Home / Publications / SBS emite el Reglamento para la Gestión de la Seguridad...

SBS emite el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad y dictamina otras disposiciones

Alerta Legal

25 de febrero, 2021

Mediante Resolución SBS No. 504-2021 (“Resolución”), de fecha 23 de febrero de 2021, la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (“SBS”) publicó el Reglamento para la Gestión de la Seguridad de la Información (“Reglamento”) y estableció una serie de modificaciones a distintos Reglamentos de la SBS, tales como el  Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito, y el Reglamento de Operaciones con Dinero Electrónico.

El objetivo del Reglamento es establecer los criterios necesarios para una adecuada gestión de la seguridad de la información aplicable a (i) las empresas detalladas en el artículo 16 y 17 de la Ley General del Sistema Financiero, Ley No. 26702, (ii) las empresas corredoras de seguros conforme al Reglamento para la Supervisión y Control de los Corredores y Auxiliares de Seguros, aprobado mediante Resolución SBS No. 809-2019, y (iii) al Banco de la Nación, Banco Agropecuario, Corporación Financiera de Desarrollo (COFIDE), Fondo MIVIVIENDA S.A. y las Cajas de Beneficios bajo control de la SBS (en conjunto “Empresas”).

La presente Resolución entra en vigencia el 1 de  julio de 2021, salvo por ciertos artículos detallados en la Resolución, y deroga la Circular G 140-2009 con su entrada en vigencia. En ese sentido, la Resolución dispone principalmente lo siguiente:

Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C)

  • Las Empresas deberán implementar el SGSI-C, definido como el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad. Asimismo, el SGSI-C deberá considerar el tamaño y la naturaleza de la empresa, así como la complejidad de sus operaciones.
  • Tiene como principales objetivos (i) contar con una política de confidencialidad, (ii) asegurar el acceso y uso oportuno de la información y (iii) asegurar el no repudio de la información y su autenticidad.
  • El SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros de la Empresa.
  • Las Empresas deberán contar con medidas mínimas de seguridad de la información, tales como utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información.
  • El directorio de la Empresa será responsable de aprobar y facilitar las acciones necesarias para contar con el SGSI-C, mientras que la gerencia general es la encargada de tomar las medidas necesarias para implementar el SGSI-C.
  • Las Empresas deberán informar periódicamente a la SBS información referida a la gestión de seguridad de la información y ciberseguridad.

Programa de ciberseguridad (PG-C)

  • Las Empresas que cuenten con presencia en el ciberespacio deberán contar permanentemente con el PG-C.
  • El PG-C deberá contar con un diagnóstico y un plan de mejora respecto a sus operaciones de ciberseguridad, para lo cual deberá seleccionar un marco de referencia internacional sobre ciberseguridad que permita (i) identificar los activos de información, (ii) protección de las amenazas, (iii) detección de incidentes, (iv) respuesta con medidas que reduzcan el impacto de los incidentes y (v) recuperación de los servicios tecnológicos afectados.
  • La Empresa deberá reportar a la SBS cuando advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto significativo sobre (i) pérdida o hurto de información de la empresa o de clientes, (ii) fraude interno o externo, (iii) impacto negativo en la imagen y reputación de la empresa, e (iv) interrupción de operaciones. En ese sentido, la Empresa deberá efectuar un informe que determine las causas del incidente y las acciones tomadas para su gestión.

Autenticación

  • La Empresa debe implementar procesos de autenticación para controlar el acceso a los servicios que provea a sus usuarios por canales digitales.
  • La Empresa deberá contar con herramientas y procedimientos para implementar el monitoreo de transacciones a fin de evitar operaciones fraudulentas
  • El enrolamiento de un usuario a un canal digital requiere por lo menos que (i) se verifique la identidad del usuario así como tomar las medidas necesarias para reducir la suplantación de identidad, y (ii) generar credenciales con el propósito de asignarlas al usuario.
  • En caso la Empresa utiliza APIs para la provisión de servicios en línea, se deberá implementar medidas sobre ciberseguridad, tales como el  cifrado de datos y los mecanismos de tolerancia de fallos,

Contratación de servicios de nube por parte de las Empresas

  • Las Empresas deberán cumplir con (i) evaluar las amenazas y vulnerabilidades de seguridad de la información, (ii) asegurar que el contrato con el Proveedor de Servicios de Nube (“PSN”) les permita cumplir con sus obligaciones detalladas en el Reglamento y (iii) establecer roles y responsabilidades que asumirá contractualmente el PSN en materia de seguridad de la información.
  • En caso la Empresa desee implementar los servicios de nube, entonces deberá adoptar políticas y procedimientos de seguridad de la información que tome en cuenta las buenas prácticas internacionales y asegurarse que tome en consideración ciertos aspectos, tales como que  el PSN cuente con un registro de eventos (log) disponible u otros registros adicionales para el monitoreo de la seguridad de la información.
  • En caso la Empresa realice una contratación de servicios de nube aplicables a un servicio significativo, entonces deberá considerar principalmente lo siguiente: (i)  validar anualmente que el PSN mantiene vigente las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018,  (ii) verificar anualmente que el PSN cuenta con controles de seguridad de la información, lo cual deberá ser acreditado mediante informes independientes o reportes de auditoría e (iii) informar a la SBS, por lo menos 30 días antes de iniciar la provisión del procesamiento de datos, sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables del servicio.
  • La Empresa deberá contar con un permiso de la SBS para la contratación de servicios de nube proveídos por un PSN del exterior. Dentro de la solicitud deberá incluirse los sustentos legales de las limitaciones identificadas y una propuesta de plan de implementación de las medidas compensatorias. En caso el objeto del servicio o el país/ciudad desde donde se recibe el servicio de nube cambie, entonces deberá realizarse una nueva solicitud.

Dinero electrónico

  • Los soportes mediante el cual se puede hacer uso del dinero electrónico son (i) teléfonos móviles, (ii) tarjetas prepago, (iii) cualquier otro equipo o dispositivo electrónico.
  • Los dispositivos que permitan el uso de dinero electrónico debe incluir como mínimo la siguiente información de manera visible y fácil acceso para el usuario: (i) denominación social de la empresa que emite el soporte en el cual se hace uso del dinero electrónico, (ii) nombre comercial que la empresa asigne al producto e (iii) identificación del sistema de tarjeta (marca).