Modifican el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad

RESOLUCIÓN SBS N° 01515-2021

Lima, 21 de mayo de 2021

LA SUPERINTENDENTA DE BANCA, SEGUROS

Y ADMINISTRADORAS PRIVADAS DE FONDOS

DE PENSIONES

CONSIDERANDO:

Que, mediante Resolución SBS N° 504-2021 se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad; y se modificó el Reglamento de Auditoría Interna, aprobado por la Resolución SBS N° 11699-2008, el Reglamento de Auditoría Externa, aprobado por Resolución SBS N° 17026-2010, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por Resolución SBS N° 272-2017, el Reglamento de Riesgo Operacional, aprobado por Resolución SBS Nº 2116-2009, el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS N° 6523-2013, y el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS N° 6283-2013;

Que, las modificaciones introducidas por la mencionada resolución poseen como objetivo establecer un marco de referencia para el sistema de gestión de seguridad de la información y para el fortalecimiento de las capacidades de ciberseguridad y de los procesos de autenticación de las empresas, tomando en cuenta para ello, los estándares y buenas prácticas internacionales;

Que, se ha considerado conveniente incorporar a las empresas emisoras de dinero electrónico dentro del grupo de empresas que pueden solicitar autorización para la aplicación del Régimen Simplificado del Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C), para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, así como establecer requisitos proporcionales para los almacenes generales de depósito; y modificar los aspectos referidos a la contratación de un servicio significativo de procesamiento de datos, a fin de precisar la estrategia de salida de los servicios a cargo del proveedor y modificar el plazo de entrega de información a la Superintendencia del servicio significativo de procesamiento de datos contratado;

Que, por lo mencionado anteriormente, es necesario, modificar el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos y de Asesoría Jurídica;

En uso de las atribuciones conferidas en los numerales 7 y 9 del artículo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus normas modificatorias y en uso de la excepción establecida en el numeral 3.2 del artículo 14 del Reglamento aprobado por Decreto Supremo N° 001-2009-JUS;

RESUELVE:

Artículo Primero.- Modificar los párrafos 4.3 y 4.6 del artículo 4 de la Resolución SBS N° 504-2021, conforme se indica a continuación:

“Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C)

4.3 Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simplificado):

a) Banco de Inversión;

b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4;

c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;

d) Empresa de Transferencia de Fondos;

e) Derrama y Caja de Beneficios bajo control de la Superintendencia;

f) La Corporación Financiera de Desarrollo –COFIDE;

g) El Fondo MIVIVIENDA S.A.;

h) Empresas afianzadoras y de garantías; y

i) El Banco Agropecuario.

4.6. En caso las empresas del Sistema Financiero y las empresas emisoras de dinero electrónico listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simplificado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles.”

Artículo Segundo.- Modificar los párrafos 24.2 y 24.3 del artículo 24 de la Resolución SBS N° 504-2021, conforme se indica a continuación:

“Artículo 24. Servicios significativos de procesamiento de datos

24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio significativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda: (…)

c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor. (…)

24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) del párrafo anterior; como máximo treinta (30) días calendario después de iniciar la provisión del procesamiento de datos.”

Artículo Tercero.- La presente Resolución entra en vigencia a partir del día siguiente de su publicación en el Diario Oficial El Peruano.

Regístrese, comuníquese y publíquese.

MARIA DEL SOCORRO HEYSEN ZEGARRA

Superintendenta de Banca, Seguros y AFP

1955432-1