La norma más importante aprobada por la Sudeban es la prohibición de contratar servicios de nube en el exterior, ya que, según la Ley de Instituciones del Sector Bancario, estas tecnologías sólo pueden ser implementadas por instituciones nacionales.
La Superintendencia de Instituciones del Sector Bancario (SUDEVAN) emitió una circular dirigida a todos los bancos nacionalizados para establecer un conjunto de estándares y requisitos que regirán en adelante los servicios de soporte en la nube y los contratos de gestión de datos bancarios.
“Servicios en la nube” son aquellos procesos de alojamiento, administración y procesamiento de datos en servidores remotos con conectividad a internet. En lugar de hacerlo con los servidores locales de la propia empresa, se contrata una empresa especializada y los gestiona a través de la red bancaria.
Para optimizar recursos y reducir costos, el sector bancario está migrando paulatinamente a los servicios en la nube, por lo que Sudeban decidió intervenir para controlar este proceso de transformación que considera “beneficioso” a pesar del “riesgo potencial de ciberataques”.
Por este motivo, la circular establece una serie de requisitos que deben cumplir los proveedores de servicios en la nube para externalizar la gestión de los datos bancarios, que manejan la información sensible de miles de clientes.
La primera y más relevante norma establecida por la Sudeban es la aprobación, según lo establecido en la Ley de Instituciones del Sector Bancario, que la implementación de servicios de computación en la nube “deberá prever que el prestador del servicio opere dentro del territorio nacional”. Es decir, los bancos no pueden contratar empresas especializadas en gestión de la nube en el extranjero.
De igual forma, el organismo regulador solicita una lista de protocolos vinculados a la prestación de servicios, como que el proveedor tenga un marco de gestión de riesgos y un inventario de sus activos, una estrategia definida y una arquitectura de TI que demuestren seguridad. la nube
Todos estos protocolos van de la mano de diversas pruebas de calidad con periodicidad trimestral o anual, según corresponda, que demuestran la respuesta de la empresa ante imprevistos y emergencias. Además, se ha aclarado que el papel de la empresa que ofrece el servicio es puramente hosting y sólo el banco podrá acceder y gestionar los datos de sus clientes.
Como parte de todos estos protocolos, la Sudeban está obligada a proporcionar informes anuales de resultados de pruebas de continuidad del negocio, contingencias técnicas y recuperación de desastres. También aclara que la relación entre el banco y sus proveedores debe estar sujeta a la aprobación previa de la organización.
Los contratos que establecen esta relación entre una entidad bancaria y un proveedor de servicios en la nube deben ajustarse a una serie de reglas que, en teoría, aseguran la protección de los datos de los usuarios. En este sentido, los documentos firmados entre el banco y la empresa que almacena los datos en la nube deben contener los siguientes aspectos:
- Identificación de las partes, especificación de los servicios contratados y ubicación física del lugar donde serán tratados los datos.
- Acuerdo de confidencialidad.
- Especificación de procedimientos para la atención y resolución de incidencias técnicas, así como políticas de seguridad de la información. Se debe aclarar la responsabilidad del proveedor de implementar políticas, estándares y procedimientos que garanticen la seguridad informática.
- Descripción de la arquitectura del servicio.
- La obligación del proveedor es realizar controles de calidad al menos una vez al año y presentar un informe de gestión trimestral. Además, proporcione detalles de los controles de seguridad física y ambiental del equipo.
- Aplicar cláusula de indemnización por daños y perjuicios. Proporcionar también una garantía contractual vinculante de una póliza de seguro con cobertura a todo riesgo que permanezca activa durante el período del contrato.
El organismo regulador destaca que es “el único responsable” de verificar la eficacia de todos los controles especificados en el reglamento, por lo que puede aprobar o rechazar las solicitudes.
Finalmente, aclara que todos los bancos deben implementar esta regulación. Quienes ya tengan una relación contractual vigente con empresas prestadoras de servicios en la nube, tendrán un plazo de 20 días hábiles para implementar los cambios correspondientes para adaptarse a esta norma.
* Incluyendo datos de Banca y Negocios
Vista de publicación: 7
