Como consecuencia de la evolución de los servicios informáticos que apoyan la actividad bancaria, particularmente aquellos de carácter especializado relacionados a las tecnologías de la información, esta Superintendencia ha decidido introducir ajustes al Capítulo 20-7 de la Recopilación Actualizada de Normas, a fin de establecer lineamientos mínimos para el uso de servicios externalizados en modalidad nube, comúnmente conocida como Cloud Computing por el término procedente del inglés.
Adicionalmente, la presente modificación incorpora lineamientos en el ámbito de la seguridad de la información y continuidad del negocio, que aplican a la externalización de servicios en general.
Como consecuencia de lo anterior, mediante la presente Circular se introducen diversos ajustes al Capítulo 20-7, los que se resumen a continuación:
1. En el número 2 del Título I, se incorporan definiciones relativas a servicios "en la nube", así como qué se entiende por nube y sus variantes (privada o pública).
2. En el Título II se modifica el tercer párrafo, con el objeto de concordar y precisar la descripción general de los riesgos que se observan con motivo de la externalización de servicios, particularmente en el caso de las tecnologías de la información
3. En el N° 1 del Título III se actualizan las condiciones generales que deben cumplirse para la contratación de servicios externos, incorporando aspectos tales como un pronunciamiento del Directorio sobre la tolerancia al riesgo que la entidad está dispuesta a asumir, la verificación de los recursos dispuestos por los proveedores para la evaluación y prevención de riesgos inherentes a los servicios subcontratados, entre otros.
4. En el N° 3 del Título III, se precisan algunos aspectos relativos a la continuidad de negocio que deben ser observados, tales como los planes de continuidad de los proveedores y de los subcontratistas, los de la propia institución bancaria en caso de incumplimientos por parte de estos (planes de salida), así como la presencia de procesos formales y sistemáticos de gestión de incidentes.
5. En el N° 4 del Título III, en materia de seguridad de la información, se incorpora una descripción más detallada de los elementos y requisitos que deben ser considerados por las instituciones bancarias, para efectos del resguardo de la infraestructura de seguridad de la información dispuesta por los proveedores.
6. En la letra b) del N° 1 del Título IV, respecto de los servicios de procesamiento de datos en el extranjero, se elimina la exigencia de efectuar el control y monitoreo de los mismos desde Chile. Además se elimina el segundo párrafo del numeral "ii", por tratarse de una materia que ya se aborda en el Capítulo 20-9 de la Recopilación Actualizada de Normas.
7. Se incorpora un nuevo Título V denominado "Diligencia reforzada para servicios en la nube", pasando el actual Título V a ser VI. Este nuevo título contiene aspectos adicionales que deben ser observados cuando una entidad evalúe la contratación de un servicio en la nube para actividades consideradas estratégicas o críticas, ya sea en modalidad de nube pública o privada.
8. En el N° 3 del Anexo N° 1 se ajustan algunos elementos adicionales que deben ser considerados en materia contractual.
Como consecuencia de los cambios descritos se reemplazan las hojas N°s 2 y siguientes del Capítulo 20-7, así como la primera hoja de su Anexo N° 1, por las que se acompañan.