SBIF emite una serie de modificaciones normativas sobre ciberseguridad

Se introdujeron cambios en los Capítulos 20-8 y 1-13 de la Recopilación Actualizada de Normas y se actualizan las normas sobre comunicación de incidentes operacionales.

Las modificaciones normativas materializan parte de las iniciativas en ciberseguridad que apuntan a contar con más y mejor información sobre incidentes en riesgo cibernético, así como elevar los estándares de gestión de las instituciones en estas materias.

Objetivo

Estas modificaciones ponen en práctica las medidas adoptadas por la SBIF para fortalecer a la industria financiera, elevando los estándares de seguridad para transitar a un sistema financiero en que los clientes puedan contar con un acceso seguro, confiable y continuo a su dinero y productos financieros en todo momento.

Se introdujeron cambios en el Capítulo 20-8, perfeccionando el sistema de reporte de incidentes, creando una plataforma digital especialmente establecida para ello por la Superintendencia, en un plazo máximo de 30 minutos, esto a partir del 1 de octubre próximo. Adicionalmente, se establece la obligación de designar un encargado de nivel ejecutivo para comunicarse con la Superintendencia en todo momento.

Desde ahora será obligación informar oportunamente a los usuarios y clientes sobre los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de público conocimiento.

Por último, se establece la obligación de mantener un sistema de alerta de incidentes de Ciberseguridad entre los miembros de la industria, para que compartan parte de la información de los incidentes, y así las demás entidades puedan adoptar las medidas necesarias.

Capítulo 1-13

Se introducen modificaciones que hacen de la Ciberseguridad un criterio especial de evaluación de la gestión de un banco. Se agregan robustas modificaciones tendientes a que los Directorios se involucren directamente estas medidas, incluida la obligación de pronunciarse sobre la gestión de la ciberseguridad al menos una vez al año. Se evaluará también el que la entidad cuente con una base de incidentes de Ciberseguridad.

Circulares complementarias

Junto a las anteriores, se publicaron las circulares que actualizan las normas sobre comunicación de incidentes operaciones, que aplican también a las Sociedades de Apoyo al Giro, Filiales bancarias, Cooperativas de Ahorro y Crédito fiscalizadas por la SBIF y las empresas emisoras y operadores de tarjetas de pago.

Dichas entidades también están obligadas a reportar a la Superintendencia los incidentes operacionales que las afecten, además de comunicar a sus clientes los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o aquellos que sean de público conocimiento.

Más información

Las circulares emitidas se pueden revisar en la sección Últimas Normas del sitio web SBIF y los capítulos modificados, se encuentran disponibles en la sección Recopilación Actualizada de Normas (RAN).

 

 

Publicado: 31/08/2018 - 19:45 horas