialidad. Estos proveedores se obligan a notificar 

a la Organización cuando algún colaborador deje de pertenecer a su empresa 

para la respectiva eliminación del usuario (Reglamento de Gestión de Usuarios), 

así como de obligar a sus colaboradores el correcto cumplimiento del uso de 

6 

http://www.visa.com.mx/comercios/seguridad-3/ del 22 de mayo de 2015 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


contraseñas acorde al Reglamento de Uso de Contraseñas, y el de 

Responsabilidad y Uso de la Información. 

Los proveedores de servicio que procesan, reciben y/o envían información de 

tarjetahabientes, deben prestar las facilidades que se requieran para que en caso 

de considerarlo apropiado, la Organización pueda realizar las auditorías que 

considere necesarias, con la finalidad de garantizar que la información que pasa 

por su red cuente con las seguridades y que se ajusten a las mejores prácticas de 

seguridad. 


tarjetahabientes deben, obligatoriamente, firmar un contrato en el que 

contemple los temas antes mencionados. También se debe firmar una cláusula 

de confidencialidad o adendum de seguridad de información, en el que se hacen 

responsables de la seguridad de los datos de los tarjetahabientes que tienen en 

su poder y responder penalmente por algún incidente. 

Para el proceso de selección y calificación de proveedores se debe hacer 

referencia a la Política de Compras del Área Administrativa y su reglamento. 

6.13 CANALES ELECTRÓNICOS 

6.13.1 Medidas de seguridad en canales electrónicos 

La Organización, debe cumplir con todos los requerimientos de la resolución de 

la Junta Bancaria JB-2012-2148 y JB-2014-3066. En este contexto, deberá 

adoptar e implementar los estándares y buenas prácticas internacionales de 

seguridad vigentes a nivel mundial para la implementación de tarjeta con chip, el 

uso y manejo de canales electrónicos y las seguridades en los consumos con 

tarjetas de crédito, los cuales deben ser permanentemente monitoreados (según 

las responsabilidades descritas en la sección 5), para asegurar su cumplimiento y 

para brindar seguridad y servicios de calidad a los clientes del grupo a través de 

su uso. 

La Organización deberá establecer procedimientos, controles y mecanismos para 

monitorear de manera periódica la efectividad de los niveles de seguridad 

implementados en hardware, software, redes y comunicaciones, 

implementación de controles para prevenir clonación, phishing, skimming, y 

otras prácticas fraudulentas externas, así como en cualquier otro elemento 

electrónico o tecnológico utilizado en los canales electrónicos, de tal manera que 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


se garantice permanentemente la seguridad y calidad de la información. Ref. 

Reglamento de seguridad de comunicaciones. 

El envío de información confidencial desde y hacia los clientes, proveedores y 

otras partes interesadas y la relacionada con tarjetas, debe ser realizado bajo 

condiciones de seguridad de la información, considerando que cuando dicha 

información se envíe mediante correo electrónico o utilizando algún otro medio 

vía Internet, ésta deberá ser enmascarada y cifrada, considerando además los 

estándares internacionales y buenas prácticas de seguridad vigentes. Ref. 

Reglamento de seguridad de comunicaciones. 

La Organización deberá contar en todos sus canales electrónicos con software 

antimalware y antivirus que esté permanentemente actualizado, el cual permita 

proteger las aplicaciones instaladas, detectar oportunamente cualquier intento o 

alteración en su código, configuración y/o funcionalidad, y emitir las alarmas 

correspondientes para el bloqueo del canal electrónico, su monitoreo, 

inactivación y revisión oportuna por parte de personal técnico autorizado de la 

Organización. Ref. Reglamento de seguridad de comunicaciones. 

Además se deberá utilizar tecnología de propósito específico para la generación y 

validación de claves para ejecutar transacciones en los diferentes canales 

electrónicos y dicha información no deberá ser almacenada de ninguna forma, 

medio o instante de la transacción. 

La Organización deberá establecer procedimientos para monitorear, controlar y 

emitir alarmas en línea que informen oportunamente sobre el estado de los 

canales electrónicos y controles en redes, con el fin de identificar eventos 

inusuales, fraudulentos o corregir las fallas, según las responsabilidades descritas 

en la sección 5 de la presente política. 

La Organización deberá establecer procedimientos y controles para la 

administración, transporte, instalación y mantenimiento de los elementos y 

dispositivos que permiten el uso de los canales electrónicos y de tarjetas y de la 

administración/ procesamiento de la información de forma segura. Ref. 

Procedimiento instalación de Kioscos, Procedimiento de seguridades 

operaciones - Datacard. 

La Organización deberá mantener sincronizados todos los relojes de sus sistemas 

de información que estén involucrados con el uso de canales electrónicos, y 

todos los sistemas, según las responsabilidades descritas en la sección 5 de la 

presente política. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


La Organización deberá mantener como mínimo durante doce (12) meses el 

registro histórico de todas las transacciones que se realicen a través de los 

canales electrónicos, el cual deberá contener como mínimo: fecha, hora, monto, 

número de transacción, código del dispositivo: para operaciones por cajero 

automático: código del ATM, para transacciones por internet: la dirección IP. 

(Ref. Reglamento de respaldos). En caso de presentarse reclamos, la información 

deberá conservarse hasta que se agoten las instancias legales. Si dicha 

información constituye respaldo contable se aplicará lo previsto en el tercer 

inciso del artículo 80 de la Ley General de Instituciones del Sistema Financiero. 

La Organización deberá poner a disposición de sus clientes un acceso directo 

como parte de su centro de atención telefónica (call center) para el reporte de 

emergencias, robo/hurto o pérdida de tarjetas, el cual deberá funcionar las 

veinticuatro (24) horas al día, los siete (7) días de la semana. 

La Organización deberá registrar y grabar las llamadas telefónicas realizadas por 

los clientes a los centros de atención telefónica (call center), específicamente 

cuando se consulten saldos, consumos o cupos disponibles; se realicen reclamos; 

se reporten emergencias; o, cuando se actualice su información. De presentarse 

reclamos, esa información deberá conservarse hasta que se agoten las instancias 

legales. 

Las actualizaciones de información relacionadas con números de telefonía móvil 

y correo electrónico deberán realizarse en oficinas, cuando el cliente no logre 

autenticarse, por medio de las preguntas y controles definidos. 

Los colaboradores de la Organización, por ningún motivo solicitarán las claves de 

acceso de los clientes. 

La Organización deberá notificar a los clientes, a través de mensajería móvil, 

correo electrónico u otro mecanismo, la confirmación del acceso a la banca 

electrónica, así como de las transacciones realizadas mediante cualquiera de los 

canales electrónicos disponibles, o por medio de tarjetas, según las 

responsabilidades descritas en la sección 5 de la presente política. 

La Organización deberá establecer procedimientos de control y mecanismos que 

permita registrar el perfil de cada cliente sobre sus comportamientos 

transaccionales que impliquen movimiento de dinero, así como, deberá notificar 

a los clientes, a través de los canales y contactos confirmados por dichos clientes, 

las transacciones inusuales realizadas con sus tarjetas, tan pronto los sistemas lo 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


detecten, según las responsabilidades descritas en la sección 5 de la presente 

política. 

La Organización en su página web, publicará consejos sobre seguridad, a fin de 

que los clientes se capaciten e informen sobre los riesgos y tengan en cuenta 

estas recomendaciones al momento de utilizar los canales electrónicos, en forma 

especial sobre los procedimientos para el bloqueo, inactivación, reactivación y 

cancelación de productos y servicios ofrecidos. Ref. Responsabilidad social. 

La Organización en sus procesos de desarrollo de los canales electrónicos, se 

ajustará a las buenas prácticas y metodologías existentes, recomendadas para la 

codificación segura, tomando como referencia la guía OWASP, según las 

responsabilidades descritas en la sección 5 de la presente política. 

La Organización deberá implementar los algoritmos y protocolos seguros, así 

como certificados digitales, que ofrezcan las máximas seguridades en vigor para 

el acceso a las páginas web de la Organización, a fin de garantizar una 

comunicación segura, la cual debe incluir el uso de técnicas de cifrado de los 

datos transmitidos acordes con los estándares internacionales vigentes. Ref. 

Reglamento de cifrado. 

La Organización deberá implementar mecanismos para impedir la copia de los 

diferentes componentes de su sitio web, verificar constantemente que no sean 

modificados sus enlaces (links), suplantados sus certificados digitales, ni 

modificada indebidamente la resolución de su sistema de nombres de dominio 

(DNS), según las responsabilidades descritas en la sección 5 de la presente 

política. 

Además, la banca electrónica deberá ofrecer las siguientes seguridades: 

 

 

 

En donde se solicite el ingreso de una clave, ésta debe aparecer 

enmascarada, 

El nombre de usuario debe ser distinto al número de cédula de 

identidad, 

La clave de acceso debe combinar caracteres numéricos y 

alfanuméricos con una longitud mínima de seis (6) caracteres, 

Requerir la renovación de claves de acceso por lo menos una vez (1) 

al año, 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


 

 

 

 

Cuando se presenten eventos inusuales que adviertan situaciones 

fraudulentas o después de un número máximo de tres (3) intentos 

de acceso fallido, bloquear los canales electrónicos, y notificar en 

línea al cliente a través de mensajería móvil, correo electrónico u 

otro mecanismo, así como su reactivación de manera segura, 

Informar al cliente al inicio de cada sesión, la fecha y hora del 

último ingreso, 

Tiempo máximo de inactividad durante la sesión del cliente, 

después del cual ésta deberá ser cancelada y exigir un nuevo 

proceso de autenticación al cliente para realizar otras 

transacciones, 

Para la ejecución de transacciones de clientes, mecanismos de 

autenticación que contemplen por lo menos dos de tres factores: 

“algo que se sabe, algo que se tiene, o algo que se es”, 

considerando que uno de ellos debe: ser dinámico por cada vez que 

se efectúa una operación, ser una clave de una sola vez OTP (one 

time password), tener controles biométricos, entre otros. 

7. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 

En cumplimiento con la resolución de la Junta Bancaria JB-2014-3066, la 

Organización gestionará la seguridad de la información tomando como 

referencia la serie de estándares ISO/IEC 27000, PCI DSS, PCI CP, PCI PTS, para lo 

cual deberá establecer, implementar, ejecutar, monitorear, mantener y 

documentar un sistema de gestión de seguridad de la información (SGSI). 

Las funciones y responsables de la implementación y administración del SGSI se 

describen en los numerales 5. Ámbito de aplicación y 6. Lineamientos de 

seguridad de la información (6.1 Roles de la seguridad de la información) de la 

presente política. 

Complementariamente el SGSI deberá considerar al menos los siguientes 

requerimientos: 

Disponer de un inventario de la información con la designación de sus 

propietarios, las responsabilidades de los propietarios de la información 

se detallan en el numeral 6. Lineamientos de seguridad de la 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


información, 6.1 Roles de la seguridad de la información, 6.1.1 Dueños 

de la información. 

Identificar y documentar requerimientos mínimos de seguridad para 

cada tipo de información. Ref. Reglamento de clasificación y control de 

activos de la información. 

Establecer procedimientos de eliminación de la información restringida 

y confidencial. Ver numeral 6. Lineamientos de seguridad de la 

información, 6.4 Eliminación de la información. 

Mantener segregación de funciones y responsabilidades. Ver numeral 6. 

Lineamientos de seguridad de la información, 6.7 Segregación funcional. 

Mantener procedimientos y controles que aseguren la tecnología 

implementada. Ver numeral 6. Lineamientos de seguridad de la 

información, 6.9 Apoyo tecnológico y de operaciones. 

Implementar mecanismos de seguridad tales como: IDS, IPS, firewalls, 

WAF, entre otros, para evitar accesos no autorizados, inclusive de 

terceros y, ataques externos especialmente a la información restringida 

y confidencial o a los canales electrónicos. Ref. Estándar de 

configuración de IPS. 

Realizar acorde a los requerimientos de PCI DSS como mínimo una vez 

(1) al año, auditorías de seguridad de la infraestructura tecnológica, 

ejecutados por personal independiente a la entidad, capacitado y con 

experiencia, aplicando estándares vigentes y reconocidos a nivel 

internacional, que incluya pruebas de vulnerabilidad y penetración a los 

equipos, dispositivos y medios de comunicación, así como la definición y 

ejecución de los planes de acción sobre las vulnerabilidades detectadas. 

8. ACCESO O CAMBIO NO AUTORIZADO A LA INFORMACIÓN 

El acceso o cambios intencionales no autorizados por parte del personal de la 

Organización, a la información o datos de la Organización, contenida en medios físicos 

o magnéticos, sin limitarse a servidores de archivos, servidores de aplicaciones, bases 

de datos, estaciones de trabajo, correo electrónico, intranet o extranet, serán 

considerados como falta grave y se someterán a las sanciones legales aplicables, en el 

Reglamento Interno de Trabajo. 

Cualquier acceso o cambio no intencional por parte del personal de la Organización a 

la información o datos, contenida en medios físicos o magnéticos, deben ser 

informados inmediatamente a la línea de supervisión y al Oficial de Seguridad de la 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Información. Esto con el fin de realizar el seguimiento y correctivo respectivo. Los 

casos identificados y no informados debidamente, serán considerados como falta 

grave y se someterán a las sanciones legales aplicables, y estipuladas en el Reglamento 

Interno de Trabajo. 

La Organización proveerá al Oficial de Seguridad de la Información todas las 

herramientas tecnológicas necesarias para efectuar el monitoreo periódico al personal 

y sus equipos, respecto del cumplimiento de los aspectos y controles de seguridad de 

la información descritos en la presente política y en sus procesos (flujos) de revisión y 

conforme las mejores prácticas de seguridad de información. 

Por otro lado, el acceso o cambios intencionales no autorizados realizados por 

terceros, a la información o datos de la Organización, contenida en medios físicos o 

magnéticos, sin limitarse a, servidores de archivos, servidores de aplicaciones, bases de 

datos, estaciones de trabajo, correo electrónico, intranet o extranet, será causa de 

toma de acciones legales por parte del departamento Legal de la Organización 

conforme cláusulas contractuales. 

La Organización, a través del Oficial de Seguridad de la Información y el área de Control 

Tecnológico, han otorgado a los colaboradores mediante perfiles de acceso la 

autorización para consultar información de clientes acorde a la necesidad de sus 

funciones, los colaboradores no podrán consultar información de clientes que no haya 

sido solicitada expresamente por el socio o requerida por las tareas asignadas. El 

cumplimiento de ésta norma será monitoreada periódicamente por el área de 

Seguridad de Información, todo incumplimiento será reportado a las gerencias 

respectivas. El log de consultas deberá conservarse por lo menos doce meses. De igual 

forma, se han asignado perfiles de acceso y permisos para el uso de puertos, Internet y 

mail externo, entre otros perfiles que aseguran el cumplimiento de la presente 

política. 

En el caso de información contenida en ambientes de desarrollo y pruebas, ésta 

deberá ser enmascarada o codificada y su acceso será administrado y controlado por el 

área de Control Tecnológico. 

Los colaboradores del área de Diseño y Entrega del Servicio no deben tener acceso a 

los sistemas e información del ambiente de producción en circunstancias normales, de 

requerirse este acceso por temas de soporte solamente será de consulta, bajo un perfil 

definido, autorizado por la Gerencia de Tecnología, registrando formalmente sus 

actividades y puesto en conocimiento al área de Riesgos, quien realizará monitoreos 

periódicos para su inhabilitación; estos accesos deben ser por un tiempo limitado y por 

alguna actividad específica. Los desarrolladores deben adicionalmente capacitarse 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


anualmente en metodologías de seguridad para el desarrollo de aplicaciones que no 

vulneren la arquitectura existente. 

9. POLÍTICAS Y REGLAMENTOS RELACIONADOS 

Esta política deberá ser observada conjuntamente con los lineamientos presentados 

en los documentos que se detallan a continuación y otros adicionales; los mismos que 

refuerzan lo expresado en la presenta Política y forman parte integral de la misma: 

Reglamento de Clasificación y Control de Activos de la Información 

Reglamento de Uso de Contraseña Administrativa 

Reglamento de Uso de Contraseñas 

Reglamento de Respaldos 

Reglamento de Control de Cambios 

Reglamento de Cifrado 

Reglamento de Gestión de Usuarios 

Reglamento de Uso de Internet 

Reglamento de Uso de Correo Electrónico 

Reglamento de Seguridad de Estación de Trabajo y Responsabilidad de 

la Información 

Reglamento de Selección y Validación de Hardware y Software 

Reglamento de Seguridad de Comunicaciones 

Reglamento de Seguridad de Servidores 

Reglamento de Gestión de Incidentes 

Reglamento de Gestión de Vulnerabilidades 

Reglamento de Acceso al Centro de Cómputo. 

Reglamento de Uso Seguro de Dispositivos Móviles Inteligentes. 

Reglamento de Adquisición, Desarrollo y Mantenimiento de los sistemas 

de información. 

Procedimiento para equipos de Baja y Donación 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Política de Seguridad y Protección Física de Instalaciones. 

La presente política deberá revisarse y actualizarse conforme lo establece el 

Reglamento de Normativas Internas de la Organización; en tanto que la 

documentación relacionada (reglamentos) deberán actualizarse como máximo cada 2 

años, salvo que existan cambios en los procesos de la Organización o cambios en las 

resoluciones emitidas por el Organismo de Control. 

10. VIOLACIONES Y SANCIONES 

Las violaciones a cualquiera de los lineamientos de esta Política o al Código de Ética de 

la Organización pueden resultar en la ejecución de sanciones reguladas en el 

Reglamento Interno de Trabajo y otras normas relacionadas. 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


Anexo 1 

Niveles de Solicitud y Aprobación de Requerimientos (Listado que es actualizado en 

forma permanente por Gestión Humana). 

NIVELES DE SOLICITUD Y APROBACIÓN DE REQUERIMIENTOS 

USUARIO 

ÁREA GERENCIA DEPARTAMENTO 

USUARIO 

SOLICITANTE 

QUE 

APRUEBA 

AUDITORIA PATRICIO 

REGIONAL SIERRA ESCOBAR 

AUDITORÍA GENERAL 

AUDITOR DE 

AUDITORIA 

SISTEMAS Y NICOLAS 

GENERAL 

OPERATIVO PADILLA 

AUDITORIA PILAR 

REGIONAL COSTA LUZURIAGA 

COMPENSACIÓN Y 

RECURSOS HUMANOS 

NEGOCIOS 

MERCADEO 

RECURSOS 

HUMANOS 

MERCADEO 

SEGMENTOS SEGMENTOS 

VISA 

DISCOVER 

ALIANZAS 

BENEFICIOS 

SALUD Y 

SEGURIDAD 

OCUPACIONAL 

GESTIÓN HUMANA 

GESTIÓN HUMANA 

COSTA / SIERRA 

MERCADEO 

OPERATIVO / 

COMUNICACIONAL 

SEGMENTOS 

ALIANZAS 

SEGUROS SEGUROS SEGUROS 

DIEGO HARO 

SANTIAGO 

AGUIRRE 

ESTEFANIA 

JARAMILLO 

LORENA 

GOMEZ 

MA. BELEN 

SAAVEDRA 

TADEO 

CORDOVEZ 

ANA MARIA 

CARTWRIGHT 

MARIA ISABEL 

VACA 

PROCESOS PROCESOS PROCESOS LINDA LOIZA 

GERENCIA 

NACIONAL 

JORGE COBA JORGE COBA 

DANIEL 

MONTALVO 

DANIEL 

MONTALVO 

ANA MARIA 

MOSCOSO 

JORGE 

GARCIA 

LORENA 

MOYA 

CANALES Y CANALES Y CANALES Y MARIA LORENA 

DANIEL 

MONTALVO 

IGNACIO 

MALDONAD 

O 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


SERVICIOS SERVICIOS SERVICIOS GABRIELA 

LOPEZ 

CANALES Y 

GLORIA INES 

CALL CENTER 

SERVICIOS 

MACHADO 

PRODUCTOS PRODUCTOS 

GERARDO 

DORLFLINGER 

XAVIER 

SOPORTE OFICINAS 

SOPORTE OFICINAS 

NAVARRETE 

CANALES 

PATRICIO 

GERENCIA FUERZA COMERCIALES PAREDES 

DE VENTAS 

PATRICIO 

GERENCIA 

VENTAS 

PAREDES 

COMERCIAL 

CRISTINA 

PERSONAS OFICINAS 

OFICINAS 

VACA 

INVERSIONES INVERSIONES 

BORIS 

CEVALLOS 

COMERCIAL 

COMERCIAL 

GIOVANNI 

ESTABLECIMIENTOS 


TEJADA 

/ IBARRA 

GERENCIA 

COMERCIAL 

EMPRESAS 

GERENCIA 

DESARROLLO 

EMPRESAS 

GERENCIA 

NEGOCIOS 

COSTA 

CORPORATIVO 

DESARROLLO 

EMPRESAS 

CORPORATIVO 

DESARROLLO 

EMPRESAS 

COMERCIAL 

EMPRESAS / 


COMERCIAL 

EMPRESA 

S/CORPORATIVO 

COMERCIAL 

PERSONAS / 

INVERSIONES 

COMERCIAL 

PERSONAS / 

VENTAS 

VERONICA 

ZAPATA 

XIMENA 

CORONEL 

FERNADO 

MONCAYO 

ALEXANDRA 

SYLVA 

GLENDA MEZA 

WENDY 

TALLEDO 

MOYA 

DIEGO 

BENITEZ 

ROBERTO 

DIAZ-BAEHR 

JIMMY 

RECALDE 

FERNANDO 

ZEVALLOS 

PAOLA 

AGUILAR 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


COMERCIAL 

PERSONAS / 

OFICINAS GYE 

VERONICA 

MERINO 

CENTRO 

DE 

SERVICIOS 

OPERACIONES 

TECNOLOGÍA 

CRÉDITO Y 

COBRANZAS 

MARKETING COSTA 

NEGOCIOS MANTA 

(incluye servicios) 

NEGOCIOS 

MACHALA (incluye 

servicios) 

NEGOCIOS AMBATO 


NEGOCIOS CUENCA 


CONTROL 

OPERATIVO 

BACK OFFICE 

INTERCAMBIO 

CONTROL Y 

GESTIÓN 

DISEÑO Y ENTREGA 

DE SERVICIO 

CONTROL 

TECNOLÓGICO 

PRODUCCIÓN Y 

SERVICIOS 

SISTEMAS GYE 

ESTRATEGIA Y 

PLANEACIÓN 

CRÉDITO 

ANÁLISIS DE 

CARTERA 

ANÁLISIS Y 

DECISIÓN 

LAYLA HARB 

PATRICIA 

AGUILAR 

RODNEY VIVAS 

DIEGO 

BOHORQUEZ 

ANDREA 

ORMAZA 

PAULINA 

GARCIA 

ENRIQUE 

GUERRON 

MARIA OLIVA 

PAREDES 

WASHINGTON 

QHISPE 

MYRIAM 

AYALA 

ANDRES 

MONTENEGRO 

LUCIO 

AREVALO 

RICARDO 

PAZMIÑO 

IVAN ARGUDO 

JUAN BELTRAN 

PAULO 

MONTALVO 

TANIA GERKA 

ALEXANDER 

ZEDERBAUER 

ALEXANDRA 

VASCONEZ 

BERNARDO 

CUEVA 

MARIA 

FERNANDA 

ROJAS 

KLEVER RIOS 

PAULINA 

TORRES 

MONICA 

CARRION 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


CREDITICA 

COBRANZAS 

MANTENIMIENTO 

CRÉDITO Y 

COBRANZAS GYE 

BELEN ACOSTA 

DANIEL 

MARTINEZ 

JUAN CARLOS 

LOPEZ 

PLANEACIÓN Y 

FINANZAS 

RIESGOS 

CENTRO SERVICIOS 

ADMINISTRATIVO ROSA RUIZ 

REGIONAL 

ANDRES 

OPERACIONES FLORES 

CANALES 

SOLUCIONES ALTERNATIVOS CRISTINA FLOR 

FUNCIONALES SOLUCIONES 

FUNCIONALES RAUL CLAVIJO 

ADMINISTRATIVO ADMINISTRATIVO 

LUCIA 

SALAZAR 

CONTABILIDAD E CONTABILIDAD E RICHARD 

IMPUESTOS IMPUESTOS ERAZO 

TESORERÍA TESORERÍA 

JORGE 

VILLACIS 

LUISA 

PMO 

PMO 

CORDOVA 

CESAR 

CONTRALORÍA CONTRALORÍA MARTINEZ 

MANUEL 

LEGAL 

LEGAL 

ZURITA 

GESTIÓN DE LA GESTIÓN DE LA LEONARDO 

INFORMACIÓN INFORMACIÓN CARDENAS 

PLANEACIÓN PLANEACIÓN 

FINANCIERA Y FINANCIERA/ ALEXANDRA 

PRESUPUESTO PRESUPUESTARIA BARREZUETA 

RIESGO DE RIESGO DE 

CRÉDITO/MERCADO CRÉDITO/MERCADO DIEGO 

Y LIQUIDEZ Y LIQUIDEZ MORAN 

DANNY 

RIESGO OPERATIVO RIESGO OPERATIVO ESPINOZA 

MARIA ELENA 

VERA 

CARMEN 

ALICIA 

GOMEZ 

GRACE PEREZ 

JULIO CESAR 

PALACIOS 

MARIO 

JARAMILLO 

COSME 

ITURRALDE 

VICTOR 

TERAN 

VICTOR 

TERAN 

WILLIAM 

DELGADO 

EDMUNDO 

PEÑAFIEL 

PATRICIO 

VIVERO 

JORGE 

MOYANO 

PATRICIO 

VIVERO 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio


INFORMACIÓN 





2016 


CUMPLIMIENTO 

RESPONSABILIDAD 

SOCIAL 

CUMPLIMIENTO 


SOCIAL 

CUMPLIMIENTO 


SOCIAL 

ALEXANDRA 

VALLEJO 

JOSE LUIS 

TRÁVEZ 

DIANA 

CAICEDO 

AUGUSTA 

BUSTAMANTE 

PATRICIO 

VIVERO 

AUGUSTA 

BUSTAMAN 

TE 

Actualizado 

por: Riesgo 

Operativo 

Revisado 

por: 

Gerencia de 

Tecnología 

Revisado 

por: 

Gerencia 

Nacional de 

Riesgos 

Revisado 

por: 

Contraloría/ 

Legal 

Revisado 

por: 

Auditoría 

Interna 

Revisado 

por: 

Gerencia 

Nacional de 

Centro de 

Servicios 

Aprobado 

por: 

Comité de 


Integral de 

Riesgos 

Aprobado 

por: 

Directorio

REGLAMENTO DE USO DE INTERNET 

FECHA: Noviembre 2007 

RESPONSABLE DE APLICACIÓN: 

RESPONSABLE DE MONITOREO: 

GT-REG-009-07 

Toda la Organización 

Auditoria Interna 

Pág.: 1 de 6 

Versión # 1.0 


Noviembre, 2007 

Elaborado por: 

Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 

Información de 

Tecnología 

Gerencia Nacional de 

Riesgo 

Auditoria 

Gerencia de 

Tecnología 

Gerencia Nacional del 

Centro de Servicios





GT-REG-009-07 



Pág.: 2 de 6 


1. INTRODUCCIÓN 

El avance tecnológico y automatización al cual se enfrentan las organizaciones hoy en 

día ha incidido en la necesidad de adoptar nuevas formas de comunicación que 

permitan lograr niveles de eficiencia y eficacia en los procesos que se llevan a cabo, 

convirtiendo al Internet en una herramienta de ayuda y apoyo a las actividades diarias 

de los empleados que contribuyen para alcanzar las metas de negocio. 

Sin embargo, el uso de estas herramientas en forma desmedida o incontrolada pueden 

ocasionar riesgos graves para la productividad o imagen de la Institución, lo cual obliga 

a implementar controles que tiendan a minimizar o reducir los riesgos identificados. 

2. OBJETIVOS 

Establecer los lineamientos y guías necesarias para asignar y conceder acceso a 

Internet a los funcionarios de la Institución, normando su uso. 

3. ÁMBITO DE APLICACIÓN 

El presente reglamento deberá ser observado y aplicado por: 

 

 

 

 

 

Todo el personal de la empresa que cuente con acceso a Internet, quienes deberán 

entender y cumplir con los lineamientos del presente documento. 

El Área de Tecnología que deberá asegurar que la configuración de los sistemas de 

acceso a Internet, así como, filtrado o monitoreo, refuercen y apoyen los 

lineamientos citados en este documento. 

Los Oficiales de Seguridad de Tecnología quienes serán responsables de asignar 

los perfiles de acceso de los funcionarios de la Organización a Internet. 

Las Gerencias de División son responsables de solicitar el acceso a Internet al 

personal a su cargo, luego de realizar el respectivo análisis para verificar que el 

acceso a estas herramientas sirva para cumplir con responsabilidades del puesto. 

Las Gerencias de División son responsables sobre el uso que el personal a su 

cargo con acceso a Internet. 


Cada individuo es responsable de las actividades relacionadas al Uso de Internet en su 

maquina o con su Id de usuario que le corresponde, además debe comprender el 

contenido y la ejecución de los lineamientos expuestos en el documento. 

Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 


Tecnología 


Riesgo 

Auditoria 

Gerencia de 

Tecnología 


Centro de Servicios





GT-REG-009-07 



Pág.: 3 de 6 


Los Oficiales de Seguridad de Tecnología designados por el Jefe del Área serán 

responsables del monitoreo y cumplimiento organizacional del Reglamento de Uso de 

Internet. En el caso de infracciones a los lineamientos, son responsables de informar 

sobre los mismos a las Gerencias correspondientes. De requerirse, la responsabilidad 

incluye la concienciación y entendimiento de la misma a nivel organizacional. 

4. USO DE INTERNET 

Para brindar un servicio de acceso a Internet seguro y apropiado a los usuarios que lo 

requieran, se debe conocer y obedecer a los lineamientos de Acceso al servicio, Uso 

aceptable, Actividades no apropiadas, Navegación segura y monitoreo. 

Este reglamento no abarca todos los aspectos negativos en los que se pueda incurrir en 

la utilización de Internet. Por lo tanto, toda actividad que viole la ley, las regulaciones o el 

reglamento interno de trabajo o que perjudique el desempeño de la red, la imagen o las 

relaciones con los clientes y demás empleados, así no se mencionen o incluyan dentro 

de este documento, se entenderán comprendidas en éste. 

4.1. Acceso al servicio 

El acceso a Internet deberá ser solicitado por escrito por la Gerencia de División 

respectiva, especificando el tipo de acceso requerido y las horas a las que se requiere el 

acceso a Requerimientos Tecnología para su validación y ejecución por parte del Área 

de Seguridad de Tecnología. 

Únicamente deberán tener acceso al uso de Internet en horarios de trabajo aquellos 

funcionarios que necesiten esta herramienta para llevar a cabo normalmente sus tareas 

diarias. 

4.2. Uso aceptable 

 

 

 

 

Los usuarios autorizados a usar Internet deben hacerlo únicamente en 

actividades relacionadas a su trabajo. 

Cada persona es responsable de sus actividades y el uso que de a los recursos 

a los que tiene acceso 

El uso de este recurso para necesidades personales debe ser limitado a horas 

no laborables en el caso que esto sea permitido por su jefe inmediato. 

El acceso a los recursos de Internet se encontrara limitado en base a 

lineamientos de Filtrado de contenido y a los horarios de acceso establecidos 

en la misma. 


Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 


Tecnología 


Riesgo 

Auditoria 

Gerencia de 

Tecnología 


Centro de Servicios





GT-REG-009-07 



Pág.: 4 de 6 


4.3. Actividades no apropiadas: 

Los usuarios con acceso a los recursos de Internet provistos por la empresa no deben: 

 

 

 

 

 

 

 

 

 

 

Visitar sitios cuyo contenido sea ofensivo (Racismo, Intolerancia, Agresividad, 

etc.) 

Buscar información que contenga o pueda afectar en cualquier sentido a la 

empresa o sus actividades 

Acceder o publicar cualquier información referente a, o que contenga 

Pornografía moderada o explicita (Incluye imagines de desnudos parciales o 

totales que puedan o no incluir acto sexual) 

Publicar información de la empresa en medios electrónicos, sin que esta haya 

sido revisada y aprobada. 

Usar el computador o su acceso a Internet para perpetrar cualquier tipo de 

fraude o piratería tanto de software como de video o música 

Realizar cualquier actividad comercial (legal o ilegal), no relacionada a la 

empresa 

Usar el sistema para enviar material ofensivo o acosador a otros usuarios 

dentro o fuera de la empresa. 

Realizar cualquier actividad deliberada que consuma los recursos de la red 

(ancho de banda, acceso a otros servidores, etc.), como la descarga de 

archivos de gran tamaño. Ej. videos, audio, software legal de gran tamaño 

Descargar archivos o programas como: 

o Software gratuito, con o sin licencia. 

o Software de prueba 

o Archivos de video o audio como, pero sin limitarse a: mp3, mpg4, avi, 

ogg, etc. 

o Archivos de Imágenes, fondos de pantalla o similares 

o Utilitarios 

Intentar acceder sin autorización a los sitios o servicios prohibidos, mediante la 

utilización de herramientas que permitan evadir los controles o cualquier otro 

medio no permitido o legítimo. 

4.4. Navegación segura en Internet 

 

 

 

No debe entrar o visitar sitios de procedencia desconocida o de dudosa. 

No debe hacer clic en anuncios comerciales de ningún tipo, ninguna ventana 

emergente (aun cuando la misma reporte daños o problemas en su estación de 

trabajo). 

No debe usar los computadores de la empresa para navegación recreativa. 


Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 


Tecnología 


Riesgo 

Auditoria 

Gerencia de 

Tecnología 


Centro de Servicios





GT-REG-009-07 



Pág.: 5 de 6 


 

 

 

 

 

 

No debe descargar o ejecutar aplicaciones de Internet, estas pueden ser de 

muy alto riesgo para la red. En el caso de requerir la descarga o instalación de 

una aplicación, envíe el requerimiento con el permiso de su Gerencia a 

Requerimientos Tecnología. 

No debe descargar o instalar protectores de pantalla provistos en Internet. 

No debe usar Servidores para navegar por Internet bajo ningún concepto. 

No debe instalar “PLUGINS” de terceros en el Explorador de Internet sin 

aprobación explicita. (Ver Excepciones) 

No debe entregar o escribir información confidencial como contraseñas, 

números de tarjetas de créditos, nombres de clientes, teléfonos u otros 

similares en formularios, foros de discusión, blogs, etc. 

Si accede a una página que considere tiene un contenido ofensivo, agresivo o 

inapropiado, debe reportarlo inmediatamente a Help Desk Tecnología. 

4.5. Monitoreo y filtrado 

La Gerencia de Tecnología monitorea el volumen de tráfico y registra los sitios visitados 

por cada colaborador con acceso a Internet. El contenido específico de las 

transacciones o navegación no será monitoreado a menos que exista una sospecha 

sobre su uso en forma inapropiada. 

Con el objetivo de mejorar el uso de este servicio, el tráfico será filtrado y el acceso a 

contenido que sea considerado no necesario para el desempeño de las actividades 

diarias, será restringido. 

4.6. Acciones 

En el caso de que el usuario requiera soporte para eliminar información o desinstalar 

aplicativos que estén en contra de los lineamientos expuestos, puede solicitar soporte a 

Help Desk Tecnología. 

Cualquier incidente o actividad irregular, extraña o dudosa de la estación de trabajo, 

computador personal, sistema operativo o aplicativo, relacionado o causado por 

actividad en Internet, debe ser reportada, inmediatamente a Help Desk Tecnología. 

Si es necesario reportar actividad de cualquier tipo que vaya en contra de estos 

lineamientos, se debe enviar la información necesaria por correo electrónico al Área de 

Seguridad de Tecnología. 


Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 


Tecnología 


Riesgo 

Auditoria 

Gerencia de 

Tecnología 


Centro de Servicios





GT-REG-009-07 



Pág.: 6 de 6 


5. EXCEPCIONES 

Si por algún motivo, un usuario requiera, navegar en Internet de forma que no se estén 

estipulada en los lineamientos de este documento, debe presentar justificación y 

aprobación escrita de la Gerencia de División a la que pertenece. 

La descarga de información, archivos o programas con o sin licencia, licencia de 

pruebas o licencia universal, ya sea por motivos de prueba o uso temporal debe tener el 

la justificación y aprobación escrita de la Gerencia de División correspondiente y 

aceptación del Área de Seguridad del Departamento de Tecnología. 


Revisado por: 

Revisado por: 

Revisado por: 

Aprobado por: 

Seguridad de 


Tecnología 


Riesgo 

Auditoria 

Gerencia de 

Tecnología 


Centro de Servicios

REGLAMENTO INTERNO DE 

HIGIENE Y SEGURIDAD 

2017

REGLAMENTO DE SEGURIDAD Y SALUD OCUPACIONAL 

BANCO DINERS CLUB DEL ECUADOR S.A. 

1

DATOS GENERALES DE LA ORGANIZACIÓN 

1. OBJETIVOS DEL REGLAMENTO 

1. Registro Único de 

Contribuyente 1790283380001 

2. Razón Social 

Banco Diners Club del 

Ecuador 

Actividades de Bancos 

3. Actividad Económica 

Especializados que Atiende 

al Segmento de Consumo 

4. Tamaño con la Empresa Grande 

5. Centros de Trabajo 5 

Dirección Matriz: 

Av. Amazonas N° 4560 

6. Dirección 

Intersección Alfonso 

Pereira 

OBJETIVOS Y AMBITO DE APLICACION 

El presente reglamento tiene por objeto establecer normas de carácter general y específico con relación a las 

condiciones de Seguridad y Salud en las actividades de trabajo que desarrollan los Colaboradores de Banco 

Diners Club del Ecuador S.A.: 

a. Estimular y fomentar una cultura de seguridad en el trabajo entre los Colaboradores, para prevenir 

accidentes de trabajo y enfermedades ocupacionales mediante el control de los riesgos que se derivan 

del trabajo. 

b. Cumplir con las normas legales de Seguridad y Salud Ocupacional aplicables a la Organización. 

c. Contar con un Manual de Emergencias que prevea los principales riesgos que puedan estar expuestos los 

Colaboradores, las medidas preventivas tomadas para evitarlos y en caso que se suscite una emergencia 

como actuar para enfrentarla. 

d. Desarrollar medidas preventivas para evitar accidentes de contratistas y visitas. 

El Reglamento Interno de Seguridad y Salud Ocupacional describe “lo que es obligatorio hacer”, aplicable y 

desarrollado para ser complementado con los procedimientos internos de la Organización. 

2. AMBITO DE APLICACIÓN 



2

El presente Reglamento de higiene y Seguridad se aplica a todas las ramas de las actividades laborales que 

sean ejecutadas por los trabajadores de la empresa Banco Diners Club del Ecuador S.A., dentro de los límites 

previstos en el Código de Trabajo vigente en la República del Ecuador. 

POLÍTICA DE SEGURIDAD Y SALUD 

Banco Diners Club del Ecuador S.A. Banco Diners Club del Ecuador S.A. es una empresa dedicada a la 

intermediación financiera, estando autorizada a operar como Banco Especializado en el Segmento de 

Consumo, autorizado a realizar las operaciones descritas en el Art. 194 del Código Orgánico Monetario y 

Financiero, en función a las resoluciones emitidas por la Junta de Política y Regulación Monetaria y Financiera. 

Sus actividades se sustentan en la confianza de los actuales y potenciales clientes, organismos de control 

público, aliados estratégicos, proveedores, comunidades y la opinión pública. Para el desarrollo de sus 

actividades, Diners Club considera que su capital más importante son sus Colaboradores, por lo cual es 

prioridad de la Organización mantener buenas condiciones de seguridad y salud en el trabajo, así como 

mantener al personal motivado y comprometido con la prevención de los riesgos del trabajo, para lo cual ha 

establecido la siguiente política: 

1. Proteger la salud y seguridad de los Colaboradores, así como de los clientes, proveedores y visitas. 

2. Cumplir con la normativa de seguridad y salud en el trabajo, aplicables a nuestras actividades. 

3. Propiciar la mejora continua en la prevención de riesgos, implementando un sistema de gestión de 

seguridad y salud en el trabajo, así como procedimientos de control para riesgos específicos, a través del 

cual, se involucra a todos los Colaboradores de la Organización en la identificación de los peligros y 

evaluación de sus riesgos para poder tomar medidas para el control de los mismos. 

4. Promover y motivar en nuestro personal la prevención de los riesgos del trabajo en todas sus 

actividades, mediante la comunicación y participación en las medidas para el control de los mismos. 

5. Fomentar y garantizar las condiciones de seguridad, salud e integridad física, mental y social de los 

Colaboradores durante el desarrollo de las labores en el centro de trabajo y en todos aquellos lugares a 

los que se le movilice por necesidad del servicio, siendo uno de sus objetivos principales evitar riesgos y 

accidentes de trabajo, así como las enfermedades ocupacionales. 

6. Promover y fomentar actividades preventivas en relación al consumo de sustancias psicotrópicas y 

estupefacientes 

Para ello la empresa se compromete a: 

Apoyar el desarrollo de los programas preventivos, destinar recursos financieros, materiales y personal 

calificado, además de evaluar periódicamente su cumplimiento. 



3

1.- OBLIGACIONES GENERALES DEL EMPLEADOR 

CAPITULO I 

DISPOSICIONES REGLAMENTARIAS 

a) Formular la Política de la Organización y hacerla conocer a todos sus Colaboradores. Establecer los 

objetivos, recursos, responsables y programas en materia de Seguridad y Salud Ocupacional. 

b) Identificar y evaluar los riesgos, en forma inicial y periódica, con la finalidad de planificar 

adecuadamente las acciones preventivas, mediante sistemas de vigilancia epidemiológica ocupacional 

específicos u otros sistemas similares, basados en una matriz de riesgos. 

c) Combatir y controlar los riesgos en su origen, en el medio de transmisión y en el Colaborador, 

privilegiando el control colectivo al individual. En caso de que las medidas de prevención colectivas 

resulten insuficientes, la Organización deberá proporcionar, sin costo alguno para el Colaborador, la 

ropa de trabajo y los equipos de protección individual. 

d) Mantener en buen estado de servicio las instalaciones, máquinas, herramientas y materiales para un 

trabajo seguro. 

e) Fomentar la adaptación del trabajo y de los puestos de trabajo a las capacidades de los Colaboradores, 

acorde a su estado de salud física y mental, teniendo en cuenta la ergonomía y las demás disciplinas 

relacionadas con los diferentes tipos de riesgos psicosociales en el trabajo. 

f) Informar a los Colaboradores por escrito y por cualquier otro medio sobre los riesgos laborales a los 

que están expuestos y capacitarlos a fin de prevenirlos, minimizarlos y eliminarlos. 

g) Instruir a los nuevos Colaboradores que ingresan a laborar en la Organización sobre los riesgos en su 

puesto de trabajo y cómo prevenirlos. 

h) Capacitar en materia de prevención de riesgos a los Colaboradores de la Organización, con especial 

atención a las Gerencias y Líneas de Supervisión, a través de capacitación interna y/o externa; regular y 

periódica. 

i) Capacitar a los Colaboradores que ingrese a las áreas de alto riesgo. 

j) Organizar y facilitar los Servicios Médicos, Comités y Áreas de Seguridad y Salud Ocupacional, según el 

número de Colaboradores y la naturaleza de sus actividades, con sujeción a las normas legales 

vigentes. 

k) Especificar en el Reglamento interno de Seguridad y Salud Ocupacional, las facultades y deberes de las 

Gerencias y Líneas de Supervisión, en orden a la prevención de los riesgos de trabajo. 

l) El Reglamento Interno de Seguridad y Salud Ocupacional, deberá ser revisado y actualizado 

periódicamente con la participación del área de Seguridad y Salud Ocupacional y representantes de los 

Colaboradores (Comité SSO) y, en todo caso, siempre que las condiciones laborales se modifiquen. 

m) Proveer a los representantes de los Colaboradores un ejemplar del presente Reglamento y de cuantas 

normas relativas a prevención de riesgos sean de aplicación en el ámbito de la Organización. Así 

mismo, entregar a cada Colaborador un ejemplar del Reglamento Interno de Seguridad y Salud de la 

Organización, dejando constancia de dicha entrega. 



4

n) Cumplir las disposiciones de este Reglamento y demás normas vigentes en materia de prevención de 

riesgos. 

o) Efectuar evaluaciones médicas periódicas de los Colaboradores cuando sufran dolencias, defectos 

físicos o se encuentren en estados o situaciones que no respondan a las exigencias psicofísicas de los 

respectivos puestos de trabajo. 

p) Mantener un sistema de registro y notificación de los accidentes de trabajo y enfermedades 

profesionales y de los resultados de las evaluaciones de riesgos realizadas y las medidas de control 

propuestas, registro al cual tendrán acceso las autoridades correspondientes, representante legal y 

Colaborador. 

q) Investigar y analizar los accidentes y enfermedades de trabajo, con el propósito de identificar las 

causas que los originaron y adoptar acciones correctivas y preventivas tendientes a evitar la ocurrencia 

de hechos similares. 

r) Dar aviso a las autoridades de trabajo y al Instituto Ecuatoriano de Seguridad Social, de los accidentes y 

enfermedades ocupacionales ocurridas en sus centros de trabajo y entregar una copia al Comité de 

Seguridad y Salud Ocupacional de la Organización. 

s) Comunicar al Comité de Seguridad y Salud Ocupacional, todos los informes que reciban respecto a la 

prevención de riesgos. 

t) Cuando un Colaborador, como consecuencia del trabajo, sufre lesiones o puede contraer enfermedad 

ocupacional, dentro de la práctica de su actividad laboral ordinaria, según dictamen de la Comisión de 

Evaluaciones de incapacidad del IESS o del facultativo del Ministerio del Trabajo, para no afiliados, el 

patrono deberá ubicarlo en otra sección de la Organización, previo consentimiento del Colaborador y 

sin mengua a su remuneración. 

u) La renuncia para la reubicación se considerará como omisión a acatar las medidas de prevención y 

seguridad de riesgos. 

v) Adoptar las medidas necesarias para el cumplimiento de las recomendaciones dadas por el Comité de 

Seguridad y Salud Ocupacional, Servicios Médicos o Área de Seguridad y Salud Ocupacional. 

w) Facilitar durante las horas de trabajo la realización de inspecciones, en esta materia, tanto a cargo de 

las autoridades administrativas como de los órganos internos de la Organización. 

2. Obligaciones Generales y Derechos de los Trabajadores 

Los trabajadores tienen las siguientes obligaciones en materia de prevención de riesgos laborales: 

a) Cumplir con las normas, reglamentos e instrucciones de los programas de Seguridad y Salud 

Ocupacional que se apliquen en el lugar de trabajo. 

b) Cooperar en el cumplimiento de las obligaciones que competen a la Organización. 

c) Usar adecuadamente los equipos y materiales de trabajo entregados para desarrollar sus actividades 

laborales. 



5

d) No operar o manipular equipos, herramientas u otros elementos para los cuales no hayan sido 

autorizados y, en caso de ser necesario, capacitarlos. 

e) Informar a sus Líneas de Supervisión acerca de cualquier situación de trabajo que pueda poner en 

peligro la vida o la salud de los Colaboradores. 

f) Cooperar y participar en el proceso de investigación de los accidentes de trabajo y las enfermedades 

profesionales cuando la autoridad competente o el área de Seguridad y Salud Ocupacional con 

información que ayude al esclarecimiento de las causas que los originaron. 

g) Velar por el cuidado integral de su salud física y mental, así como por el de los demás Colaboradores 

durante el desarrollo de sus labores. 

h) Informar sobre cualquier dolencia que sufran y que se haya originado como consecuencia de las 

labores que realizan o de las condiciones y ambiente de trabajo. El Colaborador debe informar al 

médico tratante las características detalladas de su trabajo, con el fin de inducir la identificación de la 

relación causal o su sospecha. 

i) Someterse a los exámenes médicos establecidos, los que estén obligados por norma expresa así como 

a los procesos de rehabilitación integral. 

j) Participar en los organismos paritarios, en los programas de capacitación (brigadas de emergencia, 

prevención de riesgos, entre otros) y otras actividades destinadas a prevenir los riesgos laborales que 

organice la Organización o la autoridad competente. 

k) Participar en el control de desastres, prevención de riesgos y mantenimiento de la higiene en los 

locales de trabajo cumpliendo las normas vigentes. 

l) Usar correctamente los equipos de protección personal y colectiva proporcionados por la Organización 

y cuidar de su conservación. 

m) Informar a la Organización de las averías y riesgos que puedan ocasionar accidentes de trabajo. 

n) Cuidar de su higiene personal para prevenir al contagio de enfermedades. 

o) Someterse a los reconocimientos médicos periódicos programados por la Organización. 

p) El Colaborador debe dejar ordenado su puesto de trabajo. 

Todos los Trabajadores tienen derecho a: 

a) Desarrollar sus labores en un ambiente de trabajo adecuado y propio para el pleno ejercicio de sus 

facultades físicas y mentales, que garanticen su salud, seguridad y bienestar. Los derechos de consulta, 

participación, formación, vigilancia y control de la salud en materia de prevención, forman parte del 

derecho de los Colaboradores a una adecuada protección en materia de seguridad y salud ocupacional. 

b) Los Colaboradores tienen derecho a estar informados sobre los riesgos laborales vinculados a las 

actividades que realizan. Complementariamente, la Organización comunicará la información necesaria 

a los Colaboradores y sus representantes sobre las medidas que se ponen en práctica para 

salvaguardar la seguridad y salud de los mismos. 

c) Los Colaboradores o sus representantes tienen derecho a solicitar a la autoridad competente la 

realización de una inspección al centro de trabajo, cuando consideren que no existen condiciones 



6

adecuadas de seguridad y salud en el mismo. Este derecho comprende estar presentes durante la 

realización de la respectiva diligencia y, en caso de considerarlo conveniente, dejar constancia de sus 

observaciones en el acta de inspección. 

d) Sin perjuicio de cumplir con sus obligaciones laborales, los Colaboradores tienen derecho a interrumpir 

su actividad cuando observen que existe un peligro inminente que ponga en riesgo su seguridad o la de 

sus compañeros de trabajo. En tal supuesto, no podrán sufrir perjuicio alguno, a menos que hubieran 

cometido negligencia grave. 

e) Los Colaboradores tienen derecho a cambiar de puesto de trabajo o de tarea de forma temporal o 

permanente cuando el ente de control lo determine por razones de salud, rehabilitación o reinserción. 

f) Los Colaboradores tienen derecho a la información y formación continua en materia de prevención y 

protección de la salud en el trabajo. 

3.- Prohibiciones al Empleador y Trabajador 

De conformidad con la normativa legal vigente, el Banco Diners Club del Ecuador S.A. está prohibido de: 

a) Obligar a sus Colaboradores a laborar en ambientes insalubres por efecto de polvo, gases o sustancias 

tóxicas; salvo que previamente se adopten las medidas preventivas necesarias para la defensa de la 

salud. 

b) Permitir a los Colaboradores que realicen sus actividades en estado de embriaguez o bajo la acción de 

cualquier tóxico. 

c) Facultar al Colaborador el desempeño de sus labores sin el uso de la ropa de trabajo y equipo de 

protección individual. 

d) Permitir el trabajo en máquinas, equipos, herramientas o locales que no cuenten con los mecanismos 

de protección u otras seguridades que garanticen la integridad física de los Colaboradores. 

e) Transportar a los Colaboradores en vehículos inadecuados. 

f) Dejar de cumplir las disposiciones sobre prevención de riesgos dictadas por la Ley, Reglamentos y las 

disposiciones de la Dirección de Seguridad y Salud del Ministerio del Trabajo o de Riesgos del Trabajo 

del IESS. 

g) Dejar de acatar las indicaciones contenidas en los certificados emitidos por la Comisión de Valuación 

de las Incapacidades del IESS sobre cambio temporal o definitivo de los Colaboradores, en las 

actividades o tareas que puedan agravar sus lesiones o enfermedades adquiridas dentro de la propia 

empresa. 

h) Permitir que el Colaborador realice una labor riesgosa para la cual no fue entrenado previamente. 

Los trabajadores y trabajadoras del Banco Diners Club del Ecuador S.A. están prohibidos de: 

a) Efectuar trabajos sin el debido entrenamiento previo para la labor que van a realizar. 



7

) Introducir en el lugar de trabajo bebidas alcohólicas o sustancias estupefacientes, consumirlas, 

presentarse o permanecer en el trabajo bajo el influjo de aquellas. 

c) Fumar o prender fuego dentro de las instalaciones o en sitios señalados como peligrosos para prevenir 

incendios, explosiones o daños en las instalaciones de la Organización. 

d) Distraer la atención en sus labores con juegos, riñas y discusiones que puedan ocasionar accidentes. 

e) Alterar, cambiar, reparar o accionar equipos, instalaciones, sistemas eléctricos, sistemas contra 

incendios, entre otros, sin conocimientos técnicos o sin previa autorización. 

f) Modificar o dejar inoperantes mecanismos de protección de equipos o instalaciones que generen 

riesgo para las personas. 

g) No acatar las instrucciones indicadas en procedimientos y señaléticas de Seguridad y Salud 

Ocupacional para la prevención de riesgos en el trabajo. 

4.- Responsabilidades de los Gerentes, Jefes y Supervisores 

Responsabilidades del Representante Legal 

El representante legal asume la plena responsabilidad de la Seguridad y la Salud Ocupacional de los 

trabajadores de la Empresa determinando en la Política de Seguridad, el financiamiento de los programas de 

Higiene y Seguridad; y la evaluación periódica de su cumplimiento. 

Responsabilidades de jefes y Supervisores 

De los distintos niveles de jefaturas y de supervisores de la empresa, además de las responsabilidades 

asignadas por el Representante Legal, tienen la responsabilidad de: 

a) Velar por el cumplimiento de todos los procedimientos relativos a la Seguridad y Salud Ocupacional de 

los Colaboradores a su cargo informando cualquier condición y/o acción insegura que hayan sido 

identificadas o informados por los Colaboradores. 

b) Instruir a los Colaboradores a su cargo sobre los riesgos específicos de los distintos puestos de trabajo 

y las medidas de prevención a adoptar. 

c) Prohibir o paralizar los trabajos de mantenimiento de instalaciones o después de una emergencia para 

prevenir accidentes en los que se adviertan riesgos inminentes, cuando no sea posible el empleo de los 

medios adecuados para evitarlos. Paralizado el trabajo, se comunicará de inmediato al área de 

Seguridad y Salud Ocupacional, quien asumirá la responsabilidad de la decisión que en definitiva se 

adopte. 

5. Obligaciones y responsabilidades de los técnicos, responsables o asesores de los servicios en materia de 

Higiene y Seguridad en el trabajo 

Obligaciones del Responsable de Higiene y Seguridad en el Trabajo: 



8

a. Dar el apoyo técnico a todo el personal directivo de la Organización, teniendo como misión esencial la 

aplicación de los principios de la Higiene y Seguridad del trabajo, el cumplimiento de las políticas, la 

ejecución de los programas, la observación de los reglamentos y procedimientos y la comunicación 

entre los diferentes niveles de decisión de la empresa. 

b. Asesorar al representante legal de la empresa en el área de Higiene y Seguridad en el trabajo, e 

informar continuamente sobre el desarrollo y resultados de esta gestión. 

c. Velar por el cumplimiento y práctica de las normas y procedimientos de Higiene y Seguridad del 

Trabajo, impulsando la implementación de planes, programas y cursos de adiestramientos y 

capacitación en forma continua y para todo el personal de la empresa. 

Responsabilidades del Responsable de Higiene y Seguridad en el Trabajo: 

a. Recopilara y procesara la información para la elaboración y difusión de los registros estadísticos de 

seguridad en la compañía. 

b. Participar en la investigación de accidentes y preparar informes para los directivos. 

c. Visitar e inspeccionar periódicamente las instalaciones, edificios, sitios de trabajo de la empresa 

evaluando acciones inseguras, posibles causas de accidentes y anomalías diversas en relación con la 

Higiene y Seguridad del Trabajo. 

d. Colaborar en la constante actualización en los Planes de Emergencia y de Contingencia, y si correcta 

ejecución. 

e. Vigilar el cumplimiento del Reglamento de Higiene y Seguridad del Trabajo y la difusión de los 

procedimientos, planes y programas. 

d. Colaborar activamente con el Comité de Higiene y Seguridad del Trabajo en sus Actividades y 

responsabilidades. 

6. Obligaciones de contratistas, subcontratistas, fiscalizadores, proveedores, otros. 

Las obligaciones y prohibiciones que se señalan en el presente Reglamento para los empleadores, son también 

aplicables a los contratistas, subcontratistas, fiscalizadores, proveedores, enganchadores, intermediarios y en 

general a todas las personas que den o encarguen trabajos para otra persona natural o jurídica, con respecto a 

sus trabajadores. 

7. Responsabilidades y obligaciones en espacios compartidos entre empresas o instituciones 

Con base en la Resolución No. C.D. 513 Reglamento del seguro general del riesgos del trabajo, siempre que 

dos o más instituciones desarrollen simultáneamente actividades en un mismo lugar de trabajo, los 

empleadores serán solidariamente responsables por la aplicación de las medidas de prevención de riesgos 

laboréales. Dichas medidas serán equitativas y complementariamente asignadas y coordinadas entre las 

organizaciones, de acuerdo a los factores de riesgo a que se encuentren expuestos los colaboradores. Igual 

procedimiento se seguirá con contratistas y subcontratistas. 



9

8. Incentivos laborales 

Las o los trabajadores que realicen una eficiente labor de prevención de riesgos se harán acreedoras a 

menciones honoríficas y premios, por concepto de prevención de riesgos del trabajo, dichos galardones y 

premios pecuniarios serán formalizados como política interna de la empresa y las metas serán fijadas 

semestralmente en el cronograma semestral y anual de actividades de prevención de riesgos de la empresa, 

todos estos aprobados por la Alta Dirección. 

1.- Organismos paritarios, funciones y conformación 

CAPITULO II 

GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO 

Funciones del Comité Paritario: 

a. Promover la observancia de las disposiciones sobre prevención de riesgos profesionales. 

b. Analizar y opinar sobre el Reglamento de Seguridad y Salud de la empresa, a tramitarse en el Ministerio de 

Relaciones Laborales. Así mismo, tendrá facultad para, de oficio o a petición de parte, sugerir o proponer 

reformas al Reglamento Interno de Higiene y Seguridad de la empresa. 

c. Realizar la inspección general de edificios, instalaciones y equipos de los centros de trabajo, recomendando 

la adopción de las medidas preventivas necesarias. 

d. Conocer los resultados de las investigaciones que realicen organismos especializados, sobre los accidentes 

de trabajo y enfermedades profesionales, que se produzcan en la Banco Diners Club del Ecuador S.A. 

e. Realizar sesiones mensuales, y dejar constancia de los temas tratados en cada reunión, los cuales serán de 

obligatorio seguimiento dentro del sistema de gestión. 

f. Cooperar y realizar campañas de prevención de riesgos y procurar que todos los trabajadores reciban una 

formación adecuada en dicha materia. 

g. Analizar las condiciones de trabajo en la empresa y solicitar a sus directivos la adopción de medidas de 

Salud y Seguridad en el Trabajo. 

h. Vigilar el cumplimiento del presente Reglamento y del Reglamento Interno de Seguridad y Salud en el 

Trabajo 

Conformación del Comité Paritario: 

El Comité de Higiene y Seguridad del Trabajo estará integrado por tres representantes de los trabajadores y 

por tres representantes del empleador, quienes de entre sus miembros designarán un Presidente y Secretario 

que durarán un año en sus funciones pudiendo ser reelegidos indefinidamente. 

Si el Presidente representa al empleador, el Secretario representará a los trabajadores y viceversa. Cada 

representante tendrá un suplente elegido de la misma forma que el titular y que será principalizado en caso 

de falta o impedimento de éste. 

Concluido el período para el que fueron elegidos deberá designarse al Presidente y Secretario. 

Requisitos para ser miembro del Comité Paritario: 



10

a. Para ser miembro del Comité se requiere ser mayor de edad, saber leer y escribir y tener conocimientos 

básicos de Higiene y Seguridad o estar plenamente dispuesto a capacitarse sobre dicho sistemas. 

b. Los representantes de los trabajadores serán elegidos por mayoría simple de los trabajadores, la misma que 

será registrada mediante un acta en la cual deberán constar las firmas de los asistentes, quienes en número 

deberán ser al menos la mitad más uno. 

c. Los titulares del Servicio Médico de Empresa y del Departamento de Seguridad, serán componentes del 

Comité, actuando con voz y sin voto. 

d. Todos los acuerdos del Comité se adoptarán por mayoría simple y en caso de igualdad de las votaciones, se 

repetirá la misma hasta por dos veces más, en un plazo no mayor de ocho días. De subsistir el empate se 

recurrirá a la decisión de los Jefes de Riesgos del Trabajo de las jurisdicciones respectivas del IESS. 

e. Las actas de constitución del Comité serán comunicadas por escrito al Ministerio de Trabajo y Empleo y al 

IESS, así como al empleador y a los representantes de los trabajadores. Igualmente se remitirá durante el mes 

de enero, un informe anual sobre los principales asuntos tratados en las sesiones del año anterior. 

f. El Comité sesionará ordinariamente cada mes y extraordinariamente cuando ocurriere algún accidente 

grave o al criterio de/ Presidente o a petición de la mayoría de sus miembros. 

g. Las sesiones deberán efectuarse en horas laborables. 

h. Los miembros del Comité durarán en sus funciones un año, pudiendo ser reelegidos indefinidamente 

Funciones del Presidente del Comité de Higiene y Seguridad 

Son funciones del Presidente del Comité de Higiene y Seguridad de la empresa son: 

a. Convocar y presidir las reuniones ordinarias y extraordinarias. 

b. Elaborar el informe de labores anual que lo pondrá a consideración del Comité de Higiene y Seguridad para 

la aprobación respectiva. 

Funciones del Secretario del Comité de Higiene y Seguridad 

Son funciones del Secretario del Comité de Higiene y Seguridad Ocupacional: 

a. Tomar nota de todo lo tratado en las sesiones ordinarias y extraordinarias, elaborar las actas respectivas y 

luego de aprobadas firmar conjuntamente con el Presidente. 

b. Certificar de manera conjunta con el Presidente los documentos que se expidan. 

2.- Unidad de seguridad e higiene del trabajo y/o responsable de seguridad y salud en el trabajo, funciones y 

conformación 

En las empresas permanentes que cuenten con cien o más Colaboradores estables, se deberá contar con un 

área de Seguridad y Salud Ocupacional, dirigida por un técnico en la materia que reportará a la más alta 

autoridad de la Organización. 

Funciones de la Unidad de Seguridad y Salud Ocupacional 

a) Identificación y evaluación de riesgos. 

b) Control de Riesgos ocupacionales. 

c) Entrenamiento de los Colaboradores. 



11

d) Registro de la accidentalidad, ausentismo y evaluación estadística de los resultados. 

e) Asesoramiento técnico, en materias de control de incendios, almacenamientos adecuados, 

instalaciones eléctricas, primeros auxilios, control y educación sanitaria, ventilación, protección 

personal y demás materias contenidas en el presente Reglamento. 

f) Colaborar en la prevención de riesgos; que efectúen los organismos del sector Público y comunicar los 

accidentes y enfermedades ocupacionales que se produzcan, al Comité de Seguridad y Salud 

Ocupacional. 

g) Llevar la estadística de todos los accidentes producidos, según el formulario del IESS. 

Responsabilidades del Responsable de Higiene y Seguridad en el Trabajo: 

a) Recopilara y procesara la información para la elaboración y difusión de los registros estadísticos de 

seguridad en la compañía. 

b) Participar en la investigación de accidentes y preparar informes para los directivos de la Banco Diners 

Club del Ecuador S.A. 

c) Visitar e inspeccionar periódicamente las instalaciones, edificios, sitios de trabajo de la empresa 

evaluando acciones inseguras, posibles causas de accidentes y anomalías diversas en relación con la 

Higiene y Seguridad del Trabajo. 

d) Autorizar y supervisar los trabajos eventualmente peligrosos, dictando las medidas de Higiene y 

Seguridades del trabajo específicas y necesarias, para prevenir accidentes y dar las instrucciones al 

personal para el uso y funcionamiento adecuado del equipo de protección personal (EPP). 

e) Colaborar en la constante actualización en los Planes de Emergencia y de Contingencia, y su correcta 

ejecución. 

f) Vigilar el cumplimiento del Reglamento de Higiene y Seguridad del Trabajo y la difusión de los 

procedimientos, planes y programas; 

g) Colaborar activamente con el Comité de Higiene y Seguridad del Trabajo en sus Actividades y 

responsabilidades. 

h) Controlar los riesgos profesionales. 

i) Dar asesoramiento técnico, en materias de control de incendios, almacenamientos adecuados (de 

sustancias químicas), protección de maquinaria, primeros auxilios, instalaciones eléctricas, ventilación, 

protección personal y demás materias contenidas en el presente reglamento. 

j) Realizar el reconocimiento, evaluación inicial y periódica de todos los factores de riesgo de Banco 

Diners Club del Ecuador. 

k) Confeccionar y mantener actualizado un archivo con documentos técnicos de Higiene y Seguridad que 

sea presentado a los organismos de control cada vez que ello sea requerido 

3. Normas de gestión de riesgos laborales propios de la empresa: 

De acuerdo al Decreto Ejecutivo 2393, Capítulo V, Medio Ambiente y Riesgos Laborales por factores Físicos, 

Químicos y Biológicos, nos señala que las empresas deberán implementar mecanismos de Prevención de 

Riesgos del Trabajo, como medio de cumplimiento obligatorio de las normas legales o reglamentarias, 

haciendo énfasis en lo referente a la acción técnica. 



12

Existen riesgos asociados con cualquier actividad, pero no se pueden evaluar hasta no haberlos identificado. 

Se aplicará la mejora de procesos por la metodología del ciclo de Deming (PHVA), donde planificaremos, se 

realizará los planes de acción se verificara los resultados y según estos se realizará planes de acción para 

mejorar, por ello los puntos fundamentales son: 

a. Identificación: 

Se identificará las consecuencias específicas indeseables, las características de los materiales, sistemas, 

procesos, que pudieran producir riesgos laborales. 

b. Medición: 

Aplicaremos las metodologías apropiadas dependiendo el factor de riesgo a medir, en la empresa tenemos los 

siguientes factores de riesgos: 

c. Evaluación: 

La evaluación de los riesgos laborales es el proceso dirigido a estimar la magnitud de aquellos riesgos que no 

hayan podido evitarse, obteniendo la información necesaria para que el empresario esté en condiciones de 

tomar una decisión apropiada sobre la necesidad de adoptar medidas preventivas y, en tal caso, sobre el tipo 

de medidas que deben adoptarse. 

d. Control (Fuente, medio, receptor) 

Sobre el control de riesgo se analizará el funcionamiento, la efectividad y el cumplimiento de las medidas de 

protección, para determinar y ajustar sus deficiencias. 

Las actividades del proceso productivo propios de activad comercial, tienen que estar integradas en el plan 

operativo de la empresa, donde se definen los momentos de las intervenciones y los responsables de 

ejecución. 



13

En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado del control de 

riesgo, nos sirven como fuente de información, cuando se entra otra vez en el proceso de la Análisis de riesgo. 

Por ello se realizará un control en: 

La Fuente: identificación del riesgo en la raíz, en la cual se deberá cambiar o modificación de procesos. 

Medio: Una vez definido los riesgos se adquirirá se modificará los medios que eviten ese riesgo. 

Receptor: Se dotará al trabajador del EPP adecuados, capacitación, para minimizar el impacto de los 

posibles riesgos. 

e. Planificación 

Una vez llevada a cabo la evaluación de riesgos y en función de los resultados obtenidos, se procederá a 

planificar la acción preventiva para implantar las medidas pertinentes, incluyendo para cada actividad el plazo 

para llevarla a cabo, la designación de responsables y los recursos humanos, financieros y materiales 

necesarios para su ejecución. 

La planificación de la prevención deberá estar integrada en todas las actividades de la empresa y deberá 

implicar a todos los niveles jerárquicos. Dicha planificación se programará para un período de tiempo 

determinado medido y evaluado trimestralmente y se le dará prioridad en su desarrollo en función de la 

magnitud de los riesgos detectados y del número de trabajadores que se vean afectados. 

f. Ejecución 

Siguiendo el ciclo de Deming, se ejecutará las medidas de prevención planificadas de acuerdo al cronograma 

de actividades, tomando en cuenta los riesgos considerados críticos, con evaluaciones mensuales, 

trimestrales, semestrales y anuales, así mismo se realizara auditorías al sistema de gestión. 

g. Seguimiento y mejora continúa 

De la ejecución planificada, las evaluaciones, de las no conformidades encontradas en las auditorias se 

realizará un seguimiento de levantamiento de las mismas para evitar los riesgos encontrados por intermedio 

de la mejora de procesos. 

De la ejecución correcta de esta metodología de mejora de procesos, nos plantearemos nuevos objetivos al 

sistema de gestión y proceder a la mejora continua del sistema. 

4. Vigilancia de la Salud Ocupacional 

a. Exámenes médicos y de aptitud 

La empresa será responsable de que los trabajadores se sometan a los exámenes médicos per ocupacionales, 

periódicos y de retiro, acorde con los riesgos a que están expuestos en sus labores. Tales exámenes serán 

practicados, preferentemente, por médicos especialistas en salud ocupacional y no implicarán ningún costo 

para los trabajadores y, en la medida de lo posible, se realizarán durante la jornada de trabajo. 

Los exámenes médicos a realizar son los siguientes: 



14

1. Exámenes para admisión de personal o de ingreso. Estos exámenes se realizarán con el fin de determinar 

las condiciones de salud del trabajador al momento de su ingreso a la compañía, para prevenir la 

incompatibilidad entre él y los riesgos a que estará sometido en el cargo que desempeñe. Dicho examen se 

realizará a cada uno de los trabajadores que ingresan a la empresa. 

2. Exámenes periódicos. Se realizarán al personal con una periodicidad que dependerá de la evaluación de 

riesgos, para establecer los efectos causados por las fuentes de riesgo a los que han sido expuestos, estos 

exámenes se coordinarán con un Servicio Médico Externo, que elaborará un cronograma de trabajo antes del 

primer trimestre de cada año y llevará actualizada la carpeta de documentación de cada trabajador de la 

empresa. 

3. Exámenes médicos de reingreso (post-incapacidad). Su fin será el de establecer las condiciones de salud al 

reingreso, permitiendo así colaborar con la continuidad del tratamiento y prevenir incompatibilidades entre su 

nuevo estado y el desempeño de sus labores. 

4. Exámenes médicos de retiro. Estos tendrán por objetivo verificar las condiciones de salud del trabajador en 

el momento de su desvinculación. 

5. Exámenes de aptitud laboral: Estos tendrán el objetivo de verificar las aptitudes y actitudes del candidato a 

trabajador de la empresa para que puedan desarrollarse en el puesto de trabajo requerido 

Nota: Los trabajadores tienen derecho a conocer los resultados de los exámenes médicos, de laboratorio o 

estudios especiales practicados con ocasión de la relación laboral. Asimismo, tienen derecho a la 

confidencialidad de dichos resultados, limitándose el conocimiento de los mismos al personal médico, sin que 

puedan ser usados con fines discriminatorios ni en su perjuicio. Sólo podrá facilitarse al empleador 

información relativa a su estado de salud, cuando el trabajador preste su consentimiento expreso 

Del servicio médico de empresa 

En razón de reunir el número de trabajadores para instalar de manera permanente un servicio médico en la 

organización, y con la finalidad de cumplir con la prevención de enfermedades profesionales y desarrollar el 

programa de vigilancia de la salud de los trabajadores, se contará con la asistencia periódica de un médico con 

especialización en Seguridad y Salud, debidamente acreditado ante el Ministerio de Relaciones Laborales. 

b. Instrumental, equipos, mobiliario e insumos médicos 

Banco Diners Club del Ecuador S.A., acogiéndose al Acuerdo No. 1404 (Reglamento para el funcionamiento de 

los servicios médicos de empresas), Titulo II, Capítulo II, artículo 4, está obligado a contar con este servicio del 

cuidado de la salud de los trabajadores. Contará con un punto médico el mismo que cumplirá con lo 

estipulado en el Capítulo III, artículo 10, literales a y b. 

c. Promoción y educación 



15

La Promoción y educación para el adecuado mantenimiento de los servicios sanitarios generales, tales como: 

comedores, servicios higiénicos, suministros de agua potable y otros en los sitios de trabajo, se dispondrá de 

una hoja de mantenimiento y supervisión para su cuidado y su óptimo funcionamiento. 

Educar, informar y asesorar a personas y dictar charlas especializadas a personas de todos los niveles en los 

distintos temas relacionados con la salud. Realizar un seguimiento de los niveles de exposición: control 

biológico, además, identificar, valorar y dar seguimiento a los grupos vulnerables del Banco Diners Club del 

Ecuador S.A. 

d. Registros internos del servicio médico 

En la empresa se llevara un control de los pacientes – colaboradores que se hagan atender internamente ante 

el servicio médico, se tendrá en custodia las fichas medicas realizadas a todos los trabajadores con su 

respectivos análisis de salud, con ello tendremos estadísticas de morbilidad de los empleados. 

Identificar y conocer el medio ambiente de trabajo, la presencia de agentes químicos, físicos, biológicos, 

ergonómicos, psicosociales y otros factores de riesgo, así como la interacción con otros que pueden afectar la 

salud integridad y bienestar de los trabajadores. 

e. Prestación de primeros auxilios 

Todo trabajador tendrá acceso y se le garantizará el derecho a la atención de primeros auxilios en casos de 

emergencia derivados de accidentes de trabajo o de enfermedad común repentina. 

En la empresa aunque tendrá permanente el servicio médico, el empleador y en su ausencia, el responsable 

de higiene y seguridad será responsable de facilitar la prestación inmediata de atención médica inmediata de 

los trabajadores que por accidente de trabajo o enfermedad común repentina lo necesitaren, para ello se 

contará con el contingente de los miembros de las brigadas de primeros auxilios, las cuales serán organizadas 

e instruidas para efectos del plan de emergencia prestarán, dentro de sus limitaciones, atención inmediata al 

trabajador que se accidentare en el trabajo, previo a su transferencia a unidades médicas o instancias 

especializadas. 

f. Re-adecuación, re-ubicación y reinserción de trabajadores 

El artículo 155 de la Ley de Seguridad Social señala como lineamiento de política del Seguro General de 

Riesgos proteger al afiliado y al empleador mediante programas de prevención de los riesgos derivados del 

trabajo, y acciones de reparación de los daños derivados de accidentes de trabajo y de enfermedades 

profesionales, incluida la rehabilitación física y mental y la reinserción laboral. 

Por tal motivo adecuar el área de trabajo del empleado del cual y como consecuencia del accidente no podrá 

realizar su labor de una forma normal, será prioridad para la empresa. 

De no ser el caso y no poder realizar el mismo trabajo por el cual fue contratado, el empleador deberá 

reubicar al trabajador en otra área sin el desmedro de su integridad física y mental, siempre en beneficio del 

trabajador y en disposición de lo señalado en la Resolución No C.D.513 del Reglamento del Seguro General de 

Riesgos del Trabajo, artículo60. 



16

5. Prevención de amenazas naturales y riesgos antrópicos 

Actualmente no es posible eliminar el riesgo de fenómenos naturales como terremotos, erupciones 

volcánicas, aludes etc., no obstante se puede realizar medidas de prevención que se dirigen a convivir con 

estos fenómenos entre los cuales tenemos: 

a. Plan de Emergencia 

Se orienta a enfrentar y mitigar las consecuencias de los accidentes que se pudieran presentar, los recursos 

humanos y materiales necesarios para su aplicación y el esquema de coordinación de personas, organismos y 

servicios que deban de intervenir. 

Se contará con el respectivo Plan de Contingencias a fin de reanudar actividades con normalidad. 

b. Brigadas y Simulacros 

Se implantará, capacitará y entrenará a todo el personal, para formar las brigadas de emergencias las cuales 

son: Brigada de comunicación, Brigada de prevención de incendios, Brigada de evacuación y la brigada de 

Primeros Auxilios, se fortalecerá a través de clases teóricas y simulacros periódicos. 

Las Brigadas de Emergencias contará con los equipos: Primera Intervención, Segunda intervención, Apoyo, de 

Alarmas y evacuación. 

Se contará con la Brigada de Primeros Auxilios debidamente capacitada. 

Se comunicará a todos los trabajadores, personal que sea visitante o cliente que ingrese a las instalaciones el 

plan de emergencia y rutas de evacuación establecidos. 

Se deberá utilizar las entradas y salidas asignadas para el efecto, las mismas deberán estar rotuladas e 

identificadas. 

c. Planes de Contingencia 

El Plan de Contingencia de la empresa es un componente del plan de emergencia que contiene los 

procedimientos específicos para la pronta respuesta en caso de presentarse un evento como una fuga, un 

derrame, un incendio, entre otros. 

El plan de emergencia y contingencia reposan en la oficina de seguridad e higiene en el trabajo debidamente 

documentada y aprobada por los organismos de control autorizados para los mismos, este es el caso del 

Cuerpo de Bomberos, basadas a la norma vigente implementada en la localidad. 

Estos planes contienen a más de los procedimientos y el análisis de riesgos empresariales, tiene mapas de la 

empresa: Mapa de evacuación, de Recursos y de Riesgos. 

6. Planos del centro de trabajo 

Para el cumplimiento de este articulado se tomará la normativa vigente que en el Decreto Ejecutivo 2393 en 

su artículo 15.- “DE LA UNIDAD DE SEGURIDAD E HIGIENE DEL TRABAJO” en su numeral 2 incisos del 1 al 4, 

el cual señala que: 



17

1. Planos generales del recinto laboral empresarial, en escala 1:100, con señalización de todos los puestos de 

trabajo e indicación de las instalaciones que definen los objetivos y funcionalidad de cada uno de estos 

puestos laborales, lo mismo que la secuencia del procesamiento fabril con su correspondiente diagrama de 

flujo. 

2. Los planos de las áreas de puesto de trabajo, que en el recinto laboral evidencien riesgos que se relacionen 

con higiene y seguridad industrial incluyendo además, la memoria pertinente de las medidas preventivas para 

la puesta bajo control de los riesgos detectados. 

3. Planos completos con los detalles de los servicios de: Prevención y de lo concerniente a campañas contra 

incendios del establecimiento, además de todo sistema de seguridad con que cuenta para tal fin. 

4. Planos de clara visualización de los espacios funcionales con la señalización que oriente la fácil evacuación 

del recinto laboral en caso de emergencia. 

Por lo que: 

a. Recinto laboral empresarial 

La Organización se encuentra dividida en varias agencias distribuidas en las principales ciudades del país: 

Quito 

Edificio CND 6 pisos 

Edificio Matriz 4 pisos 

Edificio Amazonas 2 pisos 

Edificio Centro Financiero 2 pisos 

Guayaquil 

Agencia Urdesa 4 pisos 

Agencia Orellana 2 pisos 

Ambato 

Agencia Ambato 1 Piso 

Cuenca 

Agencia Cuenca 1 Piso 

Machala 

Agencia Machala 1 Oficina 

b. Áreas de puestos de trabajo 

Banco Diners Club del Ecuador S.A., cuenta con las siguientes áreas: 

De auditoria interna, centro de servicios, cumplimiento, filiales, legal, negocios, planeación y finanzas, riesgos, 

las mismas se encuentran definidas por división, subdivisión y unidad. 

Cada una de las áreas cuenta con un organigrama general dirigida por la gerencia nacional, gerentes, 

subgerentes, jefes, líneas de supervisión, asistentes, auxiliares, etc. 



18

c. Detalles de los servicios 

Los detalles de los servicios se encontrarán en el plan de emergencia y contingencia de la empresa aprobada 

por la autoridad competente. 

d. Rutas de evacuación de emergencia 

Las Vías de evacuación y salidas de emergencia están descritas en los planos de evacuación, teniendo en 

cuenta los medios de escape, escaleras de evacuación, señalización, zonas de seguridad o encuentro, y demás 

elementos necesarios para la evacuación exitosa Los procedimientos y mapas de evacuación reposan en el 

plan de emergencia y contingencia aprobada por la autoridad competente. 

7. Programas de prevención 

a. Uso y consumo de drogas en espacios laborales 

DEL PROGRAMA DE PREVENCIÓN DE USO Y CONSUMO DE DROGAS en espacios laborales tienen el objetivo de 

promover, prevenir y reducir el consumo de alcohol, tabaco y otras drogas en las y los trabajadores de la 

empresas a través de acciones estratégicas para el abordaje y atención integral en los espacios laborales, 

adoptando hábitos de vida saludable y fortaleciendo la gestión conjunta de empleadores y trabajadores, todo 

acorde a los lineamientos de la Secretaria Técnica de Drogas, Ministerio de Salud Pública y el Ministerio de 

Trabajo, todo basado al Acuerdo InterinstitucionalSETED-MDT-2016-001-A 

b. Prevención del Riesgo Psicosocial 

DEL PROGRAMA DE PREVENCIÓN DE RIESGOS PSICOSOCIALES.- En todas las empresas e instituciones públicas 

y privadas, que cuenten con más de 10 trabajadores, se deberá implementar el programa de prevención de 

riesgos psicosociales, en base a los parámetros y formatos establecidos por la Autoridad Laboral, mismo que 

deberá contener acciones para fomentar una cultura de no discriminación y de igualdad de oportunidades en 

el ámbito laboral. 

El programa deberá ser implementado y reportado cada año al Ministerio Rector del Trabajo, por medio del 

sistema que se determine para el efecto todo de acuerdo a la resolución No. MDT-2017-0082 sobre “LA 

ERRADICACIÓN DE LA DISCRIMINACIÓN EN EL ÁMBITO LABORAL.” 

CAPITULO III: 

REGISTRO, INVESTIGACIÓN Y NOTIFICACIÓN DE ACCIDENTES DE TRABAJO, ENFERMEDADES PROFESIONALES 

E INCIDENTES. 

a. Registro y estadística 

REGISTRO DE ACCIDENTES – INCIDENTES 



19

a. Será Obligación del Jefe de la Unidad de Higiene y Seguridad o del Responsable, el llevar el registro de los 

accidentes de trabajo e incidentes laborales ocurridos, así como las estadísticas de accidentabilidad respectiva. 

b. En el caso de empresa o institución contrastar el déficit de gestión existente en la prevención de riesgos 

laborales, que ocasionaron el accidente; o las medidas de seguridad aplicadas durante el trabajo, en el caso de 

los afiliados sin relación de dependencia o autónomos. 

c. Definir y motivar los correctivos específicos y necesarios para prevenir la ocurrencia y repetición de los 

accidentes de trabajo. 

d. Establecer las consecuencias derivadas del accidente del trabajo. 

e. Apoyar y controlar a las organizaciones laborales para que estas provean ambientes saludables y seguros a 

los trabajadores afiliados al IESS; a la aplicación de procedimientos de trabajo seguros en el caso de los 

afiliados en relación de dependencia o autónomos. 

f. Puntualizar la responsabilidad de la organización laboral y del afiliado sin relación de dependencia o 

autónomo en relación al accidente de trabajo. 

g. Someter todos los accidentes e incidentes a investigación por parte del Responsable de Higiene y Seguridad 

de la empresa. 

h. Obligar que todos los accidentes e incidentes de trabajo sean notificados e investigados, para determinar el 

grado de impacto a los trabajadores e instalaciones, para así determinar las acciones correctivas y de control. 

i. El responsable de la prevención de riesgos será notificado inmediatamente de cualquier accidente y/o 

incidente, debiendo hacer constar el acontecimiento en un informe y registro estadístico. 

j. El responsable de la prevención de riesgos presentara a Gerencia y delegado de Higiene y Seguridad, un 

informe semestral de la evolución de la accidentalidad e incidencia laboral de la empresa. 

k. El reporte estadístico de accidente o incidente deberá ser realizado por el Responsable de Higiene y 

Seguridad. Para las estadísticas de la accidentabilidad se utilizar los índices reactivos: 

a. Índice de frecuencia. 

b. Índice de gravedad. 

c. Índice de incidencia. 

En el mes de Enero el Jefe de la Unidad de Higiene y Seguridad o responsable, junto con el médico del Servicio 

Médico de Empresa o el hiciere del mismo enviará los resultados de los índices reactivos de una manera 

virtual en conjunto con los Índices proactivos al IESS, en la sección de Riesgos del Trabajo, Índices de Gestión. 

REGISTRÓ DE INVESTIGACIÓN DE ENFERMEDADES OCUPACIONALES 

a. Verificar que el diagnóstico de enfermedad ocupacional sea realizado por el médico a base de los criterios 

científicos de correlación clínico, epidemiológico, ambiental, laboratorio y legal. 

b. Controlar que las enfermedades ocupacionales sean reportadas por el Servicio Médico contratado hacia 

Recursos Humanos, dependencia que a su vez reportará el caso al Departamento de Riesgos del Trabajo del 

IESS usando el formulario, titulado AVISO DE ENFERMEDAD PROFESIONAL. 

c. Realizar un seguimiento de los casos diagnosticados de enfermedad ocupacional acatando las instrucciones 

emitidas por la Comisión de Valuación de Incapacidades del IESS y de manera preferente, se tomarán los casos 

para desarrollar programas de prevención tendientes a evitar su repetición. 



20

d. Vigilar que el Servicio Médico externo mantenga un registro manual y magnético de todas las evaluaciones 

médicas realizadas, del diagnóstico y del seguimiento de los casos. Las evaluaciones médicas serán manejadas 

única y exclusivamente por el Servicio Médico externo, garantizando confidencialidad. 

b. Investigación de accidentes 

OBJETIVO DE LA INVESTIGACIÓN Y ANÁLISIS DEL ACCIDENTE DE TRABAJO 

a. Establecer el derecho a las prestaciones del Seguro General de Riesgos del Trabajo (médicos asistenciales, 

económicos y preventivos); 

b. En el caso de empresa o institución contraste el déficit de gestión existente en la prevención de riesgos 

laborales, que ocasionaron el accidente; o las medidas de seguridad aplicadas durante el trabajo, en el caso de 

los afiliados sin relación de dependencia o autónomos. 

c. Definir y motivar los correctivos específicos y necesarios para prevenir la ocurrencia y repetición de los 

accidentes de trabajo. 

d. Establecer las consecuencias derivadas del accidente del trabajo. 

e. Apoyar y controlar a las organizaciones laborales para que estas provean ambientes saludables y seguros a 

los trabajadores afiliados al IESS; a la aplicación de procedimientos de trabajo seguros en el caso de los 

afiliados sin relación de dependencia o autónomos 

f. Puntualizar la responsabilidad de la organización laboral y del afiliado sin relación de dependencia o 

autónomo en relación al accidente de trabajo. 

g. En los meses de Enero y Julio, el Técnico de la Unidad de Higiene y Seguridad o responsable, junto con el 

médico del Servicio Médico de Empresa o el que realiza visitas periódicas para la vigilancia de la Salud, enviará 

una copia del concentrado de seis meses de la accidentabilidad y la morbilidad laboral al Ministerio de 

Relaciones Laborales e IESS. 

Es obligación del Técnico de la Unidad de Higiene y Seguridad o responsable, Investigar y analizar los 

accidentes, incidentes y enfermedades de trabajo, con el propósito de identificar las causas que los originaron 

y adoptar acciones correctivas y preventivas tendientes a evitar la ocurrencia de hechos similares, además de 

servir como fuente de insumo para desarrollar y difundir la investigación y la creación de nueva tecnología. 

Todo accidente deberá ser notificado, investigado y reportado de acuerdo con el procedimiento de 

notificación, investigación y reporte de accidentes e incidentes de la empresa. 

El técnico de la Unidad de Higiene y Seguridad o responsable deberá elaborar y entregar el reporte de 

notificación de todo accidente con baja, es decir, que causaré la pérdida de más de una jornada laboral. Dicho 

reporte, deberá ser enviado a la Dirección de Riesgos del Trabajo, en el término de diez (10) días, contados 

desde la fecha del siniestro. En caso de ser un accidente que involucre a un tercero, bajo la modalidad de 

Actividades Complementarias, Servicios Técnicos Especializados o Empresas Contratistas, los representantes 

de dichas empresas deberán proceder con la notificación de acuerdo con lo indicado anteriormente. 

c. Notificación 

El accidente del trabajo es todo suceso imprevisto y repentino que ocasione al afiliado lesión corporal, 

perturbación funcional, o la muerte inmediata o posterior, como consecuencia del trabajo que ejecuta. 



21

También se considera accidente de trabajo, el que sufriere el asegurado al trasladarse directamente desde su 

domicilio al lugar de trabajo o viceversa. 

Cubre al trabajador desde el primer día de afiliación. 

En un plazo máximo de diez días después de ocurrido el accidente, el empleador, el afiliado o un familiar 

deberán notificar al IESS, a través del formulario de aviso de accidente de trabajo en línea en el área de Avisos 

de Accidente de Trabajo y Enfermedades Profesionales de manera online. 

Las Enfermedades Profesionales son afecciones crónicas, causadas de una manera directa por el ejercicio de 

la profesión u ocupación que realiza el trabajador y como resultado de la exposición a factores de riesgo, que 

producen o no incapacidad laboral. 

La notificación será en un plazo máximo de diez días después de la evaluación médica inicial de una probable 

enfermedad profesional, el empleador, el afiliado o un familiar notificarán al IESS, a través del formulario de 

aviso de enfermedad profesional de manera online en el área de Avisos de Accidente de Trabajo y 

Enfermedades Profesionales de la página del IESS. 

CAPÍTULO IV: 

INFORMACIÓN, CAPACITACIÓN, CERTIFICACIÓN DE COMPETENCIAS Y ENTRENAMIENTO EN PREVENCIÓN DE 

RIESGOS 

1. Información 

La información en prevención de riesgos deberá centrarse principalmente en: 

a. Que los trabajadores tienen derecho a estar informados sobre los riesgos laborales vinculados a las 

actividades que realizan. Complementariamente, los empleadores comunicarán las informaciones necesarias a 

los trabajadores y sus representantes sobre las medidas que se ponen en práctica para salvaguardar la 

seguridad y salud de los mismos 

b. Los trabajadores tienen derecho a estar informados sobre los riesgos laborales vinculados a las actividades 

que realizan. Complementariamente, los empleadores comunicarán las informaciones necesarias a los 

trabajadores y sus representantes sobre las medidas que se ponen en práctica para salvaguardar la seguridad 

y salud de los mismos 

c. Las lecciones aprendidas generadas a partir de la ocurrencia de accidentes y/o incidentes ocurridos en la 

operación. 

d. Las recomendaciones sugeridas después de la realización y análisis de simulacros. 

e. Todo trabajador nuevo, antes de iniciar su actividad laboral, deberá realizar el proceso de inducción 

específica al puesto de trabajo. 

f. Toda empresa de Actividades Complementarias, Servicios Técnicos Especializados o Empresas Contratistas, 

contratada por la empresa, deberá cumplir con el proceso de inducción general básico de la empresa 

Contratante, así como con su propio proceso de inducción al puesto de trabajo 

El Técnico de la Unidad de Seguridad y Salud o del Responsable y el Médico, son los responsables de 

establecer los canales de información cobre los aspectos relacionados con las Salud Ocupacional, Seguridad 

Industrial y/o Control Ambiental. 

2. Capacitación 



22

a. Se capacitará al trabajador en los factores de riesgos significativos presentes en su lugar de trabajo y 

relacionados con las actividades a desarrollarse, en especial las de alto riesgo. 

b. Educación para la Salud. 

c. Todo trabajador nuevo, antes de iniciar su actividad laboral, deberá realizar el proceso de inducción - 

capacitación específica al puesto de trabajo. 

d. Se capacitará a todo el personal en temas como: 

1. Seguridad y Salud Ocupacional. 

2. Primeros Auxilios. 

3. Brigadas y planes de emergencia y contingencia. 

3. Certificación de competencias laborales 

Basado en el Acuerdo Ministerial 174 y 13 de la reforma del 13 de junio de 2017 se considera la certificación 

de competencias laborales a través del Servicio Ecuatoriano de Capacitación Profesional que es el organismo 

certificador de personas por competencias laborales, bajo la Norma Internacional ISO:17024, es un apoyo a la 

productividad, en todo sentido, nosotros como organización nos apalancamos en algunas herramientas que 

nos ofrece la AON Corporation, no tenemos a corto tiempo el certificar a nuestros trabajadores por el giro del 

negocio. 

4. Entrenamiento 

El entrenamiento es la preparación para perfeccionar el desarrollo de una actividad en gestión de riesgos, por 

la cual se desarrolla un plan de entrenamiento a trabajadores especiales para que desarrollen en si la 

importancia de la gestión de riesgos y ser con eso el efecto multiplicador entre sus compañeros. 

CAPÍTULO V: 

INCUMPLIMIENTOS Y SANCIONES 

1. Incumplimientos 

La responsabilidad por incumplimiento de lo ordenado en el presente Reglamento y demás disposiciones que 

rijan en materia de prevención de riesgos de trabajo abarca, en general, a todas los trabajadores, a las 

personas naturales o jurídicas que tengan relación con las obligaciones impuestas en esta materia. 

Las responsabilidades económicas recaerán directamente sobre el trabajador de acuerdo al código de trabajo 

vigente y a las empresas en el patrimonio individual de la empresa respectiva, sin perjuicio de las acciones que 

en consideración a dichas responsabilidades pueda, en su caso, ejercitar la empresa contra terceros. 

Las responsabilidades laborales que exijan las Autoridades Administrativas por incumplimiento de las 

disposiciones del presente Reglamento, serán independientes de aquellas de índole penal o civil que consten 

en la Legislación Ecuatoriana, como lo menciona el Decreto Ejecutivo 2393. 



23

2. Sanciones 

Por parte del trabajador: 

Las sanciones a los trabajadores se aplicarán conforme lo disponga el Reglamento Interno de Trabajo. 

Las faltas muy graves podrán sancionarse conforme lo determina el Código del Trabajo. 

a. Serán faltas leves, aquellas que contravienen al presente reglamento, pero que no ponen en peligro la 

seguridad física del trabajador, ni de otras personas. 

b. Se considerará faltas graves, cuando por primera vez debido a ignorancia o inobservancia de los hechos, el 

trabajador pone en peligro su seguridad, de terceros y de los bienes de la empresa. 

c. Se considera faltas muy graves, la reincidencia a las faltas graves, violación al reglamento interno que con 

conocimiento del riesgo o mala intención, ponga en peligro su vida, la de terceros y/o de las instalaciones, 

equipos y bienes de la empresa. 

Se tomarán medidas disciplinarias contra los trabajadores que a sabiendas persisten en llevar a cabo prácticas 

inseguras o peligrosas para él, sus colaboradores y para la empresa, dichos casos serán vistos, estudiados y 

calificados, las sanciones que podrá aplicar la empresa de conformidad al Reglamento Interno de Trabajo, de 

acuerdo a la gravedad de la falta, serán: 

1. Amonestación Verbal 

2. Amonestación escrita 

3. Multa de hasta el 10% de la remuneración diaria unificada 

4. Solicitud de visto bueno, de conformidad con lo previsto en el Código Trabajo. 

El empleador podrá dar por terminado el contrato de trabajo, previo visto bueno por no acatar las medidas de 

seguridad, prevención e higiene exigidas por la ley, por sus reglamentos o por la autoridad competente; o por 

contrariar sin debida justificación las prescripciones y dictámenes médicos. 

Los trabajadores están obligados a acatar las medidas de prevención, seguridad y salud determinadas en los 

reglamentos y facilitados por el empleador. Su omisión constituye justa causa para la terminación del contrato 

de trabajo. 

Por parte del empleador: 

DE LAS SANCIONES POR INCUMPLIMIENTO DE LO EXPUESTO EN EL REGLAMENTO DE HIGIENE Y SEGURIDAD 

El código del Trabajo Art. 435 dispone que “La Dirección Regional del Trabajo, por medio del Departamento 

de Seguridad e Higiene del Trabajo, velará por el cumplimiento de las disposiciones de éste Capítulo, atenderá 

a las acciones tanto de empleadores como de obreros sobre la transgresión de éstas reglas, prevendrá a los 

remisos, y en caso de reincidencia o negligencia, impondrá multas de conformidad con lo previsto en el 

Artículo 628 de éste Código, teniendo en cuenta la capacidad económica del transgresor y la naturaleza de la 

falta cometida. 

Mandato Constituyente Número 8, Art.7.- Las violaciones de las normas del Código de Trabajo, serán 

sancionadas en la forma prescrita en los artículos pertinentes de dicho cuerpo legal y, cuando no se haya 

fijado sanción especial, el Director Regional del Trabajo impondrá multas de un mínimo de 3 hasta un máximo 

de 20 sueldos o salarios básicos unificados del trabajador en general, sin perjuicio de lo establecido en el art. 

95 del Código de niñez y adolescencia. 



24

DE LAS SANCIONES POR INCUMPLIMIENTO DEL PROGRAMA DE PREVENCION DE RIESGO PSICOSOCIAL las 

empresas e instituciones públicas y privadas que no cumplan con lo establecido en el artículo anterior, 

tendrán como sanción: montos pecuniarios, cierre de establecimientos o locales; y/o la suspensión de 

actividades de conformidad a lo establecido en los Artículos 435, 436 y 628 del Código del Trabajo, y conforme 

a las normas que en esa materia haya emitido o emita el Ministerio rector del Trabajo. 

En el caso de instituciones del Estado, serán sujetos de sanción las y los servidores públicos que incumplieren 

la aplicación del presente Acuerdo, de conformidad a lo establecido en el régimen disciplinario de la LOSEP, su 

Reglamento General y los reglamentos internos institucionales. 

DE LAS SANCIONES POR EL INCUMPLIMIENTO DEL PROGRAMA DE 

PREVENCION INTEGRAL AL USO Y CONSUMO DE DROGAS 

De conformidad con el Artículo 12 del Reglamento a la Ley Orgánica de Prevención Integral del fenómeno 

Socio Económico de las Drogas y de Regulación y Control del Uso de Sustancias Catalogadas Sujetas a 

Fiscalización, la omisión del empleador privado de desarrollar los programas de prevención al uso y consumo 

de drogas, será sancionada de acuerdo al Artículo 628 del Código de Trabajo. 

DEFINICIONES 

 

 

 

 

 

 

 

 

 

 

 

Salud: Se denomina así al completo estado de bienestar físico, mental y social. 

No únicamente la ausencia de enfermedad. 

Trabajo: Es toda actividad humana que tiene como finalidad la producción de bienes y servicios. 

Higiene y Seguridad en el trabajo (SST): Es la ciencia y técnica multidisciplinaria que se ocupa de la 

valoración de las condiciones de trabajo y la prevención de riesgos ocupacionales, a favor del bienestar 

físico, mental y social de los trabajadores, potenciando el crecimiento económico y la productividad. 

Sistema gestión de la Higiene y Seguridad en el trabajo: Es el conjunto de elementos 

interrelacionados e interactivo que tienen por objeto establecer una política y objetivos de Higiene y 

Seguridad en el trabajo y la forma de alcanzarlos. 

Condiciones de medio ambiente de trabajo: Aquellos elementos, agentes o factores que tienen 

influencia significativa en la generación de riesgos para la Higiene y Seguridad de los trabajadores. 

Empleador: La persona o entidad, de cualquier clase que fuere, por cuenta u orden de la cual se 

ejecuta la obra o a quien se presta el servicio. 

Trabajador: La persona que se obliga a la prestación del servicio o a la ejecución de la obra se 

denomina trabajador y puede ser empleado u obrero. 

Trabajador calificado o competente: Aquel trabajador que a más de los conocimientos y experiencia 

en el campo de su actividad específica, los tuviera en la prevención de riesgos dentro de su ejecución. 

Niño, niña y adolescente: Toda persona menor de 18 años. 

Lugar o centro de trabajo: Son todos los sitios en los cuales los trabajadores deben permanecer o a los 

que tienen que acudir en razón de su trabajo y que se hallan bajo el control directo o indirecto del 

empleador, para efectos del presente reglamento se entenderá como centro de trabajo cada obra de 

construcción. 



25

Organización: Toda compañía, negocio, firma, establecimiento, empresa, institución, asociación o 

parte de los mismos, independiente que tenga carácter de sociedad anónima, de que sea pública o 

privada con funciones y administración propias. En las organizaciones que cuentan con más de una 

unidad operativa, definirse como organización cada una de ellas. 

Seguridad: Mecanismos jurídicos, administrativos, logísticos tendientes a generar determinados 

riesgos o peligros físicos o sociales. 

Seguridad laboral o del trabajo: El conjunto de técnicas aplicadas en las áreas laborales que hacen 

posible la prevención de accidentes e incidentes trabajo y averías en los equipos e instalaciones. 

Higiene laboral o del trabajo: Sistema de principios y reglas orientadas al control de contaminantes del 

área laboral con la finalidad de evitar la generación de enfermedades profesionales y relacionadas con 

el trabajo. 

Psicosociología laboral: La ciencia que estudia la conducta humana y su 

aplicación a las esferas laborales. 

Analiza el entorno laboral y familiar, los hábitos y sus repercusiones, estados de desmotivación e 

insatisfacción que inciden en el rendimiento y la salud integral delos trabajadores. 

Medicina del trabajo: Es la ciencia que se encarga del estudio, investigación y prevención de los 

efectos sobre los trabajadores, ocurridos por el ejercicio de la ocupación. 

Ergonomía: Es la técnica que se ocupa de adaptar el trabajo al hombre, teniendo en cuenta sus 

características anatómicas, fisiológicas, psicológicas y sociológicas con el fin de conseguir una óptima 

productividad con un mínimo esfuerzo y sin perjudicar la salud. 

Prevención de riesgos laborales: El conjunto de acciones de las ciencias biomédicas, sociales y técnicas 

tendientes a eliminar o controlar los riesgos que afectan la salud de los trabajadores, la economía 

empresarial y el equilibrio medioambiental. 

Equipos de protección personal: Son equipos específicos destinados a ser utilizados adecuadamente 

por el trabajador para la protección de uno o varios riesgos amenacen su seguridad y su salud. 

Riesgo del trabajo: Es la posibilidad de que ocurra un daño a la salud de las personas con la presencia 

de accidentes, enfermedades y estados de insatisfacción ocasionados por factores o agentes de riesgos 

presentes en el proceso productivo. 

Clasificación internacional de los factores de riesgos: Se describen seis grupos: 

Físicos: Originados por iluminación, ruido, vibraciones, temperatura, humedad, radiaciones, 

electricidad y fuego. 

Mecánicos: Producidos por la maquinaria, herramientas, aparatos de izar, instalaciones, superficies de 

trabajo, orden y aseo. 

Factor o agente de riesgo: Es el elemento agresor o contaminante sujeto a valoración, que actuando 

sobre el trabajador o los medios de producción hace posible la presencia del riesgo. Sobre este 

elemento es que debemos incidir para prevenir los riesgos. 

Químicos: Originados por la presencia de polvos minerales, vegetales, polvos y humos metálicos, 

aerosoles, nieblas, gases, vapores y 1iquidos utilizados en los procesos laborales. 

Biológicos: Ocasionados por el contacto con virus, bacterias, hongos, parásitos, venenos y sustancias 

producidas por plantas y animales. Se suman también microorganismos trasmitidos por vectores como 

insectos y roedores. 



26

Ergonómicos: Originados en posiciones incorrectas, sobreesfuerzo físico, levantamiento inseguro, uso 

de herramientas, maquinaria e instalaciones que no se adaptan a quien las usa. 

Psicosociales. Los que tienen relación con la forma de organización y control del proceso de trabajo. 

Pueden acompañar a la automatización, monotonía, repetitividad, parcelación del trabajo, 

inestabilidad laboral, extensión de la jornada, turnos rotativos y trabajo nocturno, nivel de 

remuneraciones, tipo de 

remuneraciones y relaciones interpersonales. 

Factor o agente de riesgo: Es el elemento agresor o contaminante sujeto a valoración, que actuando 

sobre el trabajador o los medios de producción hace posible la presencia del riesgo. Sobre este 

elemento es que debemos incidir para prevenir los riesgos. 

Vigilancia de la salud de los trabajadores: Es el conjunto de estrategias preventivas encaminadas a 

salvaguardar la salud física y mental de los trabajadores que permite poner de manifiesto lesiones en 

principio reversibles, derivadas de las exposiciones laborales. Su finalidad es la detección precoz de las 

alteraciones de la salud y se logra con la aplicación de exámenes médicos preventivos. 

Exámenes médicos preventivos: Son aquellos que se planifican y practican a los trabajadores de 

acuerdo a las características y exigencias propias de cada actividad. Los principales son: Pre empleo, 

periódicos, de reintegro al trabajo y de retiro. 

Morbilidad laboral: Referente a las enfermedades registradas en la empresa, que proporciona la 

imagen del estado de salud de la población trabajadora, permitiendo establecer grupos vulnerables 

que ameritan reforzar las acciones preventivas. 

Accidente de trabajo: Es todo suceso imprevisto y repentino que ocasiona en el trabajador una lesión 

corporal o perturb4ción funcional con ocasión o por consecuencia del trabajo. Se registrará como 

accidente de trabajo, cuando tal lesión o perturbación fuere objeto de la pérdida de una o más de una 

jornada laboral. 

Incidente: Suceso acaecido en el curso del trabajo o en relación con el trabajo, en el que la persona 

afectada no sufre lesiones corporales, o en el que estos sólo requieren cuidados de primeros auxilios. 

Enfermedad profesional: Es la afección aguda o crónica, causada de una manera directa por el 

ejercicio de la profesión o labor que realiza el trabajador y que produce incapacidad. 

Investigación de accidentes de trabajo: Conjunto de acciones tendientes a establecer las causas reales 

y fundamentales que originaron el suceso para plantear las soluciones que eviten su repetición. 

Registro y estadística de accidentes e incidentes: Obligación empresarial de plasmar en documentos, 

los eventos sucedidos en un período de tiempo, con la finalidad de retroalimentar los programas 

preventivos. 

Planes de emergencia: Son las acciones documentadas, resultado de la organización de las empresas, 

instituciones, centros educativos lugares de recreación y la comunidad, para poder enfrentar 

situaciones especiales de riego como incendios, explosiones, derrames, terremotos, erupciones, 

inundaciones, deslaves, huracanes y violencia. 

Autoridad competente: Ministro, departamento gubernamental y otra autoridad pública facultada 

para dictar reglamentos, órdenes u otras disposiciones con fuerza de ley. 

Técnico en Higiene y Seguridad en el trabajo: Profesional con formación de postgrado específica y 

experto y perito en Higiene y Seguridad en el trabajo. 



27

Responsable de prevención de riesgos: Persona que tiene a cargo la coordinación de las acciones de 

Higiene y Seguridad en la obra de construcción en que la legislación no exige conformación de una 

unidad especializada. Acreditará formación en la materia. 

Delegado de Higiene y Seguridad: Trabajador nominado por sus compañeros para apoyar las acciones 

de Higiene y Seguridad en el trabajo, en aquellas empresas en que la legislación no exige la 

conformación del comité paritario. 

DISPOSICIONES GENERALES 

Quedan incorporadas al presente Reglamento de Higiene y Seguridad en el Trabajo, todas las disposiciones 

contenidas en el Código de Trabajo, sus reglamentos, los reglamentos sobre Higiene y Seguridad ocupacional 

en general, las normas y disposiciones emitidas por el IESS y las normas internacionales de obligatorio 

cumplimiento en el País, las mismas que prevalecerán en todo caso. 

DISPOSICIONES FINALES 

El presente Reglamento de Higiene y Seguridad entrará en vigencia a partir de la aprobación por parte del 

Director Regional del Trabajo y Servicio Público. 



28

HABITABILIDAD Y CONVIVENCIA 

CONCEPTOS 

Habitabilidad: Usar y aprovechar adecuadamente el mobiliario, los sistemas y la infraestructura 

para el desarrollo del trabajo en condiciones de salud y confort. 

Convivencia: El respeto y la armonía es la base para formar una comunidad que comparte un 

mismo espacio. 

“Respetar el espacio de los demás compañeros y cuidar las instalaciones para una convivencia 

de todos los días.” 

Principios 

El espacio físico debe ser visible, audible y olfateable. Por lo tanto se deben cumplir los siguientes 

principios basados en un concepto SEBRA: 

- Seguridad: Conocer que hacer en momentos de emergencia y controlar tu entorno para 

minimizar riesgos. 

- Ergonomía: Aprovechar toda la infraestructura y mobiliario para optimizar el esfuerzo 

físico y mental. Todos los sistemas (silla, escritorio, archivo y la iluminación, ventilación, 

nivel de sonido, seguridad electrónica, etc…) deben funcionar armónicamente para 

optimizar la ergonomía de los usuarios en todo momento. 

- Belleza: Expresar la individualidad, pero observando los otros elementos. No sobrecargar 

el espacio de trabajo. Si es un espacio de atención al público, se debe ser aún más estricto 

con el espacio y favorecer los lineamientos del Modelo de Atención especificado. 

- Respeto: El mayor respeto se evidencia en espacios y superficies limpias y 

comportamientos agradables al resto, considerar el respeto a la privacidad física y de 

información personal del colega. Mantener el ruido de conversaciones, timbre de los 

celulares y teléfonos al mínimo razonable. 

- Armonía: Encontrar un sano equilibrio con el entorno.

ESPACIO FÍSICO 

ESTACIÓN DE TRABAJO 

Una estación de trabajo es asignada a un Colaborador para su trabajo cotidiano. (Excepción: 

posiciones con múltiples Colaboradores, donde varios Colaboradores utilizan la misma estación 

por horarios) Se debe seguir las siguientes normas: 

1. Cumplir con las especificaciones de la Política de Seguridad de la Información. 

2. Ocupar los cajones y cajoneras del escritorio para almacenar materiales e información 

organizacional, evitar almacenar comida, ropa, zapatos u otros artículos que desprendan 

olor. 

3. El Colaborador asignado debe mantener la estación limpia y ordenada durante la jornada 

laboral. 

4. No utilizar radios o televisiones comunales ni personales. 

5. No utilizar cortinas en vidrios internos de oficinas o salas de reuniones. 

OFICINAS 

Este espacio está reservado para quienes reciben personas externas de forma continua, como, 

clientes, proveedores, autoridades, etc. y para Colaboradores con rango, igual o superior, de 

Gerentes. 

1. El Colaborador asignado a una oficina debe cumplir con los mismos principios de uso de la 

estación de Trabajo. 

2. La oficina tiene su diseño establecido, no alterarlo con artículos personales. 

SALA DE REUNIONES 

Este espacio es para uso comunitario y no exclusivo de las áreas contiguas. 

En estas salas se puede encontrar pantallas, infocus, controles de climatización y otros elementos 

para su uso. Dejarlos apagados y en su sitio después de su uso. 

1. Dejar la sala limpia y ordenada 

2. Cumplir con los tiempos de uso de las salas 

CAFETERÍA 

Este espacio está abierto para que los Colaboradores se sirvan sus alimentos en breaks.

En la cafetería se puede encontrar: botellón de agua, calentador de agua o Cafetera, comestibles 

para hacer café o té, vajilla y cubiertos comunales. 

En la cafetería no se debe almacenar vajilla y cubiertos de uso personal. No es responsabilidad del 

personal de limpieza lavar estos utensilios. 

Después de utilizar la cafetería tomar en cuenta las siguientes consideraciones: 

 

 

Dejar limpia y ordenada (botar fundas, recipientes, cascaras entre otros en el basurero) 

Cerrar los frascos de café y azúcar. 

BAÑOS 

Este espacio es para uso comunitario y debe ser utilizado con la mayor discreción, higiene y 

ecología. 

1. Papel higiénico: Descartar el papel higiénico ya usado dentro del escusado. Este papel es 

biodegradable y es diseñado para descomponerse dentro de tanques sépticos (no así el 

papel de secado de manos). 

2. Baño de mujeres: No descartar las toallas higiénicas dentro del escusado, sino usar el 

basurero provisto en cada retrete. 

3. Toalla personal: Se sugiere utilizar una toalla pequeña personal para reducir el uso de 

papel para secarse manos y cara. Se recomienda utilizar el secador de manos. 

4. El baño no es un espacio para reuniones sociales. 

Iluminación 

SISTEMAS 

La iluminación ha sido diseñada bajo estándares de trabajo de oficina para prevenir riesgos. Está 

prohibido colocar papeles en las luminarias o manipular estos sistemas para prevenir riesgos 

eléctricos y de incendio. 

Sistema Contra Incendios 

Los sistemas contra incendio han sido diseñados para identificar incendios y advertir a todos los 

Colaboradores para que evacúen las instalaciones. Para el óptimo servicio de este sistema es 

importante considerar: 

 

 

No generar humo dentro de oficinas, un detector podría activarse y prender las alarmas. 

Tener cuidado con los Pulsadores de Emergencia (AMI) por falsas activaciones, usarlos 

cuando se observa fuego en las oficinas para alertar a todos su evacuación.

Climatización 

La climatización ha sido diseñada bajo estándares de trabajo de oficina. Está prohibido colocar 

papeles en los aires acondicionados o manipular estos sistemas para prevenir riesgos eléctricos y 

de incendio. 

MOBILIARIO 

Escritorio: Colocar sólo lo necesario (Computadora, mouse, teclado, teléfono y papeles de trabajo 

(cuando se necesite). Existe una caja oculta para colocar los cables. 

Silla Sidiz: Es una silla que tiene factores ergonómicos (ajuste de altura de la silla, apoya brazos, 

soporte lumbar, control del espaldar). 

• Es responsabilidad de cada Colaborador mantener la silla limpia. Esta no es una 

responsabilidad del personal de limpieza. 

• Las sillas podrán ser personalizadas para las condiciones físicas de cada 

Colaborador con un mecanismo de levante especial. Se recomienda que cada 

Colaborador lo realice previo al inicio de las actividades diarias: 

1. Soporte Lumbar: (3 ajustes) altura, movimiento horizontal y agarre 

2. Apoyabrazos: (3 ajustes) altura, movimiento horizontal y giro 

3. Asiento: (3 ajustes) altura, movimiento horizontal e inclinación 

4. Respaldo: (2 ajustes) seguro y tensión de pivoteo 

Cajonera: Guardar información confidencial, carpetas, libro de apuntes y objetos personales 

pequeños. Por seguridad al dejar el puesto de trabajo se debe colocar llave a los cajones. 

Computadoras: Sistema operativo Windows, Teclado, Mouse, Mouse Pad con soporte de gel para 

la muñeca. Por seguridad dejar bloqueado el computador al dejar el puesto de trabajo. 

Instalaciones eléctricas y de red: Las conexiones están diseñadas de la siguiente manera: 

Toma corriente Tomate: Conexión al UPS 

Toma corriente Blanca: Energía normal 

Punto de Red: Conexión a intranet e internet 

VESTIMENTA 

Mujeres: Utilizar el uniforme de lunes a viernes. 

Hombres: Utilizar uniforme, traje formal de lunes a jueves y utilizar traje casual los viernes.

MANUAL 1

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?