Circular Bancos 3570, SBIF
PROM. 07.10.20141. Ubicación geográfica del proveedor.
PROM. 07.10.20141. Ubicación geográfica del proveedor.
a) Servicios realizados en el país.
Cuando Circular Bancos 2244, CMF
N° 5
PROM. 23.12.2019el servicio de procesamiento de datos, total o parcial, se realice por una empresa situada en el país, la institución deberá comprobar que la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad del negocio, confidencialidad, integridad, exactitud y calidad de la información. Asimismo, deberá verificar que las condiciones del servicio garantizan la obtención oportuna de cualquier registro, dato o información que necesite, sea para sus propios fines o para
N° 5
PROM. 23.12.2019el servicio de procesamiento de datos, total o parcial, se realice por una empresa situada en el país, la institución deberá comprobar que la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad del negocio, confidencialidad, integridad, exactitud y calidad de la información. Asimismo, deberá verificar que las condiciones del servicio garantizan la obtención oportuna de cualquier registro, dato o información que necesite, sea para sus propios fines o para
cumplir con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitarle esta Comisión.
En cuanto al Centro de Procesamiento de Datos de contingencia, éste deberá cumplir con condiciones de ubicación y distancia del Centro de Procesamiento de Datos principal, que garanticen la continuidad operacional.
b) Servicios realizados en el extranjero
En el caso que la entidad externalice servicios de procesamiento de datos fuera del país, deberá disponer en todo momento de los antecedentes deCircular Bancos 3629, SBIF
N° 6
PROM. 27.12.2017 la empresa contratada. En especial, deberá mantener aquellos antecedentes que respalden la solidez financiera del proveedor del servicio y que éste mantiene certificaciones de calidad, seguridad y apropiados sistemas de control.
N° 6
PROM. 27.12.2017 la empresa contratada. En especial, deberá mantener aquellos antecedentes que respalden la solidez financiera del proveedor del servicio y que éste mantiene certificaciones de calidad, seguridad y apropiados sistemas de control.
Adicionalmente, la entidad debe disponer de los antecedentes del proyecto, del contrato de servicios y, en el caso de existir subcontratos con terceros, estos también deben ser incorporados.
Para resguardar el adecuado funcionamiento del mercado financiero con todos sus participantes, incluidos los clientes, las instituciones que realicen en el exterior actividades consideradas significativas o estratégicas, deberán mantener a disposición de esta Comisión los antecedentes contenidos en el Anexo N° 2 de este Capítulo y cumplir las siguientes condiciones para la externalización de los servicios:
i) Se debe contar con un Centro de Procesamiento de Datos de contingencia ubicado en Chile y demostrar un tiempo de recuperación compatible con la criticidad del servicio externalizado. Asimismo, los tiempos de recuperación deberán ser evaluados por la entidad al menos una vez al año, tanto para los procesos transaccionales como Batch.
ParaCircular Bancos 2244, CMF
N° 3
PROM. 23.12.2019 el caso de bancos que mantengan una adecuada gestión del riesgo operacional en la última evaluación realizada por esta Comisión, calificada de conformidad con lo establecido en el Capítulo 1-13 de esta Recopilación, el Directorio o la instancia que haga sus veces podrá excepcionar este requerimiento, cuando se asegure, por medio de un informe anual, que la entidad cumple entre otros aspectos con la adopción de las siguientes medidas preventivas:
N° 3
PROM. 23.12.2019 el caso de bancos que mantengan una adecuada gestión del riesgo operacional en la última evaluación realizada por esta Comisión, calificada de conformidad con lo establecido en el Capítulo 1-13 de esta Recopilación, el Directorio o la instancia que haga sus veces podrá excepcionar este requerimiento, cuando se asegure, por medio de un informe anual, que la entidad cumple entre otros aspectos con la adopción de las siguientes medidas preventivas:
a) El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.
b) Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de esta Recopilación.
c) Que los sites se encuentran en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.
d) Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.
El informe mencionado deberá ser actualizado anualmente y realizado por una empresa independiente de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.
Consideraciones especiales
En el caso de entidades bancarias que mantengan servicios externalizados en el exterior, bajo las condiciones señaladas en este literal, y que producto de una nueva evaluación sean calificados en la materia de riesgo operacional en una categoría de "Cumplimiento Insatisfactorio" o inferior, deberán informar a esta Comisión sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.
Para aquellas entidades bancarias que no cuentan con una calificación de gestión en el ámbito del riesgo operacional, y que externalicen servicios en el exterior, le serán aplicables todas las medidas preventivas anteriormente señaladas, con excepción de la calificación en esta materia.
ii)Circular Bancos 2244, CMF
N° 4
PROM. 23.12.2019 La institución debe efectuar el control y monitoreo del servicio externalizado, especialmente, en los aspectos relacionados con la seguridad de la información, continuidad del negocio y condiciones de operación del centro de procesamiento. Dichas actividades deben estar debidamente fundamentadas de acuerdo a la gestión de riesgos realizada para el proveedor específico. Lo anterior, independientemente de las actividades propias de control y monitoreo que realice el proveedor del servicio.
N° 4
PROM. 23.12.2019 La institución debe efectuar el control y monitoreo del servicio externalizado, especialmente, en los aspectos relacionados con la seguridad de la información, continuidad del negocio y condiciones de operación del centro de procesamiento. Dichas actividades deben estar debidamente fundamentadas de acuerdo a la gestión de riesgos realizada para el proveedor específico. Lo anterior, independientemente de las actividades propias de control y monitoreo que realice el proveedor del servicio.