:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/UBOJAUQJ7FBCFIDVP772QF224Q.jpg)
En los primeros meses del año se han publicado importantes reglamentos de la SBS, entre ellos el nuevo Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.
Este tiene como objetivo regular temas de seguridad digital y ciberseguridad de los usuarios y del sistema financiero, aspectos que antes estaban regulados en diferentes normas, atendiendo a la creciente digitalización de los servicios financieros acelerada por la pandemia generada por el COVID-19.
Dario Bregante, Gerente del área de Regulación Financiera y FinTech de EY Law, menciona tres aspectos clave del Reglamento de Gestión de la Seguridad de la Información y Ciberseguridad. Siendo el primero de ellos la contratación digital. A partir de la entrada en vigor del Reglamento, el acceso a las plataformas digitales de empresas supervisadas requiere de al menos dos factores de autenticación, pudiendo ser: una clave secreta, un token físico, la huella digital o el reconocimiento facial.
Según Numa Arellano, Socio de Consultoría para la Industria Financiera de EY, “El principal riesgo de cara a la contratación digital es el riesgo de fraude por suplantación de identidad, es por ello que la nueva norma incluye requisitos mínimos de control para poder mitigar dicho riesgo en el proceso de autenticación.”
Numa nos comenta que, para tratar de manera adecuada a los riesgos asociados a la seguridad de la información y ciberseguridad, las empresas deberán constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC) para asumir las responsabilidades específicas de gestión, así como solicitar que la Función de Seguridad de Información y Ciberseguridad incluya dentro de sus funciones, actividades claves para el despliegue del programa y manejo de incidentes. Para lo cual deben contar con un equipo de trabajo multidisciplinario, capacitado para su manejo.
Otro aspecto clave que se puede observar es la gestión de los servicios provistos por terceros y la subcontratación, que ahora hace referencia a subcontratación cuando se trata de la entrega de bienes y/o servicios provistos por terceros que podrían ser desarrollados por la empresa financiera.
Dario destaca que la nueva normativa aplicable a subcontratación tendrá un impacto en las alianzas entre el sector financiero y las FinTech, las cuales están enmarcadas en el uso de APIs (interfaz de programación de aplicaciones, mejor conocido como API por sus siglas en inglés).
Numa complementó informando que la banca se encuentra impulsando el proceso de transformación digital proponiendo nuevos servicios a sus clientes en los canales digitales. Tal es el caso de la colaboración entre Kambista y Rappi con Interbank, de esta manera las FinTechs podrán integrar servicios financieros bancarios en la plataforma de esta, a través del uso de API. Al respecto detalla que, la empresa debe diseñar una estrategia tributaria para protegerse, ya que finalmente es ella la que asume la responsabilidad sobre los procesos
Finalmente sobre el tercer punto clave: el procesamiento de datos en el exterior, dado el incremento de servicios en la nube, Dario comenta que ahora ya no será necesario solicitar una autorización a la SBS para el procesamiento de datos en el exterior siempre que las empresas cumplan con las obligaciones previstas en el Reglamento, las cuales consisten en asegurar el acceso adecuado a la información, en tiempos razonables y a solo requerimiento, por parte de la SBS, así como asegurar que la información confidencial en custodia del proveedor sea eliminada definitivamente en caso de término del servicio.
“Sin duda un reto para las entidades financieras, ya que consolida el cumplimiento de los lineamientos asociados a la Gestión del Riesgo Operacional, Gestión Integral de Riesgos y Seguridad de la Información y Ciberseguridad”, finalizó Numa Arellano.