Menú de la Sección

Artículo 1° - (Responsable de la seguridad informática).

El Directorio u Órgano equivalente, debe aprobar para uso obligatorio de la Entidad Financiera y de prestación de servicios auxiliares financieros, la Estrategia, Políticas y Normas de Seguridad Informática, considerando como mínimo las disposiciones establecidas en el presente capítulo. Es responsabilidad del Directorio u Órgano equivalente, Gerencia General, y demás administradores responsables, tener formalizados por escrito, actualizados e implementados las políticas, normas y procedimientos, a ser aplicados en la administración y control de los sistemas de información y su tecnología que la soporta. La estrategia, las políticas, normas y procedimientos podrán ser solicitadas para su revisión, cuando ASFI así lo requiera.

Artículo 2° - (Características y criterios de la información).

Los datos que administren las Entidades Financieras y las empresas de servicios auxiliares financieros deben contener un alto grado de seguridad para cumplir con los objetivos de control y criterios básicos de información definidas por ASFI. Los criterios básicos se describen a continuación:

a)	Confiabilidad: Proveer información apropiada y confiable para el uso de las Entidades Financieras y empresas de servicios auxiliares financieros tanto interna como externamente.
b)	Confidencialidad: Protección de información sensible para que no se divulgue sin autorización.
c)	Integridad: Se refiere a la exactitud y suficiencia de la información, así como su validez de acuerdo con los valores y expectativas de la actividad de la Entidad Financiera.
d)	Disponibilidad: Oportunidad de la información, cuando sea requerida.
e)	Efectividad: Adecuada información para desarrollar las actividades de las Entidades Financieras y empresas de servicios auxiliares financieros.
f)	Eficiencia: Proveer información suficiente a través del uso de los recursos de la mejor manera posible.
g)	Cumplimiento: Debida atención a las leyes, regulaciones y acuerdos contractuales que la Entidad Financiera y empresas de servicios auxiliares financieros deben realizar.

Artículo 3° - (Políticas, normas y procedimientos).

El área de Tecnologías de la Información de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, para asegurar la continuidad operativa de esta, debe tener formalizado por escrito, implementadas y actualizadas, las políticas, normas y procedimientos de seguridad informática para las áreas fundamentales de la función informática, a saber:

a)	Gestión: Dirección, planificación, control y supervisión
b)	Operación: Procesos y tareas propias del área informática
c)	Administración de usuarios

a)	Gestión: La gestión o administración directiva, debe contener a lo menos, las políticas, normas y procedimientos respecto a: 1. Plan informático 2. Comité de informática 3. Comité operativo del área 4. Desarrollo y mantenimiento de sistemas 5. Administración de contratos externos
b)	Operaciones: El área de operaciones deberá contener a lo menos, las políticas, normas y procedimientos de: 1. Seguridad física de sala de servidores y el entorno que la rodea 2. Respaldos y recuperación de información 3. Registro de caídas de los sistemas o no disponibilidad de servicios que afecten la atención normal al público 4. Administración de cintoteca interna y externa 5. Control y políticas de administración de antivirus 6. Administración de licencias de software y programas 7. Traspaso de aplicaciones al ambiente de explotación 8. Inventario de hardware y software 9. Seguridad de redes i. Características, topología y diagrama de la red ii. Seguridad física de sites de comunicaciones iii. Seguridad y respaldo de enlaces iv. Equipos de seguridad y telecomunicaciones v. Seguridad de acceso Internet/Intranet
c)	Administración de Usuarios: El área de administración de usuarios deberá contener a lo menos, las políticas, normas y procedimientos para: 1. Administración de privilegios de acceso a sistemas 2. Administración y rotación de password 3. Asignación y responsabilidad de hardware y software 4. Administración de estación de trabajo ó PC 5. Uso de comunicaciones electrónicas 6. Administración y control de usuarios Intranet/Internet

Artículo 4° - (Plan de contingencias tecnológicas).

Las Entidades Financieras y las Empresas de Servicios Auxiliares Financieros deben tener formalizado por escrito, actualizado, implementado y aprobado por el Directorio u Órgano Equivalente, un Plan de Contingencias Tecnológicas. El plan debe incluir al menos:

a)	Objetivo del plan de contingencias tecnológicas
b)	Metodología del plan de contingencias tecnológicas
c)	Procedimientos de recuperación de operaciones críticas
d)	Descripción de responsabilidades e identificación de personal clave
e)	Medidas de prevención
f)	Recursos mínimos necesarios para la recuperación
g)	Convenios realizados para la recuperación

Artículo 5° - (Pruebas del plan de contingencias tecnológicas). Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros, deben efectuar al menos 1 prueba al año del Plan de Contingencias Tecnológicas, debiendo ser el resultado de esta exitoso en toda su dimensión, caso contrario la Entidad de Intermediación Financiera o Empresa de Servicios Auxiliares Financieros debe realizar las pruebas que sean necesarias hasta cumplir con los objetivos del plan de contingencia. Esta prueba se realizará de acuerdo al cronograma que la Entidad Financiera presente a ASFI una vez que el Plan esté implementado formalmente. En estas pruebas debe participar el auditor interno. El resultado de éstas deben estar disponible para las inspecciones efectuadas por ASFI.

De acuerdo al grado de complejidad en las operaciones y uso de las Tecnologías de Información en cada Entidad Financiera o empresa de servicios auxiliares financieros, ASFI requerirá un cumplimiento, desarrollo y especificación mayor en cada uno de los puntos descritos en esta Sección.