La Superintendencia de Banca, Seguros y AFP (SBS) aprobó el reglamento para la gestión de seguridad de la información y ciberseguridad, que establece un marco de referencia para el sistema de gestión de seguridad de la información.
Ello, considerando que el entorno en que se desarrollan las entidades del sistema financiero, de seguro y de AFP es cada vez más interconectado y con mayor exposición a las amenazas cibernéticas, lo cual requiere desarrollar nuevas capacidades y medidas de prevención, identificación, detección y respuesta.
La medida se dispuso, mediante Resolución 504-2021, y los nuevos requisitos desarrollan la obligación de contar con un programa de ciberseguridad, procesos de autenticación en canales digitales, y prácticas seguras en los servicios provistos por terceros.
Además, las empresas deben identificar, detectar y responder a amenazas y vulnerabilidades en el ciberespacio, así como en los diversos sistemas de información y tecnología relacionada.
Estos lineamientos son más exigentes para las empresas de mayor tamaño y complejidad, siguiendo un criterio proporcional al riesgo.
También, se actualizan los requerimientos asociados a la gestión de los servicios provistos por terceros y la subcontratación, toda vez que estos servicios crecen en importancia, en la forma de servicios recibidos por las empresas, así como alianzas y otros acuerdos con empresas fintech.
El procesamiento en nube es, también, desarrollado, y en el caso del procesamiento de información transfronterizo se ha eliminado el proceso de autorización, excepto cuando existen condiciones que pueden limitar el cumplimiento de los requisitos aplicables.
Se precisa, además, modificaciones a los reglamentos de Tarjetas de Crédito y Débito, y de Operaciones con dinero electrónico, a fin de reducir y simplificar la información que las tarjetas deben de incluir cuando son emitidas en forma física o digital.
Las nuevas disposiciones para la gestión de seguridad de la información y ciberseguridad entrarán en vigencia el 1 de julio de 2021, salvo los requisitos de autenticación, que será el 1 de julio de 2022.
Las empresas en marcha deben presentar un plan de adecuación aprobado por el directorio, en un plazo no mayor de 60 días calendarios, contados a partir del 24 de este mes.
Más en Andina:
(FIN) NDP/MMG
JRA
Publicado: 28/2/2021