21/08/2017 por SBIF
SBIF publica para comentarios norma sobre externalización de servicios en modalidad Cloud Computing
Los nuevos lineamientos se incorporan como actualización del Capítulo 20-7 de la Recopilación Actualizada de Normas y estarán en consulta pública hasta el 21 de septiembre de 2017.
La permanente evolución de los servicios informáticos ha traído consigo cambios en la forma en que las entidades financieras abordan estratégicamente el diseño de las infraestructuras tecnológicas que soportan sus actividades de negocio. En este escenario dinámico, en los últimos años se han desarrollado en forma creciente los servicios de Cloud Computing (servicios en la nube), cuyas características han atraído el interés de las entidades financieras, como una forma de lograr mayores niveles de eficiencia productiva.
En ese contexto, y atendiendo las características de este tipo de servicios, esta Superintendencia expone para consulta pública la normativa que guía y establece las condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios en modalidad nube o Cloud Computing.
Los referidos lineamientos, por tratarse de la contratación de un servicio a un proveedor externo, serán incorporados en el Capítulo 20-7 de la RAN, el que norma la externalización de servicios en general. Por lo tanto, la presente modificación incorpora lineamientos específicos orientados a mitigar los riesgos asociados a la modalidad Cloud.
Los principales elementos que se abordan con las nuevas directrices en consulta se resumen a continuación:
- Las entidades podrán contratar servicios a través de la nube sin consideraciones adicionales a las mencionadas en los numerales I), II), III) y IV) de esta normativa cuando se trate de servicios no críticos. En dicho caso, para la información procesada en el exterior referida a este tipo de servicios se deberá contar con respaldos permanentes y actualizados en territorio nacional.
- En el evento que una entidad evalúe la contratación de un servicio en la nube para una actividad considerada estratégica o crítica, la infraestructura tecnológica contratada deberá ser de uso exclusivo de la entidad contratante. Adicionalmente, el Directorio de la entidad tendrá que realizar una diligencia reforzada del proveedor y del servicio externalizado, considerando al menos los siguientes elementos:
- Que el proveedor contratado cuente con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y que la calidad de servicios recoja las mejores prácticas vigentes.
- Que los contratos de externalización de servicios se suscriban directamente entre la institución contratante y los proveedores.
- Que la entidad cuente con informes legales respecto de la regulación sobre privacidad y acceso a la información existentes en jurisdicciones donde se esté llevando a cabo el servicio, y que haya evaluado la resolución de contingencias legales en las jurisdicciones en las que opere.
- Que la entidad tenga acceso a los informes de auditoría interna de los proveedores y que dichos informes se encuentren disponibles para ser consultados por la Superintendencia.
En adición a lo anterior, se incorporan en el Capítulo algunos requerimientos en el ámbito de la seguridad de la información y continuidad del negocio que aplican para las externalización de servicios en general. La presente norma será aplicable a bancos, sus filiales y sociedades de apoyo, y también a los emisores y operadores de tarjetas de pago.
La nueva norma permanecerá en consulta pública hasta el 21 de septiembre de 2017. Los comentarios deben ser ingresados en la sección Normativa en Trámite del sitio web institucional www.sbif.cl.
Ver documentos:
Los contenidos de esta sección ya no se están actualizando y son parte del archivo de la ex SBIF. Más información en CMF Chile
