Banner de la Conferencia Desarrollo y Estabilidad Financiera

Banner de Cronología Bancaria de CMF Chile

Visitar el sitio web Cliente Bancario

SBIF publica para comentarios modificaciones a normas sobre externalización de servicios

Corresponde al Capítulo 20-7, de la Recopilación Actualizada de Normas (RAN) sobre externalización de servicios, y a la Circular N° 2 para empresas emisoras de tarjetas de pago no bancarias y empresas operadores de tarjetas de pago, en relación a la misma materia.

La Superintendencia de Bancos e Instituciones Financieras (SBIF), atendiendo el entorno creciente de innovación y desarrollo del mercado financiero, como de las nuevas tecnologías de soporte, pero siempre compatibilizándolo con una sólida gestión de los riesgos operacionales que ello involucra, publica para comentarios, una propuesta de modificación al Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) para Bancos, norma que también se aplica, en lo pertinente, a otras entidades fiscalizadas, como filiales bancarias, sociedades de apoyo al giro bancario y emisores y operadores de tarjetas de pago.

Con esta modificación en consulta, se actualizan las condiciones que deben cumplir las instituciones en el caso que decidan externalizar servicios de procesamiento de datos fuera del país.

La propuesta modificación busca avanzar hacia un modelo en el cual los Directorios podrán excepcionar la exigencia de disponer un centro de procesamiento de datos de contingencia en el país, para las actividades consideradas significativas o estratégicas, siempre y cuando esas instancias se aseguren, mediante un informe, que las respectivas entidades han tomado las medidas necesarias para que la externalización de servicios cumpla, al menos, con los siguientes requisitos:

  • Que los servicios externalizados, en caso de indisponibilidad, no sobrepasen dos horas como tiempo de recuperación objetivo (RTO).
  • Que los sites de procesamiento de datos cumplen con un tiempo de disponibilidad de operación de al menos 99,995% o downtime anual de 0,8 horas.
  • Que los sites se encuentran en ubicaciones distintas que mitigan el riesgo geográfico y los riesgos políticos.
  • Que en términos de seguridad de la información los servicios externalizados  se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.

Para el caso de los bancos, además de lo anterior, deberá contarse con una adecuada calificación de gestión en materia de riesgo operacional, en las dos últimas evaluaciones realizadas por esta Superintendencia, de acuerdo con lo establecido en el Capítulo 1-13 de la RAN.

El informe mencionado deberá ser realizado por una empresa independiente de reconocido prestigio y experiencia en el servicio que otorga y deberá ser actualizado anualmente.

Las nuevas instrucciones permanecerán en consulta pública hasta el 28 de junio de 2019. Los comentarios deben ser ingresados en la sección Normativa en Trámite del sitio web institucional.

 

Ver además:

 

Publicado: 27/05/2019 - 18:15 horas