Circular Bancos 3570, SBIF
PROM. 07.10.2014III. CONDICIONES QUE DEBEN CUMPLIRSE EN LA EXTERNALIZACIÓN DE SERVICIOS.
PROM. 07.10.2014III. CONDICIONES QUE DEBEN CUMPLIRSE EN LA EXTERNALIZACIÓN DE SERVICIOS.
La entidad que decida externalizar alguna actividad, además de considerar los aspectos indicados en el Anexo N° 1 para fines de la contratación de cada servicio en particular, debe dar cumplimiento a las siguientes condiciones:
Circular Bancos 3570, SBIF
PROM. 07.10.20141. Condiciones generales.
PROM. 07.10.20141. Condiciones generales.
a) El Directorio deberá pronunciarse sobre la tolerancia al riesgo que está dispuesto a asumir en el caso de externalizar serviciosCircular Bancos 3629, SBIF
N° 3
PROM. 27.12.2017.
N° 3
PROM. 27.12.2017.
b) Mantener una política debidamente aprobada por el Directorio, que regule las actividades asociadas a la externalización. Esta política debe pronunciarse, al menos, respecto de los elementos indicados en el N° 2 siguiente.
c) Verificar que el proveedor cuenta con mecanismos que permitan prevenir que acciones realizadas por otros clientes afecten negativamente el servicio externalizado por la entidad.
d) Establecer procedimientos formales para la selección, contratación y monitoreo de proveedores.
e) Velar por que el proveedor y el personal a cargo de los servicios contratados posean adecuados conocimientos y experiencia. Asimismo, también deberá vigilar el debido cumplimiento de aquellos aspectos regulatorios y legales que pudiesen afectar la provisión de los servicios contratados (ej. leyes laborales).
f)Circular Bancos 2244, CMF
N° 5
PROM. 23.12.2019 Mantener un catastro actualizado de todos los servicios contratados con empresas externas, determinando claramente aquellos que, a su juicio, son estratégicos y de alto riesgo, de manera de establecer procedimientos de control y seguimiento en forma permanente de acuerdo a los niveles de criticidad que les asigne.
N° 5
PROM. 23.12.2019 Mantener un catastro actualizado de todos los servicios contratados con empresas externas, determinando claramente aquellos que, a su juicio, son estratégicos y de alto riesgo, de manera de establecer procedimientos de control y seguimiento en forma permanente de acuerdo a los niveles de criticidad que les asigne.
g) Establecer procedimientos que aseguren el cumplimiento oportuno y cabal de los compromisos que tiene con sus clientes.
h) Velar por que existan auditorías independientes al proceso de selección, contratación y seguimiento de los proveedores, con personal especialista en los distintos riesgos auditados.
i) Asegurar que el proveedor realice periódicamente informes de auditoría interna o revisiones independientes de sus servicios, conforme con su estructura y el tamaño de su organización, debiendo compartir oportunamente con la institución los hallazgos que le sean pertinentes.
j) Exigir a los proveedores de servicios que los procedimientos operacionales, administrativos y tecnológicos propios del servicio contratado, se encuentren debidamente documentados, actualizados y permanentemente a disposición para su revisión por parte de esta Comisión.
k) Considerar los riesgos que provienen de las cadenas de servicios externalizados, lo que debe quedar reflejado en el contrato respectivo en forma previa, señalándose que en caso de subcontratación, la empresa subcontratada debe cumplir también con las condiciones pactadas entre la entidad y el proveedor de servicios inicial. Asimismo, deben quedar claramente establecidos en los respectivos contratos las responsabilidades y obligaciones que deben cumplir las empresas subcontratadas respecto del servicio externalizado por la entidad.
l) La entidad debe incorporar en sus reportes de riesgo operacional que elabora para el Directorio, o para quien haga sus veces, información respecto de la gestión que realiza la institución para administrar los riesgos de outsourcing, incluyendo los cambios en el perfil de riesgos de los proveedores (como por ejemplo, cambios relevantes en sus procesos y áreas geográficas de donde se prestan los servicios) y la exposición a aquellos servicios considerados críticos.
m) Los datos, plataformas tecnológicas y aplicaciones a utilizar en la externalización de los servicios deben encontrarse en sitios de procesamiento específicos y para el caso de procesamiento en el extranjero, en una jurisdicción definida y conocida. Además de la jurisdicción, se debe conocer la ciudad donde operan los centros de datos.
Circular Bancos 3570, SBIF
PROM. 07.10.20142. Política de contratación y gestión de actividades relativas a la externalización de servicios.
PROM. 07.10.20142. Política de contratación y gestión de actividades relativas a la externalización de servicios.
La política que corresponde ser sancionada por el Directorio de la entidad o del órgano que haga sus veces, debe abordar al menos las siguientes materias:
a) La definición de la estructura de gobierno y de los procedimientos a seguir para autorizar y gestionar la externalización de servicios, incluyendo las líneas de reporte y de responsabilidad.
b) La descripción de las herramientas específicas de evaluación de riesgos en esta materia y de su utilización.
c) Criterios para definir los umbrales o límites permitidos o de tolerancia al riesgo inherente y residual, así como los instrumentos y estrategias de mitigación y monitoreo.
d) Criterios particulares de contratación, cuando se trate de un proveedor que sea una entidad relacionada.
e) Elementos que serán considerados por la entidad para determinar aquellos servicios que, a su juicio, se encuentran asociados con actividades significativas o estratégicas.
f) La definición de aquellas actividades que solo pueden externalizarse previa aprobación del Directorio o de otra instancia de la administración que se defina.
g) Periodicidad de revisión de la política, especialmente cuando existan cambios relevantes en el perfil de riesgo de la entidad.
h) Los elementos mínimos que deberá incorporar el contrato de prestación de servicios.
i) Definición de los mecanismos para contar con autorización previa de cada cliente, en caso que el servicio a externalizar incluya la transmisión de datos fuera del país, que por su naturaleza están sujetos a lo dispuesto en el artículo 154 de la Ley General de Bancos, relativo a la reserva o secreto bancario. Sin perjuicio de lo anterior, cabe recordar que los servicios
externalizados en Chile quedan sujetos a la misma obligación de reserva o secreto según corresponda, a la que se encuentra sujeto la entidad.
j) Definición de los elementos relacionados a la gestión de riesgo que no les sean aplicables a cierto tipo de actividades o servicios que se realicen localmente, de acuerdo a lo dispuesto en el Anexo N° 4.
Circular Bancos 3570, SBIF
PROM. 07.10.20143. Continuidad del negocio.
PROM. 07.10.20143. Continuidad del negocio.
La entidad debe verificar que sus proveedores de servicios críticos cuenten con planes apropiados que aseguren la continuidad de los servicios contratados. De igual forma la entidad debe verificar que sus proveedores críticos se aseguran que los servicios subcontratados por estos cuentan con apropiados planes de continuidad del negocio. Esos planes deben ser probados al menos una vez al año incluyendo, cuando corresponda, el escenario de desastre de sus distintos sitios de procesamiento, debiendo la entidad tomar conocimiento de dicha actividad y verificar los resultados obtenidos. Adicionalmente, la entidad también debe disponer de planes, igualmente probados, para asegurar la continuidad operacional ante la contingencia de no contar con dicho servicio externoCircular Bancos 3629, SBIF
N° 4
PROM. 27.12.2017.
N° 4
PROM. 27.12.2017.
La entidad debe contar con planes de salida en el evento de incumplimientos de dichos proveedores, que consideren el término anticipado de la relación contractual y que permitan retomar la operación, ya sea por cuenta propia o mediante otro proveedor.
La institución debe asegurarse que el proveedor cuente con un proceso formal y sistemático de gestión frente a los incidentes que pudieran interrumpir o afectar la provisión de los productos, servicios o actividades.
Los sitios de procesamiento e infraestructura tecnológica que soporten los servicios externalizados deben considerar los requerimientos señalados en el título II del Capítulo 20-9 de esta Recopilación.
Circular Bancos 3570, SBIF
PROM. 07.10.20144. Seguridad de la información propia y de sus clientes, en los casos que corresponda.
PROM. 07.10.20144. Seguridad de la información propia y de sus clientes, en los casos que corresponda.
La entidad debe cerciorarse que el proveedor de servicio mantiene un programa de seguridad de la información que le permita asegurarCircular Bancos 3629, SBIF
N° 5
PROM. 27.12.2017 la confidencialidad, integridad, trazabilidad y disponibilidad de sus activos de información y la de sus clientes. Estas condiciones deben ser consistentes con las políticas y estándares adoptados por la entidad y quedar incorporadas en el contrato de prestación de servicios.
N° 5
PROM. 27.12.2017 la confidencialidad, integridad, trazabilidad y disponibilidad de sus activos de información y la de sus clientes. Estas condiciones deben ser consistentes con las políticas y estándares adoptados por la entidad y quedar incorporadas en el contrato de prestación de servicios.
La entidad debe controlar y monitorear la infraestructura de seguridad de la información dispuesta por el proveedor, con el objeto de proteger los activos de información presentes en los servicios críticos externalizados, independiente de los controles dispuestos por el proveedor. De igual forma, debe controlar y monitorear la gestión de identidades y control de accesos a la información referida a dichos servicios críticos.
Las conexiones de comunicaciones entre la entidad contratante y el proveedor de servicios deben contar con un nivel de cifrado que asegure la confidencialidad y la integridad de los datos de punta a punta (end to end).
La entidad debe asegurarse que el proveedor disponga de medidas efectivas de control y protección sobre ataques externos que persigan la indisponibilidad de los servicios contratados, como por ejemplo, los de denegación de servicios. Adicionalmente, para los servicios críticos externalizados, la entidad deberá controlar la realización periódica por parte del proveedor de evaluaciones de vulnerabilidad de su infraestructura tecnológica y testeos de penetración.
La información una vez procesada debe ser almacenada y transportada en forma encriptada, manteniéndose las llaves de desencriptación en poder de la entidad. Asimismo, se deben definir los procedimientos de intercambio de claves entre el proveedor de servicios y la institución, además de establecerse los roles y responsabilidades de las personas involucradas en la administración de la seguridad.
En el caso de procesamiento de documentación física, la entidad deberá contar con procedimientos de control que velen por el debido cumplimiento de las condiciones señaladas en este Título. Junto a lo anterior, se deben establecer los procedimientos que aseguren el adecuado traspaso de información a la entidad por parte del proveedor, y que éste en ningún caso mantenga información en su poder después de finalizada la relación contractual.
5. Circular Bancos 2244, CMF
N° 1
PROM. 23.12.2019Riesgo país.
N° 1
PROM. 23.12.2019Riesgo país.
Sólo se podrá externalizar servicios en jurisdicciones que cuenten con calificación de riesgo país en grado de inversión y sus legislaciones cumplan con adecuados estándares internacionales en materia de protección y seguridad de datos personales. No obstante, el Directorio o la instancia que haga sus veces podrá excepcionar fundadamente el requisito de la calificación de riesgo país en grado de inversión, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas. Lo anterior, sin perjuicio de lo señalado en el número 2 letra i) del Título III y el número 1 letra b) del Título IV de este Capítulo.
Circular Bancos 3570, SBIF
PROM. 07.10.20146. Responsabilidad por la gestión.
PROM. 07.10.20146. Responsabilidad por la gestión.
La responsabilidad por la gestión global de los riesgos y funciones de control deberá mantenerla la entidad en el país. Lo anterior es sin perjuicio que en algunas entidades internacionales existan, para efectos de una administración consolidada de sus casas matrices, coordinaciones matriciales entre el personal establecido en el extranjero y personal local.
Por otra parte, en cumplimiento de lo dispuesto en el Capítulo 20-8 de esta RecopilaciónCircular 3579, SBIF
PROM. 23.03.2015, la institución deberá comunicarCircular Bancos 2244, CMF
N° 2
PROM. 23.12.2019 a esta Comisión, en los términos definidos en dicho Capítulo, los incidentes operacionales relevantes que afecten un servicio externalizado en el país o en el exterior.
PROM. 23.03.2015, la institución deberá comunicarCircular Bancos 2244, CMF
N° 2
PROM. 23.12.2019 a esta Comisión, en los términos definidos en dicho Capítulo, los incidentes operacionales relevantes que afecten un servicio externalizado en el país o en el exterior.
Circular Bancos 3570, SBIF
PROM. 07.10.20147. Acceso a la información por parte del supervisor.
PROM. 07.10.20147. Acceso a la información por parte del supervisor.
La entidad contratante debe asegurarse que esta ComisiónCircular Bancos 2244, CMF
N° 5
PROM. 23.12.2019 tenga acceso permanente, sea mediante visitas a las instalaciones de los proveedores de servicios o por vía remota, a todos los registros, datos e información que se procesen, mantengan y generen a través de un proveedor externo, ya sea establecido en el país o en el exterior.
N° 5
PROM. 23.12.2019 tenga acceso permanente, sea mediante visitas a las instalaciones de los proveedores de servicios o por vía remota, a todos los registros, datos e información que se procesen, mantengan y generen a través de un proveedor externo, ya sea establecido en el país o en el exterior.
Al tratarse de un proveedor de servicios establecido en el exterior, deberá prestarse especial atención a las restricciones legales del país anfitrión que pudieren impedir la visita de esta Comisión al proveedor o el acceso a la información y a los datos mencionados en el párrafo anterior. Asimismo, como parte de la gestión de riesgo, la entidad deberá incorporar dentro del análisis aquellos aspectos relacionados con los riesgos legales a la que se expone la información sujeta a secreto o reserva bancaria establecida en la Ley General de Bancos.