Menú de la Sección

Todos los contratos con proveedores externos son importantes, deben encontrarse formalizados de manera que permitan a las Entidades Financieras y Empresas de Servicios Auxiliares Financieros operar en todas sus áreas de negocio, así como en procesos del tipo Banca Electrónica ó Internet (hospedaje del sitio WEB o WAP) y otros como mantenimiento de equipos, soporte de sistemas operativos, externalización de especialistas informáticos, aseo y limpieza.

Artículo 1° - (Contratación de proveedores externos de tecnologías).

Las Entidades Financieras y Empresas de Servicios Auxiliares Financieros al contratar los servicios de proveedores externos de tecnologías de:

a)

Procesamiento de datos o ejecución de sistemas en lugar externo. Para la contratación de empresas encargadas del procesamiento de datos o ejecución de sistemas en lugar externo, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1. Que es deber del Directorio u Órgano Equivalente, Gerencia General, y demás administradores responsables de la Entidad de Intermediación Financiera o Empresa de Servicios Auxiliares Financieros solicitante, asegurarse que la empresa proveedora cuente con la necesaria experiencia y capacidad en el procesamiento de datos y servicios bancarios que respondan a las características del servicio que se desea contratar. 2. Que la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la información y los datos. Asimismo, verificar que las condiciones garantizan la obtención oportuna de cualquier dato o información que necesite, sea para sus propios fines o para cumplir con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitarle la ASFI. 3. Que es responsabilidad del Directorio u Órgano Equivalente y el Gerente General de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, la suscripción del contrato con la empresa proveedora, el que entre otras cosas deberá especificar: i. La naturaleza y especificaciones del servicio de procesamiento contratado. ii. La responsabilidad que asume la empresa proveedora, para mantener políticas, normas y procedimientos que garanticen la seguridad informática, el secreto bancario y la confidencialidad de la información, en conformidad con la legislación boliviana, asimismo, para prever pérdidas atrasos o deterioros de la misma. iii. La responsabilidad que asume la empresa proveedora de tecnologías en caso de ser vulnerados sus sistemas, por atentados computacionales internos o externos. iv. La facultad de la Entidad Financiera o de la empresa de servicios auxiliares financieros, para practicar evaluaciones periódicas en la empresa proveedora del servicio, directamente o mediante auditorias independientes.

b)

Desarrollo y mantenimiento de programas, sistemas o aplicaciones. Para la contratación de empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones, la Entidad Financiera o Empresa de Servicios Auxiliares Financieros debe considerar al menos los siguientes aspectos: 1. Que es deber de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, asegurarse que la empresa contratada cuente con la necesaria solidez financiera, organización y personal adecuado, con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios de intermediación financiera, asimismo de que sus sistemas de control interno y procedimientos de seguridad informática, responden a las características del servicio que se desea contratar. 2. Que la infraestructura tecnológica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarán estén debidamente licenciados por el fabricante o representante de software.

Artículo 2° - (Relación contractual con el proveedor externo de tecnologías).

El contrato con el proveedor externo de tecnologías deberá contener como mínimo las siguientes cláusulas:

a)	Programas fuente.- Al término del proyecto, el cliente debe asegurarse el acceso oportuno a los programas fuentes.
b)	Propiedad intelectual.- Se debe aclarar a quien pertenecerá la propiedad intelectual en el caso de desarrollo de programas, sistemas o aplicaciones.
c)	Plataforma de desarrollo.- Se debe indicar en detalle la plataforma de desarrollo que utilizará el proveedor, servidor, sistemas operativos y las herramientas de desarrollo, tal como lenguaje de programación y motor de base de datos.
d)	Formalización de recursos humanos.- El proveedor deberá tener el contrato del personal que participa en el proyecto, actualizado y con cláusulas de confidencialidad para el manejo de la información. Adicionalmente, debe enviar al cliente (Entidad Financiera o empresa de servicios auxiliares financieros) el currículo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales.
e)	Cronograma y plan de trabajo.- Se debe indicar los tiempos de desarrollo por cada etapa en forma detallada, incluyendo las pruebas de programas.
f)	Atrasos y riesgos.- Con la finalidad de proteger a la Entidad Financiera o Empresa de Servicios Auxiliares Financieros, junto a las cláusulas normales de condiciones de pago se deben establecer multas por atrasos en la entrega. Al mismo tiempo, indemnización por daños y perjuicios, en caso de fraudes o atentados cibernéticos.
g)	Acceso remoto.- En caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores del cliente, debe regirse y cumplir las normas, políticas y procedimientos de la Entidad Financiera o Empresa de Servicios Auxiliares Financieros en lo referido a la seguridad de información.

Artículo 3° - (Seguridad informática del proveedor).

Adicionalmente, el proveedor debe tener formalizados las políticas, normas y procedimientos de seguridad informática, tales como:

a)	Desarrollo de sistemas de información y programas
b)	Mantenimiento de sistemas y programas
c)	Seguridad física sala de servidores
d)	Respaldos y recuperación de información
e)	Respaldo y recuperación de bases de datos
f)	Administración de cintoteca interna y externa
g)	Control y políticas de administración de antivirus
h)	Administración de licencias de software y programas
i)	Traspaso de aplicaciones al ambiente de explotación (producción)
j)	Administración y control de equipos de seguridad
k)	Plan de contingencias tecnológicas

Es de responsabilidad de la Entidad Financiera o de la Empresa de Servicios Auxiliares Financieros, verificar la seguridad informática del proveedor a través de una metodología que cumpla con este objetivo.

Asimismo, la Entidad Financiera o la empresa de servicios auxiliares debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnología de información a disposición de ASFI.