Por Vanessa Arenas
El pasado 26 de diciembre de 2019, la Comisión para el Mercado Financiero (CMF) de Chile emitió una modificación a la norma que regula la externalización de servicios efectuados por la banca, filiales, sociedades de apoyo al giro, empresas emisoras y operadoras de tarjetas de pago; permitiéndoles ahora exceptuar la exigencia establecida en el Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN), de contar con sites de procesamiento de datos dentro del país para contingencias y actividades significativas.
El incentivo de este ajuste es “generar las condiciones para que las entidades financieras puedan contratar los servicios de empresas de reconocido prestigio a nivel mundial y, al mismo tiempo, dichas empresas vean a Chile como un mercado de gran potencial para sus negocios”. Así lo confirmó la CMF al ser consultado por Ebanking News.
En esta línea, la entrada al país de BigTech de la talla de Amazon, por ejemplo, sería un hecho posible para este nuevo año.
Según detalla la CMF, la idea fue revisar las condiciones para la externalización de servicios críticos y la utilización de los servicios en la nube, con el objetivo de mantener los altos estándares de eficiencia y seguridad requeridos en un área de alta sensibilidad en el negocio financiero.
Seguridad de los datos
De acuerdo a la CMF, la evaluación del nivel de seguridad de los bancos en Chile “es buena y tanto las empresas reguladas, como el regulador, han trabajado intensamente por establecer medidas para fortalecer la seguridad de la información”. Sin embargo, el sector financiero continúa siendo un objetivo atractivo para ciberataques.
“La normativa de externalización de servicios en la nube también es una contribución al fortalecimiento de los niveles de seguridad, en tanto se integren servicios de alto nivel tecnológico provistos por empresas líderes en estas materias. Los directorios deberán evaluar los riesgos y los beneficios de utilizar estos servicios y serán los responsables de tomar la decisión”, apunta el organismo.
Al respecto, el directorio de cada entidad financiera deberá asegurarse de que la institución bancaria tome las medidas necesarias para que los servicios externalizados cumplan con requisitos como:
- El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA).
- Los sites de procesamiento de datos deben cumplir con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de la Recopilación Actualizada de Normas Bancos (RAN).
- Los sites deben estar en ubicaciones distintas, cuyo riesgos geográficos y políticos sean los mínimos posibles.
- En términos de seguridad de la información, los servicios externalizados deben proveerse en un ambiente consistente con las políticas y estándares adoptados por la entidad.
- Se debe contar con un informe anual que respalde el análisis de riesgo efectuado, y que sea emitido por una empresa independiente con experiencia en la evaluación de este tipo de servicios.