La Superintendencia de Bancos e Instituciones Financieras (SBIF) ha publicado la nueva norma que modifica el Capítulo 20-7 de la RAN relativo a la externalización de servicios en modalidad Cloud Computing. Los nuevos lineamientos, que están en fase de consulta pública, establecen las condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios en modalidad Cloud Computing.

Los principales cambios introducidos son los siguientes:

Definiciones: añade nuevas definiciones como la de “Servicios en la nube (Cloud Computing)”, “Infraestructura tecnológica” o “Infraestructura de seguridad de la información” y modifica otras como la de “Procesamiento de datos”, en la que incluye su finalidad (transmisión, transformación y/o almacenamiento de los datos) o la de “Actividades significativas o críticas (estratégicas)” incluyendo entre estas cualquier actividad que incorpore datos no públicos de clientes.

Condiciones generales que las entidades externalizadoras deben cumplir:

• El Directorio debe pronunciarse sobre la tolerancia al riesgo que está dispuesto a asumir.
• La infraestructura tecnológica utilizada para soportar actividades significativas o estratégicas externalizadas debe ser para uso exclusivo de la entidad contratante.
• Las auditorías independientes elaboradas para la selección, contratación y seguimiento de los proveedores deben hacerse con personal especialista en los distintos riesgos auditados.
• Las entidades deben asegurar que el proveedor realiza sus propios informes de auditoría interna asociados al servicio contratado.
• Definir responsabilidades y obligaciones de las empresas subcontratadas.
• Se debe conocer la ubicación física de los centros de datos.

Continuidad del negocio: la entidad debe verificar que no solo los proveedores de servicios críticos, sino también los proveedores que estos subcontraten, cuentan con planes que aseguren la continuidad de los servicios contratados.

Adicionalmente, la entidad ha de contar con un plan de salida para posibles incumplimientos del proveedor y en este sentido, cerciorarse de que este asegure la portabilidad e interoperabilidad de los servicios contratados.

Seguridad de la información: la entidad, además de verificar que el programa de seguridad de la información permite preservar la confidencialidad, integridad, trazabilidad y disponibilidad de sus activos de información y la de sus clientes, deberá:

• Realizar la gestión y control de la infraestructura de la seguridad de la información dispuesta, como por ejemplo: firewall, antimalware, antivirus, controles anti-spamming, entre otros.
• Contar con un nivel de cifrado que asegure la confidencialidad y la integridad de los datos de punta a punta (end to end) para las conexiones de comunicaciones entre la entidad contratante y el proveedor de servicios.
• Asegurarse de la existencia de medidas efectivas de control y protección sobre ataques externos.
• Realizar evaluaciones periódicas de vulnerabilidad, tener acceso a los registros de auditoría y al seguimiento de las medidas de mitigación.

Servicios realizados en el extranjero: la nueva norma suprime la obligación impuesta por la antigua versión a los centros de Procesamientos de Datos en cuanto a la tenencia de una infraestructura que permitiera contar con capacidad de mantenimiento simultáneo.

Diligencia reforzada para los servicios en la nube: constituye la mayor novedad de Actualización de la RAN. El nuevo apartado V incluye exigencias añadidas para supuestos en los que la contratación implique una actividad considerada como estratégica o crítica. Así, el Directorio deberá aplicar una diligencia reforzada considerando que:

• El proveedor contratado cuenta con certificaciones independientes reconocidas internacionalmente.
• Los contratos son realizados directamente entre la institución contratante y los proveedores para minimizar los riesgos que conllevan los intermediarios.
• La entidad cuenta con informes legales respecto de la regulación sobre privacidad y acceso a la información aplicable.
• La información procesada en el exterior cuenta con la autorización de los clientes.
• El proveedor del servicio realiza sus propios informes de auditoria interna y están disponibles para su consulta.