Menú de la Sección

Recopilación de Normas Servicios Financieros LIBRO III - TÍTULO VII

7 de Enero, 2013

Vigente

Libro III (Regulación de Riesgos) - Título VII (Requisitos Mínimos de Seguridad)

Menú de la Sección

Artículo 1° - (Administración de servicios y contratos con terceros)

La Entidad Supervisada debe contar con políticas y procedimientos para la administración de servicios y contratos con terceros, con el propósito de asegurar que los servicios contratados sean provistos en el marco de un adecuado nivel de servicios que minimicen el riesgo relacionado y se enmarquen en las disposiciones contenidas en el presente Reglamento según corresponda.

La Gerencia General debe establecer formalmente las responsabilidades y procedimientos para la administración de servicios y contratos con terceros.

Artículo 2° - (Evaluación y selección de proveedores)

Para la contratación de proveedores externos de tecnología de información, la Entidad Supervisada debe poseer un procedimiento documentado, formalizado, actualizado e implementado; aprobado por el Directorio u örgano equivalente, para realizar la evaluación y selección de los mismos, previo a proceder con su contratación.

Artículo 3° - (Procesamiento de datos tercerizado o ejecución de sistemas en lugar externo)

Para la contratación de empresas encargadas del procesamiento de datos o ejecución de sistemas en lugar externo, la Entidad Supervisada debe considerar al menos los siguientes aspectos:

a) Es deber del Directorio u Órgano equivalente, Gerencia General y demás administradores responsables, asegurarse que la empresa proveedora cuente con la experiencia y capacidad necesarias para el procesamiento de datos relacionados al giro de la Entidad Supervisada y que respondan a las características del servicio que se desea contratar;
b) La infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, deben ofrecer la seguridad suficiente para resguardar permanentemente la continuidad operacional, la confidencialidad, integridad, exactitud y calidad de la información y los datos. Asimismo, se debe verificar que éstos garanticen la obtención oportuna de cualquier dato o información necesarios para cumplir con los fines de la Entidad Supervisada o con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitar ASFI;
c) Es responsabilidad de la Entidad Supervisada, verificar y exigir al proveedor de tecnologías de información el cumplimiento de las políticas y procedimientos de seguridad de la información correspondientes;
d) Es responsabilidad de la Entidad Supervisada, asegurar las medidas necesarias que garanticen la continuidad operacional del procesamiento de datos, en caso de cambio de proveedor externo u otro factor no previsto.
e) En caso de que el procesamiento de datos se realice fuera del territorio nacional, la Entidad Supervisada debe comunicar esta situación a ASFI, adjuntando la siguiente documentación:
i. Detalle de las actividades descentralizadas.
ii. Descripción del entorno de procesamiento.
iii. Lista de encargados del procesamiento.
iv. Responsables del control de procesamiento.
v. Informe del Gerente General, dirigido al Directorio u Órgano equivalente, que señale el cumplimiento de lo dispuesto en los incisos precedentes
Dicha documentación debe permanecer actualizada en la Entidad Supervisada, a disposición de ASFI;
f) El Gerente General de la Entidad Supervisada debe remitir anualmente a ASFI hasta el 31 de marzo de cada año, un informe con carácter de declaración jurada refrendado por el auditor interno, en el que se especifique que el(los) sistema(s) externo(s) de procesamiento de datos, cumple(n) con los elementos de seguridad de la información establecidos en el Artículo 4° de la Sección 1 del presente Reglamento.

 

Artículo 4° - (Contrato con proveedor de procesamiento externo)

Es responsabilidad del Directorio u Órgano equivalente y el Gerente General de la Entidad Supervisada, la suscripción de (los) contrato(s) con la(s) empresa(s) proveedora(s) de los servicios de procesamiento, el (los) que entre otros aspectos debe(n) precisar mínimamente,  lo siguiente:

a) La naturaleza y especificaciones de (los) servicio(s) de procesamiento contratado(s);
b) La responsabilidad que asume(n) la(s) empresa(s) proveedora(s), para mantener políticas y procedimientos que garanticen la seguridad, reserva y confidencialidad de la información, en conformidad con la legislación boliviana, así como prever pérdidas, no disponibilidad  deterioros de la misma;
c) La responsabilidad que asume(n) la(s) empresa(s) proveedora(s) de tecnologías en caso de ser vulnerados sus sistemas, ya sea por ataques informáticos internos y/o externos, deficiencias en la parametrización, configuración y/o rutinas de validación inmersas en el código fuente.
d) La facultad de la Entidad Supervisada, para practicar evaluaciones periódicas en la(s) empresa(s) proveedora(s) del servicio, directamente o mediante auditorías independientes

 

La Entidad Supervisada debe mantener los documentos y antecedentes de los contratos suscritos con empresas proveedoras de servicios de tecnología(s) de información a disposición de ASFI.

Artículo 5° - (Adquisición de sistemas de información)

La Entidad Supervisada debe evaluar la necesidad de adquirir programas, sistemas o aplicaciones en forma previa a la adquisición, en base a un análisis que considere como mínimo lo siguiente:

a) Fuentes alternativas para la compra;
b) Revisión de la factibilidad tecnológica y económica;
c) Análisis y evaluación de riesgos en seguridas de la información;
d) Análisis de costo-beneficio;
e) Método de selección del proveedor, que permita un nivel de dependencia aceptable;
f) Disponibilidad de código fuente.
g) Cumplimiento de los requisitos de seguridad de la información establecidos por la Entidad Supervisada.

Si la funcionalidad de (los) producto(s) ofrecido(s), no satisface(n) los requisitos de seguridad de la información establecidos por la Entidad Supervisada, se deben reconsiderar los riesgos y controles asociados, previo a la adquisición del (los) producto(s).

Artículo 6° - (Desarrollo y mantenimiento de programas, sistemas o aplicaciones a través de terceros)

La contratación de empresas encargadas del desarrollo y mantenimiento de sistemas de información, es responsabilidad de la Entidad Supervisada que al efecto, debe considerar al menos los siguientes aspectos:

a) Que la(s) empresa(s) contratada(s) cuente(n) con solidez financiera, personal con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios financieros relacionados al giro de la Entidad Supervisada. Asimismo, asegurar que sus sistemas de control interno y procedimientos de seguridad de la información, responden a las características del servicio que se requiere contratar;
b) Que la infraestructura tecnológica, sistemas operativos y las herramientas de desarrollo, que se utilizarán, estén debidamente licenciados por el fabricante o su representante;
c) La adopción de medidas que garanticen la continuidad del desarrollo y mantenimiento de sistemas, en caso de cambio de proveedor u otro factor no previsto;
d) Que el(los) proveedor(es) de tecnologías de información que cumpla(n) con las directrices de seguridad de la información señalados en el Artículo 1° de la presente Sección;
e) Requisitos de seguridad establecidos por la Entidad Supervisada. 

 

Artículo 7° - (Contrato con empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones)

El contrato con empresas de desarrollo externo debe contener como mínimo, cláusulas destinadas a:

a) Aclarar a quien pertenece la propiedad intelectual en el caso de desarrollo de programas, sistemas o aplicaciones;
b) Indicar en detalle la plataforma de desarrollo, servidores, sistemas operativos y las herramientas de desarrollo, tales como lenguaje(s) de programación y sistema(s) de gestión de base de datos;
c) Especificar que el proveedor debe tener el contrato del personal que participa en el proyecto, actualizado y con cláusulas de confidencialidad para el manejo de la información. Adicionalmente, debe enviar al cliente - entidad supervisada - el currículo de todos los participantes en el proyecto, indicando al menos antecedentes profesionales y personales;
d) Indicar los tiempos de desarrollo por cada etapa en un cronograma y plan de trabajo, incluyendo las pruebas de programas;
e) Con la finalidad de proteger a la Entidad Supervisada, junto a las cláusulas normales de condiciones de pago se debe establecer multas por atrasos en la entrega de productos o provisión de servicios. Al mismo tiempo, indemnización por daños y perjuicios atribuibles al proveedor;
f) Establecer que en caso de que el proveedor sea autorizado a ingresar en forma remota a los servidores de la Entidad Supervisada, debe regirse y cumplir las políticas y procedimientos de la misma en lo referido a la seguridad de la información.
g) Al término del proyecto, al adquirir un producto previamente desarrollado y/o cuando el proveedor no esté en disponibilidad de continuar operando en el mercado, la Entidad Supervisada debe asegurarse el acceso oportuno al código fuente de los programas;
h) Garantizar que, en concordancia con los cambios realizados al sistema de información, programa o aplicación, el proveedor actualice y entregue mínimamente la siguiente documentación:
1. Diccionario de datos;
2. Diagrama de diseño (Entidad Relación, Flujo de datos, entre otros);
3. Manual técnico;
4. Manual de usuario;
5. Documentación que especifique el flujo de la información entre los módulos y los sistemas.

 

Artículo 8° - (Otros servicios)

La Entidad Supervisada podrá tercerizar otros servicios como el mantenimiento de equipos, soporte de sistemas operativos, hospedaje de sitios web, a cuyo efecto debe incluir en su(s) contrato(s) o acuerdo(s) al menos los siguientes aspectos:

a) Tipo de servicio;
b) Soporte y asistencia;
c) Seguridad de datos;
d) Garantía y tiempos de respuesta del servicio;
e) Disponibilidad del servicio;
f) Multas por incumplimiento.

 

Artículo 9° - (Acuerdo de nivel de servicio)

La Entidad Supervisada, de forma previa a la contratación de un proveedor externo de tecnología de información, debe establecer un Acuerdo de Nivel de Servicio (SLA), documento que será parte del contrato respectivo, acorde con los resultados de su análisis y evaluación de riesgos en seguridad de la información y con la criticidad de sus operaciones.

Los parámetros del SLA, pueden referirse al tipo de servicio, soporte y asistencia a clientes, provisiones para seguridad y datos, garantías del sistema y tiempos de respuesta, disponibilidad del servicio o sistema, conectividad, multas por caída del sistema y/o líneas alternas para el servicio, según corresponda.

Artículo 10° - (Servicio de computación en la nube)

La Entidad Supervisada, previo a la contratación de servicio(s) de computación en la nube, debe solicitar la no objeción a ASFI en forma escrita, adjuntando para su evaluación el “Proyecto de implementación del servicio de computación en la nube”, el cual tiene que reflejar mínimamente, el cumplimiento de los siguientes aspectos:

a)

Que no se vulnerará el Derecho a la Reserva y Confidencialidad, establecida en el Artículo 472 de la Ley N° 393 de Servicios Financieros;

b)

Que no se encuentra dentro de las Limitaciones y Prohibiciones, establecidas en los Títulos II, III y IV de la Ley N° 393 de Servicios Financieros, referidos a “Servicios Financieros y Régimen de Autorizaciones”, que pueden realizar las entidades supervisadas por ASFI;

c)

Que el proveedor del servicio cumpla con los requisitos de seguridad de la información dispuestos en el presente Reglamento;

d)

Que el proveedor del servicio cumpla con la normativa y legislación del Estado Plurinacional de Bolivia, existiendo la posibilidad de poder ser examinado por ASFI y/o empresas de auditoría externa bolivianas;

e)

Que en su análisis y evaluación de riesgos en seguridad de la información, se justifique la pertinencia de contratar el servicio de computación en la nube;

f)

Que en las cláusulas del contrato se contemplen los aspectos señalados en los incisos a, b, c y d del presente Artículo.

ASFI podrá objetar la implementación del servicio de computación en la nube, cuando el proyecto presentado, incumpla con lo señalado en los incisos a, b, c, d y f y/o considere insuficiente el análisis y evaluación de riesgos en seguridad de la información, en lo referido a la pertinencia de contratar el servicio de computación en la nube (inciso e).

A efectos de realizar la evaluación del citado proyecto, la Entidad Supervisada debe remitir adjunto a éste copia del borrador del contrato, así como otra documentación que considere pertinente. 

Artículo 11° - (Protección de datos en la nube)

La Entidad Supervisada debe contar con políticas y procedimientos a efectos de definir los criterios que garanticen el debido tratamiento, protección y privacidad de datos personales cuando se utilicen los servicios de computación en la nube, considerando la normativa nacional en actual vigencia y los referentes internacionales en esta materia. 

Artículo 12° - (Nivel de riesgo del servicio de computación en la nube)

La entidad supervisada, antes de contratar los servicios de computación en la nube, debe realizar un diagnóstico del nivel de riesgo y la sensibilidad de la información y/o los recursos tecnológicos a ser expuestos, el cual debe estar contenido en el “Proyecto de implementación del servicio de computación en la nube”.