27/12/2017 por SBIF

SBIF emite norma sobre externalización de servicios en modalidad Cloud Computing

En los últimos años se ha producido una importante evolución de los servicios informáticos que apoyan los negocios de las instituciones bancarias. Como parte de esa evolución se han desarrollado en forma creciente los servicios “Cloud” (servicios en la nube), atrayendo el interés de las entidades financieras como una forma de lograr mayores niveles de eficiencia y menores costos.

En ese contexto, atendiendo las características y riesgos asociados a este tipo de servicios, la SBIF decidió establecer ciertas condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios en esa modalidad, orientados a mitigar los riesgos asociados.

Dado lo anterior, a fines de agosto 2017 y hasta principios de octubre, la SBIF expuso para consulta pública una propuesta de modificación normativa, con las nuevas definiciones y lineamientos que contendría el Capítulo 20-7 de la Recopilación Actualizada de Normas, sobre externalización de servicios, por tratarse de la contratación de servicios a un proveedor externo, aunque con ciertas particularidades.

Durante dicho periodo de consulta pública se recibieron comentarios de poco más de 30 interesados, entre bancos, sociedades de apoyo al giro, cooperativas de ahorro y crédito, proveedores de servicios nacionales y extranjeros, cajas de compensación, asociaciones gremiales, instituciones públicas y empresas de consultoría.

Los comentarios recibidos permitieron precisar y mejorar algunas definiciones asociadas al Cloud Computing y las tecnologías de la información en general, además de aclarar el alcance de los requisitos adicionales que son exigibles, en caso que dichos servicios involucren actividades significativas o estratégicas.

Como resultado de lo anterior, finalmente el día de hoy se emite la citada modificación al Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) de la SBIF. Con el cambio normativo que resulta de este proceso, además de compatibilizar los actuales requisitos exigidos para la contratación de servicios externos, la SBIF busca:

• Atender una tendencia que es una realidad en el sistema financiero mundial y también local.
• Establecer adecuados requerimientos regulatorios de control y gestión de riesgos en la materia.
• Evitar poner trabas a la innovación tecnológica en un contexto donde es inevitable la incorporación de nuevos avances en esta materia.

Cabe recordar este tipo de normativa obedece a que los bancos, por la naturaleza de su giro, siempre son los responsables del adecuado funcionamiento de las actividades que la Ley General de Bancos les autoriza, independientemente de las responsabilidades que competan a sus proveedores. Por tal motivo, dichos servicios son considerados dentro de sus procesos generales de evaluación y gestión de riesgo operacional, en el contexto de lo señalado en la letra C) del numeral 3.2 del Título II del Capítulo 1-13 de la Recopilación Actualizada de Normas.

A través de esta modernización de la regulación, la Superintendencia atiende a los riesgos asociados a las actuales tecnologías que está utilizando la banca.

Principales novedades de la normativa

La normativa define los servicios en la nube (Cloud Computing) como “un modelo de prestación de servicios, configurable según demanda, para la provisión de servicios asociados a las tecnologías de la información a través de redes, basado en mecanismos técnicos como la virtualización, bajo diferentes enfoques o estrategias de suministro”.

Además, distingue entre una nube privada y una pública, entendiendo como “privada” aquella infraestructura de nube provista para el uso exclusivo de una entidad, comprendiendo múltiples usuarios (por ejemplo, unidades comerciales), la que puede ser de propiedad, administración y operación de la misma institución, de un tercero o una combinación de ambos; y puede encontrarse tanto dentro como fuera de las instalaciones del contratante. En tanto, “nube pública” comprende la infraestructura de nube provista para el uso de varias entidades, que pertenece a un proveedor de este servicio, es administrada y operada por éste y la infraestructura se encuentra en las instalaciones del proveedor.

Bajo estos conceptos y entre sus principales novedades, los ajustes a la normativa establecen los lineamientos de diligencia reforzada que deben establecer las entidades bancarias al contratar un servicio de Cloud Computing.

Estos lineamientos se describen a continuación:

• Para efectos de contratar cualquier tipo de servicio a través de la modalidad denominada nube, el Directorio de la entidad deberá pronunciarse anualmente sobre la tolerancia al riesgo que está dispuesto a asumir en este tipo de externalizaciones. Este pronunciamiento deberá considerar un análisis de los datos a almacenar o procesar bajo esta modalidad y su ubicación.
• Sin perjuicio del debido cumplimiento de los distintos requerimientos contenidos en el Capítulo 20-7, las instituciones financieras podrán externalizar servicios en la nube pública o privada para sus servicios no críticos, sin consideraciones adicionales a las mencionadas en los numerales precedentes del Capítulo V.
• En el evento de que la entidad evalúe la contratación de un servicio en la nube para una actividad considerada estratégica o crítica, este también podrá ser efectuado en modalidad de nube pública o privada. No obstante en estos casos, la entidad deberá realizar una diligencia reforzada del proveedor y del servicio, que al menos considere los siguientes requisitos: 

1. El proveedor dispone de reconocido prestigio y experiencia en el servicio que otorga.
2. El proveedor contratado cuenta con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de servicios que recojan las mejores prácticas vigentes.
3. Los contratos de externalización de servicios sean realizados directamente entre la institución contratante y los proveedores, con la finalidad de minimizar los riesgos que podría aportar el rol de intermediario en este tipo de servicios.
4. La entidad cuenta con informes legales respecto de la regulación sobre privacidad y acceso a la información existentes en jurisdicciones donde se esté llevando a cabo el servicio, y ha evaluado la resolución de contingencias legales en las jurisdicciones en las que opere.
5. La entidad se ha asegurado que el proveedor del servicio realiza informes de auditoría asociados a los servicios prestados y dichos informes se encuentran disponibles, para ser consultados en cualquier momento con la entidad contratante y por la Superintendencia, en las materias que resulten pertinentes.
6. Verificar que el proveedor cuenta con adecuados mecanismos de seguridad, tanto físicos como lógicos, que permitan aislar los componentes de la infraestructura nube que la entidad comparte con otros clientes del proveedor, de manera de prevenir fugas de información o eventos que puedan afectar la confidencialidad e integridad de los datos de la entidad.
7. Identificar los datos que por su naturaleza y sensibilidad debe contar con mecanismos fuertes de encriptación.

En forma adicional a la regulación ligada a Cloud Computing, la normativa incorpora nuevos requerimientos en el ámbito de la seguridad de la información y continuidad del negocio que aplican para la externalización de servicios en general.

 

Ver documentos:

• Circular Nº 3.629 que introduce cambios en el Capítulo 20-7 sobre Externalización de servicios (PDF- 104 Kb).
• Capítulo 20-7 sobre Externalización de servicios de la Recopilación Actualizada de Normas para Bancos (PDF- 215 Kb).
• Cuestionario: Normativa de Externalización de Servicios Modalidad Cloud Computing (PDF- 1,1 Mb).
• Infografía: Normativa de Externalización de Servicios Modalidad Cloud Computing (PDF- 340 Kb).