Etiquetas
Ninguna
RESOLUCIÓN BCP N° 10/2022 - REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE
2022-07-29Norma: LeyOrganización: Poder Legislativo NacionalJurisdicción: NacionalAlcance: General
REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE
Artículo 1 - Objeto
Este reglamento tiene por objeto establecer los lineamientos mínimos y las obligaciones que deberán cumplir las entidades supervisadas por la Superintendencia de Bancos que opten por externalizar sus procesos y actividades de servicios computacionales en la nube y para la efectiva administración y supervisión de los servicios en la nube.
Artículo 2 - Ámbito de aplicación
Las disposiciones del presente reglamento son aplicables a las entidades, personas físicas y jurídicas, sometidas al régimen de la Ley N° 861/96 “General de Bancos y Financieras y Otras Entidades de Créditos”, y su modificatoria, además de otras entidades que se encuentran supervisadas y reguladas por la Superintendencia de Bancos por leyes especiales, independientemente del tamaño y la complejidad de sus operaciones y negocios.
Toda referencia a entidades supervisadas en el presente reglamento, se entenderá que abarca a todas las personas físicas y jurídicas supervisadas por la Superintendencia de Bancos.
Artículo 3 - Definiciones
Para los efectos de la presente normativa los términos y expresiones que se indican a continuación tendrán los significados siguientes:
a) Disponibilidad: Porcentaje de tiempo que el servicio tecnológico utilizado por la entidad está efectivamente habilitado para la prestación del servicio.
b) Servicios de computación en la nube: Son aquellos procesos y servicios que permiten el acceso por red, de forma práctica y bajo demanda, a un conjunto de recursos de computación configurables (por ejemplo, redes, servidores, almacenamiento aplicaciones y servicios) que pueden ser suministrados y desplegados por proveedores externos a la entidad, domiciliados en el Paraguay o en el exterior y desplegados rápidamente con una mínima gestión o interacción con un subcontratista opartner o con el proveedor de servicio.
Los modelos de provisión de servicios de computación en la nube pueden ser los siguientes: b.1) Software como servicio (SaaS -Software-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las aplicaciones que corren en la infraestructura de éste, bajo demanda y que pueden ser utilizadas de forma compartida con otros usuarios. La entidad no administra ni controla la infraestructura del proveedor.
b.2) Plataforma como servicio (PaaS - (Platform-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las plataformas en las cuales desarrollan y prueban distintas aplicaciones, mediante el uso de lenguajes y herramientas de programación que son gestionadas por el prestador de servicios. La entidad no administra ni controla la infraestructura del proveedor.
b.3) Infraestructura como servicio (IaaS -Infrastructure-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad la infraestructura que le permite ejecutar software de cualquier tipo, con el propósito de obtener la capacidad de procesamiento informático o de almacenamiento de información mediante servicios estandarizados.
b.4) Otros modelos de provisión de servicios de computación en la nube.
c) Tipos de Implementaciones de nube: Las siguientes definiciones son los tipos de implementaciones en la nube consideradas para la aplicación del presente reglamento:
c.1) Nube pública: Servicios disponibles para ser utilizados por el público en general y que son suministrados por un proveedor que comercializa servicios por demanda.
c.2) Nube privada: Servicios disponibles que se proporcionan para uso exclusivo de una organización. El control y la personalización son realizadas en una infraestructura hospedada en el entorno local de una entidad.
c.3) Nube comunitaria: Servicios disponibles para el uso exclusivo de una comunidad específica de organizaciones que tienen objetivos similares.
c.4) Nube híbrida: Servicios disponibles compuestos de dos o más implementaciones de nube. Por ejemplo, privada y pública, que permanecen como entidades únicas pero que coexisten por tener tecnología que permite compartir datos o aplicaciones entre las mismas, o la combinación de servicios de nube y “on premises” (Aplicaciones locales) o servidores locales, en constante interacción entre ambas plataformas.
c.5) Otros tipos de implementaciones en la nube.
d) Subcontratistas o partners: Terceros contratados por los proveedores de servicios de computación en la nube o de otra forma relacionado con ellos y cuyas actividades comprenden el desarrollo de una parte material de los servicios en la nube que usan las entidades supervisadas. Su actividad puede implicar el acceso a información y datos de la entidad y no está asociada a las actividades auxiliares de mantenimiento y soporte.
Artículo 4 - Obligaciones generales de las entidades
Las entidades que externalicen la operación de sus procesos en servicios computacionales en la nube deben:
a) Disponer de políticas, controles y procedimientos de gestión de riesgos de seguridad de la información aplicables al procesamiento en la nube, con base a lo establecido en el Manual de Gobierno y Control de Tecnologías de la Información (MGCTI), a los estándares internacionales y a las mejores prácticas.
b) Cumplir con la legislación y normativa vigente referente a protección de datos personales y crediticios en los procesos de servicios de computación en la nube a fin de asegurar una adecuada protección a los datos personales de sus clientes.
c) Verificar que el proveedor de servicios en la nube cuente y mantenga vigente, al menos la certificación de un Sistema de Gestión de Seguridad de la Información (como por ejemplo la ISO 27001), y la observancia de los estándares o buenas prácticas de seguridad en los servicios en la nube (tales como ISO 27017, Cloud Security Alliance CCM, entre otros) y para la Protección de la Información Personal (como por ejemplo la ISO 27018), como así también la certificación de la American Institute of Certified Public Accountants (AICPA) en el marco de Controles para la Organización de Servicios (SOC), tanto a nivel financiero como técnico. El proveedor puede certificarse con estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores y debe disponer de informes de controles de organización de servicios.
d) Verificar que el proveedor garantice una disponibilidad acorde con los procesos y servicios prestados en la nube, sea transaccional o de servicios.
e) Verificar que las jurisdicciones en donde se procesará la información cuenten con normas equivalentes o superiores a las aplicables en Paraguay, relacionadas con la protección de datos personales y penalización de actos que atenten contra la confidencialidad, integridad y disponibilidad de los datos y de los sistemas informáticos. Además, la jurisdicción desde la cual se proveerá el servicio debe estar adherida a los Convenios de Colaboración en materia de
Prevención del Cibercrimen.
f) Establecer mecanismos que permitan contar con respaldo de la información que se procesa en la nube, la cual debe estar a disposición de la entidad cuando se requiera, teniendo en cuenta, como mínimo, los procedimientos de respaldo y restauración de datos de la Entidad y normas vigentes relacionadas.
g) Garantizar la independencia de su información y de sus copias de respaldo de la información de las otras entidades que procesen en la nube. La independencia se puede dar a nivel lógico o físico.
h) Mantener cifrada la información clasificada como confidencial, en tránsito o almacenada, usando estándares y algoritmos reconocidos internacionalmente que brinden al menos la seguridad ofrecida por AES (Advanced Encryption Standard), RSA ( Rivest, Shamir y Adleman) o 3DES (Triple Data Encryption Standard) u otros estándares que estén vigentes durante la vigencia de esta normativa, pudiendo el ente regulador definir el tipo de algoritmo aceptado en caso de que surjan nuevas técnicas criptográficas más avanzadas.
i) Tener bajo su control la administración de usuarios y de privilegios para el acceso a los servicios ofrecidos, así como a las plataformas, aplicaciones y bases de datos que operen en la nube, dependiendo del modelo de servicio contratado. Cualquier otro acceso del tipo
administración/mantenimiento u otro por parte del proveedor debe ser con consentimiento de la entidad, con los controles de auditoria pertinentes y bajo ningún caso el proveedor deberá contar con accesos a los servicios lógicos.
j) Monitorear, preferiblemente de manera automatizada, los servicios contratados para detectar operaciones o cambios no deseados y/o adelantar las acciones preventivas o correctivas cuando se requiera.
k) Establecer procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube y sus subcontratistas o partners, cuando sean estos quienes prestan el servicio.
l) Los criterios para seleccionar a las firmas que tendrán a su cargo la auditoría interna y externa de las entidades deberán contemplar las competencias técnicas necesarias para evaluar servicios en la nube.
m) Establecer un programa interno de capacitaciones y certificaciones técnicas, tanto en seguridad como en servicios de nube, para el equipo de soporte de infraestructura y seguridad.
n) Establecer las medidas necesarias para garantizar que, en el caso de una supervisión, la Superintendencia de Bancos o quienes ésta designe, puedan acceder a la información y a la administración de los sistemas de información que operan en la nube. En caso de intervención de la Superintendencia de Bancos se pueda tener acceso de usuarios de consulta, transaccional y otros.
o) La responsabilidad sobre la seguridad de la información es propia e intransferible de cada entidad y debe ser ejercida por cada una, en cuanto establecen los controles de seguridad de acuerdo con la legislación y normativa vigente. A tal efecto, el área o responsable de la seguridad de la información de cada Entidad supervisada deberá tener como contraparte a una persona o área designada por el Proveedor de Servicios en la Nube (PSN), de preferencia del área de seguridad de la información de la misma.
p) El servicio de soporte de la nube deberá contar con un equipo de respuesta a incidentes 24/7, preferentemente en español, y con especialistas certificados en el ámbito de la ciberseguridad. El proveedor de servicios en la nube debe ser capaz de proporcionar a la entidad los registros de auditoría detallados, con un histórico razonable, de modo a poder investigar apropiadamente los incidentes, tanto por iniciativa de la entidad como por los entes reguladores en la materia.
q) En caso de que se determine la utilización de servicios en la nube, en filiales o subsidiaras del exterior, estas obligaciones serán igualmente aplicables.
Artículo 5 - Clasificación de Datos
Las entidades clasificarán su información según las Normas y Estándares Internacionales (ISO/IEC 27001 en su Anexo A o similares) y, además, deberán estar alineados al Manual de Gobierno y Control de Tecnologías de la Información (MGCTI) vigente.
Artículo 6 - Acuerdos o Contratos de Servicios
Los acuerdos o contratos que suscriban las entidades para la prestación de servicios de computación en la nube deben contemplar como mínimo los siguientes elementos:
a) Las condiciones referentes a la capacidad, disponibilidad, tiempos de recuperación, la existencia de planes de continuidad, resolución de incidentes y horarios de atención del proveedor del servicio y la responsabilidad por la prestación del servicio.
b) Las condiciones de seguridad de la información y ciberseguridad de los servicios en la nube y las condiciones establecidas para proteger la privacidad y confidencialidad de los datos de los clientes, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con lo señalado en el artículo 4 de la presente resolución sobre la información procesada en la nube.
c) La propiedad de la información que se procese en los servicios de computación en la nube, precisando que los datos son propiedad de la entidad supervisada y que no se pueden usar para ningún propósito diferente al establecido en el contrato.
d) La disposición específica que determine que en caso de que se realice una subcontratación por parte del proveedor de servicios en la nube, dicha subcontratación deberá adecuarse a todos los requerimientos establecidos por el presente reglamento.
e) Las causales de terminación del contrato por parte de la entidad, incluyendo, el incumplimiento de los acuerdos o niveles de servicio o el cambio de las condiciones que generen impacto negativo al servicio contratado.
f) La finalización del servicio deberá constar en la descripción del propio servicio, identificando la necesidad que pueda existir de que el proveedor devuelva la información a la finalización de la relación contractual en el formato pactado y debiendo constar esto en una cláusula junto al tiempo que tardará el proveedor en realizar la migración de los datos. Se incluirá un periodo de transición tecnológica del servicio que facilite todo tipo de retorno o migración, debiendo contemplar los mecanismos de control, integridad y completitud de los datos.
g) La entrega a la entidad supervisada de informes y certificaciones que demuestren la calidad, desempeño y efectividad en la gestión de los servicios contratados, así como la vigencia de las certificaciones enunciadas en el artículo 4 inciso c) de la presente resolución.
h) La obligación del proveedor del servicio de informar a la entidad supervisada sobre cualquier evento o situación que pudiera afectar significativamente la prestación del servicio y, por ende, el cumplimiento por parte de la entidad supervisada de sus obligaciones frente a los clientes financieros, a la Superintendencia de Bancos y a otras entidades.
i) La obligación de asumir las consecuencias derivadas del incumplimiento en la prestación del servicio.
j) El borrado seguro de los datos existentes en los medios de almacenamiento cuando finalice el contrato, cuando lo solicite la entidad o cuando el proveedor de servicios en la nube elimine y/o reemplace dichos medios.
k) La obligación del proveedor del servicio de realizar las correcciones oportunas y eficaces de las vulnerabilidades informáticas detectadas.
l) La utilización de técnicas de múltiple factor de autenticación para el acceso a las consolas de administración por parte de la entidad supervisada.
m) La priorización en la resolución, cuando estos sean aplicables, en virtud de la naturaleza del tipo de servicio prestado por el Proveedor de Servicios en la Nube (PSN).
n) La seguridad lógica de los sistemas en la nube y los Acuerdos de Niveles de Servicios deben ser monitoreados por la entidad supervisada a fin de dar el cumplimiento.
Artículo 7 - Administración de la Continuidad del Negocio
Las entidades supervisadas deben incluir en el plan de continuidad del negocio la operación en la nube y la realización de pruebas que resulten necesarias para confirmar la efectividad de los procedimientos contingentes.
El plan de continuidad deberá estar adecuado, como mínimo, a lo dispuesto en las disposiciones vigentes en la materia.
Asimismo, deben contar con la estrategia de migración a otra plataforma en caso de terminación del contrato por cualquiera de las partes, por la interrupción o la degradación en la prestación del servicio de parte del proveedor o por cualquier otro motivo que considere razonable la entidad supervisada.
De la misma manera, la entidad deberá tener documentado los procesos de retorno, migración, restitución y transferencia tecnológica en caso de realizar un regreso a su propia plataforma tecnológica. En el documento se deben identificar como mínimo los riesgos que pudieran presentarse en el proceso, los medios que serán empleados, planes de acciones y controles agregados. Además, deberán realizar pruebas en los casos más críticos ante un eventual retorno o migración de plataforma.
Artículo 8 –Comunicación y remisión de información a la Superintendencia de Bancos
La contratación de todos los procesos y servicios de computación en la nube deberá ser comunicada por las entidades dentro de los 30 días hábiles anteriores al inicio del procesamiento de la información en la nube.
En ese sentido, las entidades deben remitir a la Superintendencia de Bancos las siguientes informaciones:
a) El nombre y el domicilio legal del proveedor que prestará los servicios en la nube y de los subcontratistas o partners que le prestarán servicios asociados al objeto del contrato.
b) La relación de los procesos o servicios proveídos por el Proveedor de Servicios en la Nube (PSN) que serán manejados en la nube, incluyendo las aplicaciones, tipo de datos, productos y servicios asociados a éstos.
c) La ubicación física o región donde se procesarán y almacenarán los datos.
d) Las certificaciones otorgadas al proveedor del servicio y/o sitio de procesamiento.
e) Los tipos de auditorías a las que está sometida la entidad.
f) La información sobre los niveles de servicio establecidos.
g) El diagrama con la plataforma tecnológica que soportará los servicios contratados.
h) Tipo de subcontratación (IaaS, PaaS, SaaS, público / privado / híbrido / comunitario).
i) Aprobación de la tercerización de los servicios en la nube por parte de la entidad o el comité designado por éste.
j) Cualquier otra información que pudiera ser requerida por la Superintendencia de Bancos.
k) La criticidad del proceso externalizado.
Cuando, a criterio técnico de la Superintendencia de Bancos, se considere que una comunicación de procesamiento en la nube no contenga todas las informaciones requeridas conforme a la normativa, o cuando, a su criterio, existan dudas sobre el cumplimiento de los lineamientos mínimos establecidos por la presente normativa, para el seguro y correcto procesamiento en la nube, la Superintendencia de Bancos realizará los requerimientos de obligada observancia que considere necesarios. En caso de incumplimiento a los requerimientos de obligada observancia, sin perjuicio de las sanciones que correspondan, la Superintendencia de Bancos ordenará la reversión o suspensión de la provisión de servicios en la nube.
Artículo 9 - Documentación
Las entidades deben mantener actualizada y a disposición permanente de la Superintendencia de Bancos, a través de los medios verificables que establezcan para el efecto la información que se detalla a continuación:
a) La documentación completa de los procesos y procedimientos que se ejecutan en la nube, incluyendo los contratos suscriptos con los proveedores o subcontratistas.
b) La documentación de las aplicaciones que operan en la nube.
c) La documentación de los flujos de datos de los procesos misionales o de gestión contable y financiera que alimentan o consumen las aplicaciones dispuestas por el proveedor de servicios en la nube, cuando aplique.
d) Los diagramas de red que permitan identificar la plataforma que soporta el servicio contratado.
e) Los procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube.
f) Los reportes generales de auditoría, pruebas de vulnerabilidades y estado actual de los servicios contratados.