Sudeban establece regulación estricta para servicios de nube en la banca
La norma más importante ratificada por la Sudeban es la prohibición de la contratación de servicios de nube en el extranjero, pues según la Ley de Instituciones del Sector Bancario, la implementación de estas tecnologías solo puede ser ejecutada por empresas nacionales
La Superintendencia de las Instituciones del Sector Bancario (Sudeban) emitió una circular dirigida a todos los bancos nacionales con la finalidad de establecer un conjunto de normas y requisitos que regularán de ahora en adelante la contratación de servicios de respaldo y gestión de datos bancarios en la nube.
Se denominan «servicios de nube» a aquellos procesos de alojamiento, administración y procesamiento de datos en servidores remotos con conexión a internet. En lugar de hacerlo con servidores locales de la propia empresa, se contrata a una empresa especializada y el banco los gestiona a través de la red.
En aras de optimizar recursos y abaratar costos, la industria bancaria ha empezado a trasladarse paulatinamente a los servicios de nube, por lo que la Sudeban decidió intervenir para normar este proceso de transición que considera «beneficiosa», a pesar de sus «riesgos potenciales de ataques cibernéticos».
Por esta razón, la circular establece un conjunto de requisitos que debe cumplir el proveedor del servicio de nube para poder tercerizar la gestión de los datos del banco, que a su vez gestiona información delicada de miles de clientes.
La primera y más relevante norma que establece la Sudeban es la ratificación, según lo dispuesto en la Ley de Instituciones del Sector Bancario, de que la implementación de servicios de computación en la nube «deberá prever que el proveedor del servicio opere dentro del territorio nacional». En otras palabras, los bancos no pueden contratar empresas especializadas en la gestión de nubes en el extranjero.
De igual manera, el ente regulador solicita una lista de protocolos vinculados con la prestación del servicio, como que la empresa proveedora tenga un marco de gestión de riesgos y un inventario de sus activos, además de una estrategia y arquitectura informática definidas que demuestren la seguridad de la nube.
Todos estos protocolos van de la mano con diversas pruebas de calidad con periodicidad trimestral o anual, según corresponda, que evidencien la respuesta de la empresa ante imprevistos y situaciones de emergencia. Además, se deja en claro que el papel de la compañía que ofrece el servicio es netamente de alojamiento y que solo el banco podrá acceder y gestionar los datos de sus clientes.
Como parte de todos estos protocolos, la Sudeban exige también entregarle informes de resultados de pruebas anuales de continuidad del negocio, de contingencia tecnológica y de recuperación de desastre. También aclara que la relación entre el banco y sus proveedores debe someterse a autorización previa del organismo.
Los contratos que establezcan esta relación entre institución bancaria y proveedor del servicio de nube también deben cumplir con una serie de normas que, en teoría, velan por la protección de datos de los usuarios. En este sentido, los documentos firmados entre el banco y la compañía que almacene los datos en la nube debe contener aspectos como:
- Identificación de las partes, especificación del servicio contratado y ubicación física del lugar en el que se procesarán los datos.
- Acuerdos de confidencialidad.
- Especificación de procedimientos de atención y solución de incidentes tecnológicos, así como de políticas de seguridad de la información. Debe quedar explícita la responsabilidad del proveedor a aplicar políticas, normas y procedimientos que garanticen la seguridad informática.
- Descripción de la arquitectura del servicio.
- Obligación del proveedor de ejecutar pruebas de calidad al menos una vez al año, y la entrega de un informe trimestral de gestión. Además, proveer detalles sobre los controles de seguridad física y ambiental para los equipos.
- Implementar cláusulas de indemnización por daños y perjuicios. También garantizar la contratación obligatoria de una póliza de seguro con cobertura a todo riesgo que permanezca activa durante la vigencia del contrato.
El ente regulador recalca que es el «único responsable» de la verificación de la eficiencia de todos los controles especificados en la normativa, por lo que puede aprobar o rechazar las solicitudes.
Finalmente, aclara que todos los bancos deben implementar esta normativa. Para aquellos que ya posean una relación contractual vigente con empresas proveedoras de servicios de nube, tendrán un plazo de 20 días hábiles para implementar los cambios correspondientes para adecuarse a esta regulación.
*Con información de Banca y Negocios