La Superintendencia de Instituciones del Sector Bancario (Sudeban) de Venezuela fijó un estricto marco regulatorio para el uso de servicios de Computación de Nube en el sector bancario venezolano, con el objetivo de asegurar la seguridad de las operaciones y evitar que los datos esenciales del sistema salgan del territorio nacional.
Así lo indica una circular que la Sudeban envió a los entes regulados, donde les recuerda la prohibición de mover centros de cómputos y bases de datos “calificadas como principales” de los usuarios de los bancos fuera del territorio nacional.
También alertó sobre los posibles riesgos que implica el uso de la Computación de Nube en las operaciones bancarias, debido a su potencial vulnerabilidad a ataques informáticos, por lo que el ente regulador bancario estima necesario fijar unas normas básicas.
Una de ellas es que las empresas que ofrezcan servicios de Computación de Nube y que sean contratadas por bancos tengan presencia en el territorio nacional.
Además, la Sudeban dispone que los contratos —con todos sus términos— deben ser sometidos a aprobación previa de la institución antes de ser firmados.
De igual forma, el organismo otorga un plazo de 20 días, a partir de la fecha de emisión de la circular para adaptar los contratos a los requisitos establecidos en esta norma.
La circular tiene fecha del 29 de diciembre de 2023.
Requisitos para los contratos
La Sudeban exige una serie de requisitos de información para aprobar los contratos de servicios de Computación de Nube entre los que resaltan:
- Identificación completa de las partes.
- Tipo y detalle del servicio contratado.
- Acuerdos específicos de confidencialidad y no divulgación de información.
- Ubicación física de dónde se procesarán y guardarán los datos.
- Procedimientos de atención y solución de incidentes tecnológicos, así como políticas específicas de seguridad de la información.
- La definición de la responsabilidad que asume la empresa proveedora de mantener políticas, normas, procedimientos que aseguren la seguridad informática; “así como aquellas tendentes a prevenir pérdidas, atrasos o deterioro de los datos”.
- Niveles de servicio esperados y aceptables.
- Cumplir requisitos legales en cuanto a derechos de propiedad intelectual y derechos de autor.
- Los bancos deben estar autorizados por contrato a auditar “responsabilidades contractuales o a contratar a un tercero” para la realización de estas auditorías.
Asimismo las empresas proveedoras de servicios de Computación de Nube tendrán la obligación de “informar de manera inmediata” a los bancos “sobre cualquier evento que pudiera afectar la prestación del servicio”.
Las proveedoras tendrán la obligación de “ejecutar pruebas de penetración, como mínimo una vez al año, además de la evaluación de vulnerabilidades y corrección oportuna de las brechas detectadas”.
Con información de Banca y Negocios.
