domingo, diciembre 22

Sudeban regula estrictamente uso de computación de nube en la banca

La Superintendencia de Instituciones del Sector Bancario (Sudeban) estableció un riguroso marco normativo para la utilización de servicios de Computación de Nube en la banca venezolana, con el fin de garantizar la seguridad de las operaciones y asegurarse de que los datos críticos del sistema no estén disponibles fuera del territorio nacional.

En este sentido, la Sudeban recuerda en una circular enviada a los entes regulados la prohibición expresa de trasladar centros de cómputos y bases de datos «determinadas como principales» de los usuarios de los bancos fuera del territorio nacional, indica la nota de Banca y Negocios.

Además advirtió sobre los eventuales riesgos que puede suponer el uso de la Computación de Nube en las operaciones bancarias, debido a su potencial exposición a ataques informáticos, por lo que el ente regulador bancario considera necesario establecer unas normas potenciales.

Una de las fundamentales es que las empresas proveedoras de servicios de Computación de Nube que sean contratadas por bancos tengan presencia en el territorio nacional.

Además, la Sudeban establece que los contratos -con todos sus términos- deben ser sometidos a aprobación previa de la institución antes de ser suscritos.

Igualmente, el organismo da un plazo de 20 días, a partir de la fecha de emisión de la circular para adecuar los contratos a los requisitos previstos esta norma.

La circular tiene fecha del pasado 29 de diciembre de 2023.

Sudeban: previsiones fundamentales

La circular ordena a los bancos la creación de un «marco de gestión de riesgos tecnológicos» asociados a la implantación de modelos de Computación de Nube, que incluya el uso de API´s o servicios web suministrados por terceros. Este informe debe ser remitido a la Unidad de Administración de Riesgo (UAIR).

Además, ordena mantener un «inventario actualizado» de todos los activos que componen los sistemas, componentes de tecnología y de seguridad de la información, «conjuntamente con su clasificación de acuerdo a su nivel de sensibilidad, criticidad, o confidencialidad».

Los bancos deben definir una estrategia y arquitectura de seguridad en la nube, mantener actualizados los manuales de políticas, normas y procedimientos que se utilizan en los servicios de este modelo de computación virtualizada.

Igualmente, la Sudeban instruye que la información sensible debe estar protegida en los procesos de generación, transmisión y almacenamiento, «a través del uso algoritmos de cifrados robustos» que salvaguarden la confidencialidad y seguridad de la información.

Las instituciones financieras deben realizar pruebas de vulnerabilidades y penetración al perímetro de la red, «por lo menos una vez al año».

Los contratos

La Sudeban establece una serie de requisitos de información para aprobar los contratos de servicios de Computación de Nube entre los que destacan:

  • Identificación completa de las partes
  • Naturaleza y especificación del servicio contratado
  • Acuerdos específicos de confidencialidad y no revelación de información
  • Ubicación física de dónde se procesarán y almacenarán los datos
  • Procedimientos de atención y solución de incidentes tecnológicos, así como políticas específicas de seguridad de la información
  • La determinación de la responsabilidad que asume la empresa proveedora de «mantener políticas, normas, procedimientos que garanticen la seguridad informática; así como aquellas tendentes a prevenir pérdidas, atrasos o deterioro de los datos»
  • Niveles de servicio esperados y aceptables
    Cumplir requisitos legales en cuanto a derechos de propiedad intelectual y derechos de autor
  • Los bancos deben estar autorizados por contrato a auditar «responsabilidades contractuales o a contratar a un tercero» para la realización de estas auditorías

Igualmente las empresas proveedoras de servicios de Computación de Nube estarán obligadas a «informar de manera inmediata» a los bancos «sobre cualquier evento que pudiera afectar la prestación del servicio».

Las proveedoras estarán obligadas a «ejecutar pruebas de penetración, como mínimo una vez al año, además de la evaluación de vulnerabilidades y corrección oportuna de las brechas detectadas«.

 

 

 

Por: Agencia