NOTICIAS:

SBIF EMITE NORMA SOBRE EXTERNALIZACIÓN DE SERVICIOS EN MODALIDAD CLOUD COMPUTING

A través de esta modernización de la regulación, la Superintendencia atiende a los riesgos asociados a las actuales tecnologías que está utilizando la banca

.

02-Jan-2018 04:13:05


Santiago, 27 de diciembre de 2017 – En los últimos años se ha producido una importante evolución de los servicios informáticos que apoyan los negocios de las instituciones bancarias. Como parte de esa evolución se han desarrollado en forma creciente los servicios “Cloud” (servicios en la nube), atrayendo el interés de las entidades financieras como una forma de lograr mayores niveles de eficiencia y menores costos.


En ese contexto, atendiendo las características y riesgos asociados a este tipo de servicios, la SBIF decidió establecer ciertas condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios en esa modalidad, orientados a mitigar los riesgos asociados.


Dado lo anterior, a fines de agosto 2017 y hasta principios de octubre, la SBIF expuso para consulta pública una propuesta de modificación normativa, con las nuevas definiciones y lineamientos que contendría el Capítulo 20-7 de la Recopilación Actualizada de Normas, sobre externalización de servicios, por tratarse de la contratación de servicios a un proveedor externo, aunque con ciertas particularidades.


Durante dicho periodo de consulta pública se recibieron comentarios de poco más de 30 interesados, entre bancos, sociedades de apoyo al giro, cooperativas de ahorro y crédito, proveedores de servicios nacionales y extranjeros, cajas de compensación, asociaciones gremiales, instituciones públicas y empresas de consultoría.


Los comentarios recibidos permitieron precisar y mejorar algunas definiciones asociadas al Cloud Computing y las tecnologías de la información en general, además de aclarar el alcance de los requisitos adicionales que son exigibles, en caso que dichos servicios involucren actividades significativas o estratégicas.


Como resultado de lo anterior, finalmente el día de hoy se emite la citada modificación al Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) de la SBIF. Con el cambio normativo que resulta de este proceso, además de compatibilizar los actuales requisitos exigidos para la contratación de servicios externos, la SBIF busca:



  • Atender una tendencia que es una realidad en el sistema financiero mundial y también local.

  • Establecer adecuados requerimientos regulatorios de control y gestión de riesgos en la materia.

  • Evitar poner trabas a la innovación tecnológica en un contexto donde es inevitable la incorporación de nuevos avances en esta materia.


Cabe recordar este tipo de normativa obedece a que los bancos, por la naturaleza de su giro, siempre son los responsables del adecuado funcionamiento de las actividades que la Ley General de Bancos les autoriza, independientemente de las responsabilidades que competan a sus proveedores. Por tal motivo, dichos servicios son considerados dentro de sus procesos generales de evaluación y gestión de riesgo operacional, en el contexto de lo señalado en la letra C) del numeral 3.2 del Título II del Capítulo 1-13 de la Recopilación Actualizada de Normas.


A través de esta modernización de la regulación, la Superintendencia atiende a los riesgos asociados a las actuales tecnologías que está utilizando la banca.


Principales novedades de la normativa


La normativa define los servicios en la nube (Cloud Computing) como “un modelo de prestación de servicios, configurable según demanda, para la provisión de servicios asociados a las tecnologías de la información a través de redes, basado en mecanismos técnicos como la virtualización, bajo diferentes enfoques o estrategias de suministro”.


Además, distingue entre una nube privada y una pública, entendiendo como “privada” aquella infraestructura de nube provista para el uso exclusivo de una entidad, comprendiendo múltiples usuarios (por ejemplo, unidades comerciales), la que puede ser de propiedad, administración y operación de la misma institución, de un tercero o una combinación de ambos; y puede encontrarse tanto dentro como fuera de las instalaciones del contratante. En tanto, “nube pública” comprende la infraestructura de nube provista para el uso de varias entidades, que pertenece a un proveedor de este servicio, es administrada y operada por éste y la infraestructura se encuentra en las instalaciones del proveedor.


Bajo estos conceptos y entre sus principales novedades, los ajustes a la normativa establecen los lineamientos de diligencia reforzada que deben establecer las entidades bancarias al contratar un servicio de Cloud Computing.


Estos lineamientos se describen a continuación:



  • Para efectos de contratar cualquier tipo de servicio a través de la modalidad denominada nube, el Directorio de la entidad deberá pronunciarse anualmente sobre la tolerancia al riesgo que está dispuesto a asumir en este tipo de externalizaciones. Este pronunciamiento deberá considerar un análisis de los datos a almacenar o procesar bajo esta modalidad y su ubicación.

  • Sin perjuicio del debido cumplimiento de los distintos requerimientos contenidos en el Capítulo 20-7, las instituciones financieras podrán externalizar servicios en la nube pública o privada para sus servicios no críticos, sin consideraciones adicionales a las mencionadas en los numerales precedentes del Capítulo V.

  • En el evento de que la entidad evalúe la contratación de un servicio en la nube para una actividad considerada estratégica o crítica, este también podrá ser efectuado en modalidad de nube pública o privada. No obstante en estos casos, la entidad deberá realizar una diligencia reforzada del proveedor y del servicio, que al menos considere los siguientes requisitos: 



  1. El proveedor dispone de reconocido prestigio y experiencia en el servicio que otorga.

  2. El proveedor contratado cuenta con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de servicios que recojan las mejores prácticas vigentes.

  3. Los contratos de externalización de servicios sean realizados directamente entre la institución contratante y los proveedores, con la finalidad de minimizar los riesgos que podría aportar el rol de intermediario en este tipo de servicios.

  4. La entidad cuenta con informes legales respecto de la regulación sobre privacidad y acceso a la información existentes en jurisdicciones donde se esté llevando a cabo el servicio, y ha evaluado la resolución de contingencias legales en las jurisdicciones en las que opere.

  5. La entidad se ha asegurado que el proveedor del servicio realiza informes de auditoría asociados a los servicios prestados y dichos informes se encuentran disponibles, para ser consultados en cualquier momento con la entidad contratante y por la Superintendencia, en las materias que resulten pertinentes.

  6. Verificar que el proveedor cuenta con adecuados mecanismos de seguridad, tanto físicos como lógicos, que permitan aislar los componentes de la infraestructura nube que la entidad comparte con otros clientes del proveedor, de manera de prevenir fugas de información o eventos que puedan afectar la confidencialidad e integridad de los datos de la entidad.

  7. Identificar los datos que por su naturaleza y sensibilidad debe contar con mecanismos fuertes de encriptación.


En forma adicional a la regulación ligada a Cloud Computing, la normativa incorpora nuevos requerimientos en el ámbito de la seguridad de la información y continuidad del negocio que aplican para la externalización de servicios en general.


Ver documentos:



 



Deja un comentario

SBIF EMITE NORMA SOBRE EXTERNALIZACIÓN DE SERVICIOS EN MODALIDAD CLOUD COMPUTING
A través de esta modernización de la regulación, la Superintendencia atiende a los riesgos asociados a las actuales tecnologías que está utilizan...
2018-01-02 16:13:05 

Impulsa Personas, la oportunidad Sence que beneficia a trabajadores y empresas
El Servicio Nacional de Capacitación y Empleo invita a las empresas y trabajadores/as a utilizar los beneficios de Impulsa Personas, la nueva Franqui...
2017-12-18 16:17:16 

Ejecutivos ahora prefieren crear un negocio antes que comprar una vivienda
Para el 2018, el 27% considera que será parte de sus principales gastos será la creación de un nuevo negocio, detalla un informe de GRM y Phutura....
2017-12-18 16:07:33 

SANTIAGO INNOVA CONVOCA A EMPRENDIMIENTOS SOCIALES QUE QUIERAN CAMBIAR EL MUNDO
Organizado por la Corporación Santiago Innova -con el apoyo de la municipalidad de Santiago- “Más social, emprendimientos para cambiar el mundo 20...
2017-12-18 10:26:44 

CONSUMA CONCIENCIA CONVOCA A PROGRAMA DE ACTUALIZACIÓN TECNOLÓGICA
Fundación ConSuma Conciencia, queriendo colaborar con las PYMES y MIPYMES chilenas en la búsqueda de valor agregado para sus productos y servicios, ...
2017-12-18 10:23:53 

Mira estos consejos para mantener un negocio en tiempos difíciles
Controlar el negocio, mantener una buena posición de liquidez, reducir los gastos de gestión, incrementar la eficiencia y reforzar las relaciones co...
2017-12-15 20:08:16 

Chile propone en reunión ministerial de OMC crear un programa de trabajo sobre Mipymes
En la Reunión Informal del Grupo de Amigos de las MIPYMES, realizada ayer en el marco de la XI Conferencia Ministerial de la OMC en Buenos Aires, Chi...
2017-12-14 13:55:59 

Corfo anuncia, en La Araucanía, inédito fondo de capital de riesgo por US$8 millones para emprendimientos tecnológicos
Este fondo, dicen en la Corfo, es liderado por un equipo con años de experiencia en Silicon Valley, Estados Unidos, dispondrá de US$ 8 millones (US$...
2017-12-14 13:50:46 

El tamaño no importa: Acá seis consejos para competir de igual a igual con las grandes empresas
Con habilidad, audacia, perseverancia y un extra de entusiasmo un startup puede muy bien competir con grandes empresas, abrirse un lugar en el mercado...
2017-12-14 13:31:10 

Emprendedores hombres reciben créditos respaldados por Corfo un 40% más altos que sus pares mujeres
A nivel financiero, la brecha de género es un dato. No sólo existe sino que, además, es un fenómeno estudiado a lo largo del tiempo....
2017-12-14 12:28:35 




ZonaPyme - Alex Reimilla © 2017. Todos los Derechos Reservados