I. Modificaciones al Capítulo 20-7; Externalización de Servicios.
Con fecha de 23 de diciembre, la Comisión para el Mercado Financiero (CMF) emitió dos circulares con cambios relacionados a la contratación del Cloud Computing para los bancos, sus filiales y sociedades de apoyo al giro y las empresas emisoras y operadoras de tarjetas de pago, luego de concluido el proceso de consulta pública.
Estas circulares modifican el Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) y la Circular N° 2 para empresas emisoras de tarjetas de pago no bancarias y empresas operadores de tarjetas de pago, de modo tal que ya no sea una exigencia contar con un sitio de procesamiento de datos en Chile para los servicios que se externalizan fuera del país.
Luego de las modificaciones será posible la externalización de servicios en jurisdicciones que no teniendo una calificación país en grado de inversión, tengan leyes de protección y seguridad de los datos personales adecuadas, incluso si se tratan de actividades significativas o estratégicas.
En el caso del procesamiento de datos externalizado en el extranjero, podrán exceptuarse de tener un Centro de Procesamiento de Datos de contingencia ubicado en Chile si mantiene una adecuada gestión del riesgo operacional asegurando, por medio de un informe anual, que la entidad cumple, entre otros aspectos, con la adopción de ciertas medidas preventivas relacionadas con el tiempo de recuperación objetivo (RTO), el tiempo de disponibilidad de operación, ubicación de los sites y los términos de seguridad.
II. Nuevo capítulo 20-10 de la RAN; Gestión de la Seguridad de la Información y Ciberseguridad.
Por otro lado, el 27 de diciembre la CMF cerró el periodo de consulta pública respecto de la normativa para la Gestión de la Seguridad de la Información y Ciberseguridad, creando un nuevo capítulo 20-10 de la RAN, otorgando lineamientos de sanas prácticas a la industria.
Esta nueva normativa refundirá las disposiciones actualmente vigentes del Capítulo 1-13 de la RAN y complementará los capítulos 20-8 sobre información de incidentes operacionales y el 20-9 sobre gestión de la continuidad del negocio.
En resumen, el nuevo capítulo se define sobre 4 ejes:
- El rol que debe tener todo directorio para la correcta gestión de seguridad de la información y ciberseguridad, haciéndose responsable de la aprobación de la estrategia institucional.
- Determinación de las etapas mínimas de un proceso de gestión de riesgos de seguridad de la información y ciberseguridad.
- Necesidad de definir los activos críticos de la institución y sus funciones de protección; incluyendo la detección de amenazas y vulnerabilidades.
- Obligación de contar con políticas para el intercambio de información y alertas de incidentes de ciberseguridad, junto con la identificación de activos que componen la infraestructura critica de la industria financiera.
III. Digital Economy Partnership Agreement (DEPA).Partnership Agreement (DEPA).
Los cambios anunciados a la RAN son consistentes con la próxima firma prevista para mayo de 2020 del Digital Economy Partnership Agreement (DEPA), un novedoso tratado de cooperación entre Chile, Nueva Zelanda y Singapur que busca establecer reglas comunes en torno a la economía digital y comercio electrónico.
Sin bien su contenido aún se encuentra en discusión, según lo informado por las propias autoridades, existiría consenso en resaltar la importancia de contar con medidas de seguridad de la información para la industria, facilitar el flujo de información entre países miembros y evitar obligaciones de localización de datos, tal como se ejemplifica en la reciente modificación en el capítulo 20-7 de la RAN.
