Los nuevos lineamientos se incorporan en el Capítulo 20-7 de la Recopilación Actualizada de Normas.
En los últimos años se ha producido una importante evolución de los servicios informáticos que apoyan los negocios de las instituciones bancarias. Como parte de esa evolución se han desarrollado en forma creciente los servicios “Cloud” (servicios en la nube), atrayendo el interés de las entidades financieras como una forma de lograr mayores niveles de eficiencia y menores costos.
En ese contexto, atendiendo las características y riesgos asociados a este tipo de servicios, la SBIF decidió establecer ciertas condiciones mínimas que deben cumplir las entidades financieras para la externalización de servicios en esa modalidad, orientados a mitigar los riesgos asociados.
Dado lo anterior, a fines de agosto 2017 y hasta principios de octubre, la SBIF expuso para consulta pública una propuesta de modificación normativa, con las nuevas definiciones y lineamientos que contendría el Capítulo 20-7 de la Recopilación Actualizada de Normas, sobre externalización de servicios, por tratarse de la contratación de servicios a un proveedor externo, aunque con ciertas particularidades.
Durante dicho periodo de consulta pública se recibieron comentarios de poco más de 30 interesados, entre bancos, sociedades de apoyo al giro, cooperativas de ahorro y crédito, proveedores de servicios nacionales y extranjeros, cajas de compensación, asociaciones gremiales, instituciones públicas y empresas de consultoría.
Los comentarios recibidos permitieron precisar y mejorar algunas definiciones asociadas al Cloud Computing y las tecnologías de la información en general, además de aclarar el alcance de los requisitos adicionales que son exigibles, en caso que dichos servicios involucren actividades significativas o estratégicas.
Como resultado de lo anterior, finalmente el día de hoy se emite la citada modificación al Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) de la SBIF. Con el cambio normativo que resulta de este proceso, además de compatibilizar los actuales requisitos exigidos para la contratación de servicios externos, la SBIF busca:
Cabe recordar este tipo de normativa obedece a que los bancos, por la naturaleza de su giro, siempre son los responsables del adecuado funcionamiento de las actividades que la Ley General de Bancos les autoriza, independientemente de las responsabilidades que competan a sus proveedores. Por tal motivo, dichos servicios son considerados dentro de sus procesos generales de evaluación y gestión de riesgo operacional, en el contexto de lo señalado en la letra C) del numeral 3.2 del Título II del Capítulo 1-13 de la Recopilación Actualizada de Normas.
A través de esta modernización de la regulación, la Superintendencia atiende a los riesgos asociados a las actuales tecnologías que está utilizando la banca.
Principales novedades de la normativa
La normativa define los servicios en la nube (Cloud Computing) como “un modelo de prestación de servicios, configurable según demanda, para la provisión de servicios asociados a las tecnologías de la información a través de redes, basado en mecanismos técnicos como la virtualización, bajo diferentes enfoques o estrategias de suministro”.
Además, distingue entre una nube privada y una pública, entendiendo como “privada” aquella infraestructura de nube provista para el uso exclusivo de una entidad, comprendiendo múltiples usuarios (por ejemplo, unidades comerciales), la que puede ser de propiedad, administración y operación de la misma institución, de un tercero o una combinación de ambos; y puede encontrarse tanto dentro como fuera de las instalaciones del contratante. En tanto, “nube pública” comprende la infraestructura de nube provista para el uso de varias entidades, que pertenece a un proveedor de este servicio, es administrada y operada por éste y la infraestructura se encuentra en las instalaciones del proveedor.
Bajo estos conceptos y entre sus principales novedades, los ajustes a la normativa establecen los lineamientos de diligencia reforzada que deben establecer las entidades bancarias al contratar un servicio de Cloud Computing.
Estos lineamientos se describen a continuación:
En forma adicional a la regulación ligada a Cloud Computing, la normativa incorpora nuevos requerimientos en el ámbito de la seguridad de la información y continuidad del negocio que aplican para la externalización de servicios en general.