Las empresas emisoras de dinero electrónico podrán solicitar autorización para la aplicación del régimen simplificado del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) en caso encuentren limitaciones materiales para cumplir con el régimen general.
Esto en aplicación de la Resolución SBS N° 01515-2021, mediante la cual la Superintendencia de Banca, Seguros y Administradoras Privadas de Pensiones (SBS) modifica el reglamento para la gestión de la seguridad de la información y la ciberseguridad.
Informe
La norma modificatoria incorpora a dichas empresas dentro del grupo de entidades que pueden formular el pedido, para lo cual deberán presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, así como establecer requisitos proporcionales para los almacenes generales de depósito.
La solicitud de autorización para la aplicación del Régimen SGSI-C que tales empresas presenten será respondida por la mencionada superintendencia en el plazo de 60 días hábiles.
Con la citada resolución, la SBS también introduce cambios en los aspectos referidos a la contratación de un servicio significativo de procesamiento de datos. De esta manera, se precisa la estrategia de salida de los servicios a cargo del proveedor y se modifica el plazo de entrega de información a la entidad supervisora del servicio significativo de procesamiento de datos contratado.
Así, las empresas a las cuales se les aplica el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad deberán contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor.
Dicha estrategia deberá prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor.
En ese contexto, corresponderá a la empresa informar a la SBS sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables en aplicación de los literales del a) al f), y según corresponda g) del párrafo 24.2 de la citada norma reglamentaria; como máximo 30 días después de iniciar la provisión del procesamiento de datos.
Antecedentes
Mediante la Resolución SBS N° 504-2021, se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad; y se modificó el Reglamento de Auditoría Interna, aprobado por la Resolución SBS N° 11699-2008; y el Reglamento de Auditoría Externa, aprobado por Resolución SBS N° 17026-2010.
También el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por Resolución SBS N° 272-2017; el Reglamento de Riesgo Operacional, aprobado por Resolución SBS Nº 2116-2009; el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS N° 6523-2013; y el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS N° 6283-2013.
Con ello, se estableció un marco de referencia para el sistema de gestión de seguridad de la información y para el fortalecimiento de las capacidades de ciberseguridad y de los procesos de autenticación de las empresas. Se tomó en cuenta los estándares y buenas prácticas internacionales, señala la Superintendencia de Banca, Seguros y Administradoras Privadas de Pensiones (SBS).