Ya no será tan estricta la norma que exige a bancos, filiales bancarias, sociedades de apoyo y emisores y operadores de tarjetas de pago, mantener un sitio de procesamiento de contingencia en Chile para los servicios externalizados fuera del país, que afecten actividades consideradas significativas o estratégicas.
Eso es lo que planteó ayer la Superintendencia de Bancos (SBIF) al poner en consulta hasta el 28 de junio una norma que flexibiliza la externalización de servicios de procesamiento de datos fuera del país, ya que según lo que plantea el documento, ahora el directorio podrá hacer una excepción frente a esta exigencia, aunque bajo el cumplimiento de determinados requisitos.
¿Las condiciones? Las entidades deben asegurar, mediante un informe que deberá ser realizado por una empresa independiente de reconocido prestigio y experiencia en el servicio que otorga (y deberá ser actualizado anualmente), que tomaron las medidas necesarias para que la externalización de servicios cumpla, al menos, lo siguiente:
-Que los servicios externalizados, en caso de indisponibilidad, no sobrepasen dos horas como tiempo de recuperación objetivo (RTO).
-Que los sites de procesamiento de datos cumplen con un tiempo de disponibilidad de operación de al menos 99,995% o downtime anual de 0,8 horas.
-Que los sites se encuentran en ubicaciones distintas que mitigan el riesgo geográfico y los riesgos políticos.
-Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.
"Para el caso de los bancos, además de lo anterior, deberá contarse con una adecuada calificación de gestión en materia de riesgo operacional, en las dos últimas evaluaciones realizadas por esta Superintendencia, de acuerdo con lo establecido en el Capítulo 1-13 de la RAN", agregó el regulador en un comunicado.
Los cambios ocurren "atendiendo el entorno creciente de innovación y desarrollo del mercado financiero, como de las nuevas tecnologías de soporte, pero siempre compatibilizándolo con una sólida gestión de los riesgos operacionales que ello involucra, publica para comentarios, una propuesta de modificación al Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) para Bancos, norma que también se aplica, en lo pertinente, a otras entidades fiscalizadas", dijo la SBIF.