Con el objeto de impulsar la competencia y generar mayores beneficios para los clientes y el desarrollo de los mercados, se hace necesario flexibilizar la disposición de mantener un site en Chile para los servicios externalizados, bajo ciertas condiciones, considerando que este requerimiento podría desalentar el ingreso de nuevos actores, y por ende afectar al desarrollo de la industria.

Esta norma contempla que si el  procesamiento de información es realizado en el extranjero, requieren mantener un site de contingencia en el país para las actividades que hayan sido consideradas significativas o estratégicas. La presente modificación normativa permitirá la posibilidad de que el directorio excepcione esta última condición, siempre y cuando se asegure que la institución ha adoptado las medidas necesarias para que los servicios externalizados cumplan con las siguientes exigencias:

• El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.

•Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de la RAN.

•Que los sites se encuentren en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.•Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.

• Se cuente con un informe anual que respalde el análisis de riesgo efectuado, el cual debe ser emitido por una empresa independiente, de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.

en el caso de los bancos, éstos deberán mantener una adecuada calificación de gestión del riesgo operacional en la última evaluación realizada por esta Comisión. Si producto de una nueva revisión son calificados en una categoría de “Cumplimiento Insatisfactorio” o inferior, deberán informar a este Organismo sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.

Es interesante ver cómo el regulador le pide a las empresas que evalúen los países en que estarán los datos y ver si cuentan con información sobre marcos regulatorios de protección de datos y de seguridad de la información.

“Se introducen modificaciones en el punto de Riesgo País, estableciendo que el Directorio o la instancia que haga sus veces podrá excepcionar este requisito, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas, debiendo dejar constancia del análisis realizado al efecto.”

Fuente: CMF