REGLAMENTO DE USO DE SERVICIOS PARA COMPUTACIÓN EN LA NUBE
Artículo 1 - Objeto
Este reglamento tiene por objeto establecer los lineamientos mínimos y las obligaciones que deberán cumplir las entidades supervisadas por la Superintendencia de Bancos que opten por externalizar sus procesos y actividades de servicios computacionales en la nube y para la efectiva administración y supervisión de los servicios en la nube.
Artículo 2 - Ámbito de aplicación
Las disposiciones del presente reglamento son aplicables a las entidades, personas físicas y jurídicas, sometidas al régimen de la Ley N° 861/96 “General de Bancos y Financieras y Otras Entidades de Créditos”, y su modificatoria, además de otras entidades que se encuentran supervisadas y reguladas por la Superintendencia de Bancos por leyes especiales, independientemente del tamaño y la complejidad de sus operaciones y negocios.
Toda referencia a entidades supervisadas en el presente reglamento, se entenderá que abarca a todas las personas físicas y jurídicas supervisadas por la Superintendencia de Bancos.
Artículo 3 - Definiciones
Para los efectos de la presente normativa los términos y expresiones que se indican a continuación tendrán los significados siguientes:
a) Disponibilidad: Porcentaje de tiempo que el servicio tecnológico utilizado por la entidad está efectivamente habilitado para la prestación del servicio.
b) Servicios de computación en la nube: Son aquellos procesos y servicios que permiten el acceso por red, de forma práctica y bajo demanda, a un conjunto de recursos de computación configurables (por ejemplo, redes, servidores, almacenamiento aplicaciones y servicios) que pueden ser suministrados y desplegados por proveedores externos a la entidad, domiciliados en el Paraguay o en el exterior y desplegados rápidamente con una mínima gestión o interacción con un subcontratista opartner o con el proveedor de servicio.
Los modelos de provisión de servicios de computación en la nube pueden ser los siguientes: b.1) Software como servicio (SaaS -Software-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las aplicaciones que corren en la infraestructura de éste, bajo demanda y que pueden ser utilizadas de forma compartida con otros usuarios. La entidad no administra ni controla la infraestructura del proveedor.
b.2) Plataforma como servicio (PaaS - (Platform-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las plataformas en las cuales desarrollan y prueban distintas aplicaciones, mediante el uso de lenguajes y herramientas de programación que son gestionadas por el prestador de servicios. La entidad no administra ni controla la infraestructura del proveedor.
b.3) Infraestructura como servicio (IaaS -Infrastructure-as-a-Service, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad la infraestructura que le permite ejecutar software de cualquier tipo, con el propósito de obtener la capacidad de procesamiento informático o de almacenamiento de información mediante servicios estandarizados.
b.4) Otros modelos de provisión de servicios de computación en la nube.
c) Tipos de Implementaciones de nube: Las siguientes definiciones son los tipos de implementaciones en la nube consideradas para la aplicación del presente reglamento:
c.1) Nube pública: Servicios disponibles para ser utilizados por el público en general y que son suministrados por un proveedor que comercializa servicios por demanda.
c.2) Nube privada: Servicios disponibles que se proporcionan para uso exclusivo de una organización. El control y la personalización son realizadas en una infraestructura hospedada en el entorno local de una entidad.
c.3) Nube comunitaria: Servicios disponibles para el uso exclusivo de una comunidad específica de organizaciones que tienen objetivos similares.
c.4) Nube híbrida: Servicios disponibles compuestos de dos o más implementaciones de nube. Por ejemplo, privada y pública, que permanecen como entidades únicas pero que coexisten por tener tecnología que permite compartir datos o aplicaciones entre las mismas, o la combinación de servicios de nube y “on premises” (Aplicaciones locales) o servidores locales, en constante interacción entre ambas plataformas.
c.5) Otros tipos de implementaciones en la nube.
d) Subcontratistas o partners: Terceros contratados por los proveedores de servicios de computación en la nube o de otra forma relacionado con ellos y cuyas actividades comprenden el desarrollo de una parte material de los servicios en la nube que usan las entidades supervisadas. Su actividad puede implicar el acceso a información y datos de la entidad y no está asociada a las actividades auxiliares de mantenimiento y soporte.
Artículo 5 - Clasificación de Datos
Las entidades clasificarán su información según las Normas y Estándares Internacionales (ISO/IEC 27001 en su Anexo A o similares) y, además, deberán estar alineados al Manual de Gobierno y Control de Tecnologías de la Información (MGCTI) vigente.
Artículo 6 - Acuerdos o Contratos de Servicios
Los acuerdos o contratos que suscriban las entidades para la prestación de servicios de computación en la nube deben contemplar como mínimo los siguientes elementos:
a) Las condiciones referentes a la capacidad, disponibilidad, tiempos de recuperación, la existencia de planes de continuidad, resolución de incidentes y horarios de atención del proveedor del servicio y la responsabilidad por la prestación del servicio.
b) Las condiciones de seguridad de la información y ciberseguridad de los servicios en la nube y las condiciones establecidas para proteger la privacidad y confidencialidad de los datos de los clientes, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con lo señalado en el artículo 4 de la presente resolución sobre la información procesada en la nube.
c) La propiedad de la información que se procese en los servicios de computación en la nube, precisando que los datos son propiedad de la entidad supervisada y que no se pueden usar para ningún propósito diferente al establecido en el contrato.
d) La disposición específica que determine que en caso de que se realice una subcontratación por parte del proveedor de servicios en la nube, dicha subcontratación deberá adecuarse a todos los requerimientos establecidos por el presente reglamento.
e) Las causales de terminación del contrato por parte de la entidad, incluyendo, el incumplimiento de los acuerdos o niveles de servicio o el cambio de las condiciones que generen impacto negativo al servicio contratado.
f) La finalización del servicio deberá constar en la descripción del propio servicio, identificando la necesidad que pueda existir de que el proveedor devuelva la información a la finalización de la relación contractual en el formato pactado y debiendo constar esto en una cláusula junto al tiempo que tardará el proveedor en realizar la migración de los datos. Se incluirá un periodo de transición tecnológica del servicio que facilite todo tipo de retorno o migración, debiendo contemplar los mecanismos de control, integridad y completitud de los datos.
g) La entrega a la entidad supervisada de informes y certificaciones que demuestren la calidad, desempeño y efectividad en la gestión de los servicios contratados, así como la vigencia de las certificaciones enunciadas en el artículo 4 inciso c) de la presente resolución.
h) La obligación del proveedor del servicio de informar a la entidad supervisada sobre cualquier evento o situación que pudiera afectar significativamente la prestación del servicio y, por ende, el cumplimiento por parte de la entidad supervisada de sus obligaciones frente a los clientes financieros, a la Superintendencia de Bancos y a otras entidades.
i) La obligación de asumir las consecuencias derivadas del incumplimiento en la prestación del servicio.
j) El borrado seguro de los datos existentes en los medios de almacenamiento cuando finalice el contrato, cuando lo solicite la entidad o cuando el proveedor de servicios en la nube elimine y/o reemplace dichos medios.
k) La obligación del proveedor del servicio de realizar las correcciones oportunas y eficaces de las vulnerabilidades informáticas detectadas.
l) La utilización de técnicas de múltiple factor de autenticación para el acceso a las consolas de administración por parte de la entidad supervisada.
m) La priorización en la resolución, cuando estos sean aplicables, en virtud de la naturaleza del tipo de servicio prestado por el Proveedor de Servicios en la Nube (PSN).
n) La seguridad lógica de los sistemas en la nube y los Acuerdos de Niveles de Servicios deben ser monitoreados por la entidad supervisada a fin de dar el cumplimiento.
Artículo 7 - Administración de la Continuidad del Negocio
Las entidades supervisadas deben incluir en el plan de continuidad del negocio la operación en la nube y la realización de pruebas que resulten necesarias para confirmar la efectividad de los procedimientos contingentes.
El plan de continuidad deberá estar adecuado, como mínimo, a lo dispuesto en las disposiciones vigentes en la materia.
Asimismo, deben contar con la estrategia de migración a otra plataforma en caso de terminación del contrato por cualquiera de las partes, por la interrupción o la degradación en la prestación del servicio de parte del proveedor o por cualquier otro motivo que considere razonable la entidad supervisada.
De la misma manera, la entidad deberá tener documentado los procesos de retorno, migración, restitución y transferencia tecnológica en caso de realizar un regreso a su propia plataforma tecnológica. En el documento se deben identificar como mínimo los riesgos que pudieran presentarse en el proceso, los medios que serán empleados, planes de acciones y controles agregados. Además, deberán realizar pruebas en los casos más críticos ante un eventual retorno o migración de plataforma.
Artículo 8 –Comunicación y remisión de información a la Superintendencia de Bancos
La contratación de todos los procesos y servicios de computación en la nube deberá ser comunicada por las entidades dentro de los 30 días hábiles anteriores al inicio del procesamiento de la información en la nube.
En ese sentido, las entidades deben remitir a la Superintendencia de Bancos las siguientes informaciones:
a) El nombre y el domicilio legal del proveedor que prestará los servicios en la nube y de los subcontratistas o partners que le prestarán servicios asociados al objeto del contrato.
b) La relación de los procesos o servicios proveídos por el Proveedor de Servicios en la Nube (PSN) que serán manejados en la nube, incluyendo las aplicaciones, tipo de datos, productos y servicios asociados a éstos.
c) La ubicación física o región donde se procesarán y almacenarán los datos.
d) Las certificaciones otorgadas al proveedor del servicio y/o sitio de procesamiento.
e) Los tipos de auditorías a las que está sometida la entidad.
f) La información sobre los niveles de servicio establecidos.
g) El diagrama con la plataforma tecnológica que soportará los servicios contratados.
h) Tipo de subcontratación (IaaS, PaaS, SaaS, público / privado / híbrido / comunitario).
i) Aprobación de la tercerización de los servicios en la nube por parte de la entidad o el comité designado por éste.
j) Cualquier otra información que pudiera ser requerida por la Superintendencia de Bancos.
k) La criticidad del proceso externalizado.
Cuando, a criterio técnico de la Superintendencia de Bancos, se considere que una comunicación de procesamiento en la nube no contenga todas las informaciones requeridas conforme a la normativa, o cuando, a su criterio, existan dudas sobre el cumplimiento de los lineamientos mínimos establecidos por la presente normativa, para el seguro y correcto procesamiento en la nube, la Superintendencia de Bancos realizará los requerimientos de obligada observancia que considere necesarios. En caso de incumplimiento a los requerimientos de obligada observancia, sin perjuicio de las sanciones que correspondan, la Superintendencia de Bancos ordenará la reversión o suspensión de la provisión de servicios en la nube.
Artículo 9 - Documentación
Las entidades deben mantener actualizada y a disposición permanente de la Superintendencia de Bancos, a través de los medios verificables que establezcan para el efecto la información que se detalla a continuación:
a) La documentación completa de los procesos y procedimientos que se ejecutan en la nube, incluyendo los contratos suscriptos con los proveedores o subcontratistas.
b) La documentación de las aplicaciones que operan en la nube.
c) La documentación de los flujos de datos de los procesos misionales o de gestión contable y financiera que alimentan o consumen las aplicaciones dispuestas por el proveedor de servicios en la nube, cuando aplique.
d) Los diagramas de red que permitan identificar la plataforma que soporta el servicio contratado.
e) Los procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube.
f) Los reportes generales de auditoría, pruebas de vulnerabilidades y estado actual de los servicios contratados.