CIRCULAR N° 2.244
Bancos
Santiago, 23 de diciembre de 2019
RECOPILACIÓN ACTUALIZADA DE NORMAS. Capítulo 20-7. Externalización de servicios. Servicios de procesamiento de datos realizados en el extranjero. Modifica instrucciones.
NOTA
El Decreto con Fuerza de Ley 2 publicado el 02.05.2019, dictado en conformidad a lo establecido por el artículo noveno transitorio de la ley 21130, dispone que la fecha en la que la Comisión para el Mercado Financiero (CMF) asume las competencias de la Superintendencia de Bancos e Instituciones Financieras (SBIF) será a partir del 01.06.2019, determinándose igualmente esa fecha para la supresión de la SBIF. Por lo tanto, a contar del 01.06.2019 la denominación, estructura y numeración de los diversos cuerpos normativos vigentes de la ex SBIF se mantendrán, pero las disposiciones que modifiquen los distintos Capítulos, Compendios, Manuales y Textos Actualizados de las Circulares, utilizarán la numeración y designación que corresponde a la Comisión (Normas de Carácter General, Circulares y Oficios Circulares, según corresponda).
El Decreto con Fuerza de Ley 2 publicado el 02.05.2019, dictado en conformidad a lo establecido por el artículo noveno transitorio de la ley 21130, dispone que la fecha en la que la Comisión para el Mercado Financiero (CMF) asume las competencias de la Superintendencia de Bancos e Instituciones Financieras (SBIF) será a partir del 01.06.2019, determinándose igualmente esa fecha para la supresión de la SBIF. Por lo tanto, a contar del 01.06.2019 la denominación, estructura y numeración de los diversos cuerpos normativos vigentes de la ex SBIF se mantendrán, pero las disposiciones que modifiquen los distintos Capítulos, Compendios, Manuales y Textos Actualizados de las Circulares, utilizarán la numeración y designación que corresponde a la Comisión (Normas de Carácter General, Circulares y Oficios Circulares, según corresponda).
Con el propósito de que las entidades bancarias puedan hacer uso de aquellas innovaciones tecnológicas que permiten hacer más eficientes y competitivos los mercados en que participan, favoreciendo el desarrollo global de la industria y generando mayores beneficios para los clientes, pero siempre compatibilizándolo con una sólida gestión de los riesgos operacionales que ello involucra, mediante la presente Circular se modifican las condiciones que deben cumplir las instituciones fiscalizadas, en el caso que se externalicen servicios de procesamiento de datos fuera del país, según lo dispuesto en el Capítulo 20-7 de la recopilación Actualizada de Normas.
Para dichos efectos, a partir de ahora el Directorio de las propias entidades será responsable de decidir exceptuar al banco de la condición de disponer un centro de procesamiento de datos de contingencia en el país, para las actividades consideradas significativas o estratégicas, siempre y cuando además de contar con una adecuada calificación de gestión en la materia de riesgo operacional en la última evaluaciones realizadas por esta Comisión, de acuerdo con lo establecido en el Capítulo 1-13 de la referida Recopilación, asegure mediante un informe anual, que la entidad ha tomado las medidas preventivas mínimas definidas por este Organismo. Asimismo, podrá excepcionar el requisito de la calificación de riesgo país en grado de inversión.
Cabe mencionar que estas modificaciones también deben ser compatibilizadas con los lineamientos mínimos para el uso de servicios externalizados en modalidad nube, que fueron introducidos al Capítulo 20-7 mediante la Circular N° 3.629 de 27 de diciembre de 2017.
Para efectos de lo expuesto anteriormente, se introducen los cambios al Capítulo 20-7 que se indican a continuación:
1. Se reemplazan los dos párrafos del número 5 del Título III por el siguiente:
"Sólo se podrá externalizar servicios en jurisdicciones que cuenten con calificación de riesgo país en grado de inversión. No obstante, el Directorio o la instancia que haga sus veces podrá excepcionar este requisito, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas, debiendo dejar constancia del análisis realizado al efecto. Lo anterior, sin perjuicio de lo señalado en el número 2 letra i) del Título III y el número 1 letra b) del Título IV de este Capítulo."
2. En el segundo párrafo del número 6 del Título III, se reemplaza la locución que sigue al vocablo "comunicar" por lo siguiente: "a esta Comisión, en los términos definidos en dicho Capítulo, los incidentes operacionales que afecten un servicio externalizado en el país o en el exterior".
3. A continuación del literal i) de la letra b) del número 1 del Título IV se incorpora lo siguiente:
"Para el caso de bancos que mantengan una adecuada gestión del riesgo operacional en la última evaluación realizada por esta Comisión, calificada de conformidad con lo establecido en el Capítulo 1-13 de esta Recopilación, el Directorio o la instancia que haga sus veces podrá excepcionar este requerimiento, cuando se asegure, por medio de un informe anual, que la entidad cumple entre otros aspectos con la adopción de las siguientes medidas preventivas:
a) El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.
b) Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de esta Recopilación.
c) Que los sites se encuentran en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.
d) Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.
El informe mencionado deberá ser realizado por una empresa independiente de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.
Consideraciones especiales
En el caso de entidades bancarias que mantengan servicios externalizados en el exterior, bajo las condiciones señaladas en este literal, y que producto de una nueva evaluación sean calificados en la materia de riesgo operacional en una categoría de "Cumplimiento Insatisfactorio" o inferior, deberán informar a esta Comisión sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.
Para aquellas entidades bancarias que no cuentan con una calificación de gestión en el ámbito del riesgo operacional, y que externalicen servicios en el exterior, le serán aplicables todas las medidas preventivas anteriormente señaladas, con excepción de la calificación en esta materia."
4. En el literal ii) de la letra b) del número 1 del Título IV se elimina la locución "en el Centro de Procesamiento de Datos" que sigue a la expresión "servicio externalizado".
5. En otro orden de cosas, se aprovecha la oportunidad para actualizar las referencias a la nueva institucionalidad del regulador, modificando las alusiones a la Superintendencia de Bancos e Instituciones Financieras.
Como consecuencia de los cambios descritos se reemplazan las hojas N°s 4, 7 y siguientes del Capítulo 20-7, además de la primera hoja del anexo 1 y la del anexo 3, por las que se acompañan.
Saludo atentamente a Ud.,
JOAQUÍN CORTEZ HUERTA
Presidente
Comisión para el Mercado Financiero
Capítulo 20-7
Hoja 4
e) Velar por que el proveedor y el personal a cargo de los servicios contratados posean adecuados conocimientos y experiencia. Asimismo, también deberá vigilar el debido cumplimiento de aquellos aspectos regulatorios y legales que pudiesen afectar la provisión de los servicios contratados (ej. leyes laborales).
f) Mantener un catastro actualizado de todos los servicios contratados con empresas externas, determinando claramente aquellos que, a su juicio, son estratégicos y de alto riesgo, de manera de establecer procedimientos de control y seguimiento en forma permanente de acuerdo a los niveles de criticidad que les asigne.
g) Establecer procedimientos que aseguren el cumplimiento oportuno y cabal de los compromisos que tiene con sus clientes.
h) Velar por que existan auditorías independientes al proceso de selección, contratación y seguimiento de los proveedores, con personal especialista en los distintos riesgos auditados.
i) Asegurar que el proveedor realice periódicamente informes de auditoría interna o revisiones independientes de sus servicios, conforme con su estructura y el tamaño de su organización, debiendo compartir oportunamente con la institución los hallazgos que le sean pertinentes.
j) Exigir a los proveedores de servicios que los procedimientos operacionales, administrativos y tecnológicos propios del servicio contratado, se encuentren debidamente documentados, actualizados y permanentemente a disposición para su revisión por parte de esta Comisión.
k) Considerar los riesgos que provienen de las cadenas de servicios externalizados, lo que debe quedar reflejado en el contrato respectivo en forma previa, señalándose que, en caso de subcontratación, la empresa subcontratada debe cumplir también con las condiciones pactadas entre la entidad y el proveedor de servicios inicial. Asimismo, deben quedar claramente establecidos en los respectivos contratos las responsabilidades y obligaciones que deben cumplir las empresas subcontratadas respecto del servicio externalizado por la entidad.
l) La entidad debe incorporar en sus reportes de riesgo operacional que elabora para el Directorio, o para quien haga sus veces, información respecto de la gestión que realiza la institución para administrar los riesgos de outsourcing, incluyendo los cambios en el perfil de riesgos de los proveedores (como por ejemplo, cambios relevantes en sus procesos y áreas geográficas de donde se prestan los servicios) y la exposición a aquellos servicios considerados críticos.
m) Los datos, plataformas tecnológicas y aplicaciones a utilizar en la externalización de los servicios deben encontrarse en sitios de procesamiento específicos y para el caso de procesamiento en el extranjero, en una jurisdicción definida y conocida. Además de la jurisdicción, se debe conocer la ciudad donde operan los centros de datos.
Capítulo 20-7
Hoja 7
La información una vez procesada debe ser almacenada y transportada en forma encriptada, manteniéndose las llaves de desencriptación en poder de la entidad. Asimismo, se deben definir los procedimientos de intercambio de claves entre el proveedor de servicios y la institución, además de establecerse los roles y responsabilidades de las personas involucradas en la administración de la seguridad.
En el caso de procesamiento de documentación física, la entidad deberá contar con procedimientos de control que velen por el debido cumplimiento de las condiciones señaladas en este Título. Junto a lo anterior, se deben establecer los procedimientos que aseguren el adecuado traspaso de información a la entidad por parte del proveedor, y que éste en ningún caso mantenga información en su poder después de finalizada la relación contractual.
5. Riesgo país.
Sólo se podrá externalizar servicios en jurisdicciones que cuenten con calificación de riesgo país en grado de inversión y sus legislaciones cumplan con adecuados estándares internacionales en materia de protección y seguridad de datos personales. No obstante, el Directorio o la instancia que haga sus veces podrá excepcionar fundadamente el requisito de la calificación de riesgo país en grado de inversión, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas. Lo anterior, sin perjuicio de lo señalado en el número 2 letra i) del Título III y el número 1 letra b) del Título IV de este Capítulo.
6. Responsabilidad por la gestión.
La responsabilidad por la gestión global de los riesgos y funciones de control deberá mantenerla la entidad en el país. Lo anterior es sin perjuicio que en algunas entidades internacionales existan, para efectos de una administración consolidada de sus casas matrices, coordinaciones matriciales entre el personal establecido en el extranjero y personal local.
Por otra parte, en cumplimiento de lo dispuesto en el Capítulo 20-8 de esta Recopilación, la institución deberá comunicar a esta Comisión, en los términos definidos en dicho Capítulo, los incidentes operacionales que afecten un servicio externalizado en el país o en el exterior.
7. Acceso a la información por parte del supervisor.
La entidad contratante debe asegurarse que esta Comisión tenga acceso permanente, sea mediante visitas a las instalaciones de los proveedores de servicios o por vía remota, a todos los registros, datos e información que se procesen, mantengan y generen a través de un proveedor externo, ya sea establecido en el país o en el exterior.
Al tratarse de un proveedor de servicios establecido en el exterior, deberá prestarse especial atención a las restricciones legales del país anfitrión que pudieren impedir la visita de esta Comisión al proveedor o el acceso a la información y a los datos mencionados en el párrafo anterior. Asimismo, como parte de la gestión de riesgo, la entidad deberá incorporar dentro del análisis aquellos aspectos relacionados con los riesgos legales a la que se expone la información sujeta a secreto o reserva bancaria establecida en la Ley General de Bancos.
Capítulo 20-7
Hoja 8
IV. FACTORES A CONSIDERAR AL EXTERNALIZAR SERVICIOS DE PROCESAMIENTO DE DATOS.
La contratación de servicios externos de procesamiento de datos deberá estar respaldada por los antecedentes que se detallan el Anexo N° 2 de este Capítulo, además de considerar los factores que se indican más adelante.
Adicionalmente, en la evaluación que al efecto realice esta Comisión, con ocasión de sus actividades de fiscalización, se distinguirá atendiendo al tipo de servicios de que se trate.
1. Ubicación geográfica del proveedor
a) Servicios realizados en el país
Cuando el servicio de procesamiento de datos, total o parcial, se realice por una empresa situada en el país, la institución deberá comprobar que la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar permanentemente la continuidad del negocio, confidencialidad, integridad, exactitud y calidad de la información. Asimismo, deberá verificar que las condiciones del servicio garantizan la obtención oportuna de cualquier registro, dato o información que necesite, sea para sus propios fines o para cumplir con los requerimientos de las autoridades competentes, como es el caso de la información que en cualquier momento puede solicitarle esta Comisión.
En cuanto al Centro de Procesamiento de Datos de contingencia, éste deberá cumplir con condiciones de ubicación y distancia del Centro de Procesa-miento de Datos principal, que garanticen la continuidad operacional.
b) Servicios realizados en el extranjero
En el caso que la entidad externalice servicios de procesamiento de datos fuera del país, deberá disponer en todo momento de los antecedentes de la empresa contratada. En especial, deberá mantener aquellos antecedentes que respalden la solidez financiera del proveedor del servicio y que éste mantiene certificaciones de calidad, seguridad y apropiados sistemas de control.
Adicionalmente, la entidad debe disponer de los antecedentes del proyecto, del contrato de servicios y, en el caso de existir subcontratos con terceros, estos también deben ser incorporados.
Para resguardar el adecuado funcionamiento del mercado financiero con todos sus participantes, incluidos los clientes, las instituciones que realicen en el exterior actividades consideradas significativas o estratégicas, deberán mantener a disposición de esta Comisión los antecedentes contenidos en el Anexo N° 2 de este Capítulo y cumplir las siguientes condiciones para la externalización de los servicios:
Capítulo 20-7
Hoja 9
i) Se debe contar con un Centro de Procesamiento de Datos de contingencia ubicado en Chile y demostrar un tiempo de recuperación compatible con la criticidad del servicio externalizado. Asimismo, los tiempos de recuperación deberán ser evaluados por la entidad al menos una vez al año, tanto para los procesos transaccionales como Batch.
Para el caso de bancos que mantengan una adecuada gestión del riesgo operacional en la última evaluación realizada por esta Comisión, calificada de conformidad con lo establecido en el Capítulo 1-13 de esta Recopilación, el Directorio o la instancia que haga sus veces podrá excepcionar este requerimiento, cuando se asegure, por medio de un informe anual, que la entidad cumple entre otros aspectos con la adopción de las siguientes medidas preventivas:
a) El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.
b) Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de esta Recopilación.
c) Que los sites se encuentran en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.
d) Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.
El informe mencionado deberá ser actualizado anualmente y realizado por una empresa independiente de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.
Consideraciones especiales
En el caso de entidades bancarias que mantengan servicios externalizados en el exterior, bajo las condiciones señaladas en este literal, y que producto de una nueva evaluación sean calificados en la materia de riesgo operacional en una categoría de "Cumplimiento Insatisfactorio" o inferior, deberán informar a esta Comisión sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.
Para aquellas entidades bancarias que no cuentan con una calificación de gestión en el ámbito del riesgo operacional, y que externalicen servicios en el exterior, le serán aplicables todas las medidas preventivas anteriormente señaladas, con excepción de la calificación en esta materia.
ii) La institución debe efectuar el control y monitoreo del servicio externalizado en el exterior, especialmente, en los aspectos relacionados con la seguridad de la información, continuidad del negocio y condiciones de operación del centro de procesamiento. Dichas actividades deben estar debidamente fundamentadas de acuerdo a la gestión de riesgos realizada para el proveedor específico. Lo anterior, independientemente de las actividades propias de control y monitoreo que realice el proveedor del servicio.
Capítulo 20-7
Hoja 10
2. Proveedores externos de canales electrónicos.
Las instituciones que requieran contratar servicios externos necesarios para operar con corresponsalías, es decir, aquellos proporcionados por empresas que ponen a disposición canales electrónicos y mantienen acuerdos con establecimientos comerciales para la prestación de ciertos servicios financieros por mandato de la entidad, deberán contemplar, en lo que sea aplicable, los aspectos indicados en el Anexo N° 1 y mantener permanentemente a disposición de esta Comisión, aquellos antecedentes señalados en el Anexo N° 3. Adicional-mente, la institución deberá de asegurarse del cumplimiento de lo establecido en el Capítulo 1-7 de esta Recopilación.
V. DILIGENCIA REFORZADA PARA SERVICIOS EN LA NUBE.
La computación en la nube o cloud computing engloba la evolución de varios ámbitos de las tecnologías de la información, tales como las redes de telecomunicaciones y los microprocesadores, siendo la virtualización o abstracción del hardware una de las más relevante. Por la variedad de servicios que es posible acceder a través de la nube, como de infraestructura, plataforma o incluso de software, se advierte una modificación en la dinámica de los riesgos asociados a los actuales modelos tecnológicos de la banca.
Para efectos de contratar cualquier tipo de servicio a través de la modalidad denominada nube, el Directorio de la entidad deberá pronunciarse anualmente sobre la tolerancia al riesgo que está dispuesto a asumir en este tipo de externalizaciones. Este pronunciamiento deberá considerar un análisis de los datos a almacenar o procesar bajo esta modalidad y su ubicación.
Sin perjuicio del debido cumplimiento de los distintos requerimientos contenidos en este Capítulo 20-7, las instituciones financieras podrán externalizar en la nube pública o privada sus servicios no críticos sin consideraciones adicionales a las ya mencionadas en los títulos precedentes.
En el evento que la entidad evalúe la contratación de un servicio en la nube para una actividad considerada estratégica o crítica, este también podrá ser efectuado en modalidad de nube pública o privada; no obstante en estos casos, la entidad deberá realizar una diligencia reforzada del proveedor y del servicio, que al menos considere lo siguiente:
a) El proveedor dispone de reconocido prestigio y experiencia en el servicio que otorga.
b) El proveedor contratado cuenta con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de servicios que recojan las mejores prácticas vigentes.
c) Los contratos de externalización de servicios son celebrados directamente entre la institución contratante y los proveedores, con la finalidad de minimizar los riesgos que podría aportar el rol de intermediario en este tipo de servicios.
Capítulo 20-7
Hoja 11
d) La entidad cuenta con informes legales respecto de la regulación sobre privacidad y acceso a la información existentes en jurisdicciones donde se esté llevando a cabo el servicio, y ha evaluado la resolución de contingencias legales en las jurisdicciones en las que opere.
e) La entidad se ha asegurado que el proveedor del servicio realiza informes de auditoría asociados a los servicios prestados y dichos informes se encuentran disponibles, para ser consultados en cualquier momento por la entidad contratante y esta Comisión, en las materias que resulten pertinentes.
f) Verificar que el proveedor cuenta con adecuados mecanismos de seguridad, tanto físicos como lógicos, que permitan aislar los componentes de la infraestructura nube que la entidad comparte con otros clientes del proveedor, de manera de prevenir fugas de información o eventos que puedan afectar la confidencialidad e integridad de los datos de la entidad.
g) Identificar los datos que por su naturaleza y sensibilidad deben contar con mecanismos fuertes de encriptación.
VI. REVISIONES DE ESTA COMISIÓN
En sus visitas de inspección, esta Comisión examinará la gestión de riesgos que realiza la entidad sobre la externalización de servicios, como parte de las evaluaciones de que trata el Capítulo 1-13 de esta Recopilación.
En el caso de incumplimientos a esta normativa, en especial por aquellas entidades que hayan externalizado en el exterior actividades significativas o estratégicas o que las exponga a riesgos operacionales relevantes, este Organismo podrá requerir que los servicios se realicen en el país, o sean ejecutados internamente por la entidad, según corresponda. En consideración a lo anterior, la entidad deberá mantener permanentemente actualizado un plan que posibilite cumplir con esos eventuales requerimientos.
Capítulo 20-7
Anexo N° 1 - Hoja 1
ANEXO N° 1
ASPECTOS MÍNIMOS QUE DEBEN CONSIDERARSE PARA LA EXTERNALIZACION DE SERVICIOS.
1. Evaluación del riesgo.
Antes de decidir la externalización de una actividad, se debe efectuar una evaluación, que considere a todos los agentes involucrados respecto de los riesgos que esta decisión incorpora a la institución, así como la cantidad de riesgo comprometido en razón de los montos pagados a la empresa externa, volumen de transacciones que se procesará, criticidad del servicio contratado, concentración de servicios con el mismo proveedor, concentración del sector financiero en un proveedor específico, entre otros.
En esta evaluación se debe considerar la opinión del área encargada de la gestión del riesgo operacional de la entidad fiscalizada, la que deberá encontrarse debidamente sustentada.
2. Selección del proveedor de servicios.
La institución debe evaluar las propuestas recibidas de acuerdo a sus requerimientos y llevar a cabo un due diligence que sustente la información recibida de los posibles proveedores.
En el caso de que se contrate un servicio con una entidad relacionada, las condiciones económicas deben cumplir con principios de transparencia y equidad, aspectos que deben estar definidos en la política que regula la externalización de servicios.
3. Contrato.
La entidad debe asegurarse que el contrato defina claramente los derechos y obligaciones de ambas partes, conteniendo acuerdos de niveles claros y medibles de los servicios contratados, cláusulas de término anticipado de la relación contractual, así como también un método de fijación de precios adecuado para el contrato específico. En caso que se adquiera más de un servicio por un precio único, debe tenerse el detalle del cobro por cada uno de tales servicios.
También se deben incluir cláusulas de continuidad del negocio y de seguridad de la información, especialmente aquella que se refiere a la propiedad y confidencialidad de la información, tanto propia como de sus clientes; restricciones sobre el uso de software; eliminación segura de los datos del cliente, cuando corresponda; además de establecer una autorización permanente que permita tanto a esta Comisión como a la entidad fiscalizada examinar in situ, o en forma remota, según se disponga, en cualquier momento, todos los aspectos relacionados con el servicio contratado.
Capítulo 20-7
Anexo N° 3
ANEXO N° 3
ANTECEDENTES SOBRE SERVICIOS RELACIONADOS CON CANALES ELECTRÓNICOS PARA OPERAR CON CORRESPONSALÍAS
Se deberá mantener permanentemente a disposición de esta Comisión, según corresponda, los siguientes antecedentes debidamente actualizados:
1. Detalle de los productos ofrecidos a través de canales externos.
2. Modelo de negocios, incluyendo políticas comerciales y tarifarias.
3. Límites de operación (por monto, por día, por transacción, por RUT, etc.).
4. Criterios de selección de los comercios, calendario de apertura, características y localización geográfica.
5. Tipo de validaciones, dónde y quiénes las realizan durante el trayecto de la transacción, para efectos de autorizarla. Ejemplo: comercio registrado y vigente; vigencia del producto, del RUT, etc.
6. Políticas de seguridad física a los comercios, tales como seguros contra robos, asaltos o fraudes a los comercios.
7. Procedimientos de administración de la controversia ante probabilidad de fraudes tanto al comercio como al cliente.
8. Políticas de difusión en los puntos de atención.
9. Pruebas efectuadas al proyecto. Pruebas de funcionamiento del canal con todas las funcionalidades del software, pruebas de borde, pruebas de conectividad, pruebas de carga.
10. Descripción del modelo contable de la cuenta del comerciante. Detalle del flujo de efectivo para cada una de las operaciones.
11. Esquemas de monitoreos de canales para fraudes, lavado de activos, soporte, etc.
12. Modelo de atención de mesa de ayuda.
13. Contrato con los comercios, incluyendo anexos, en caso que corresponda.
14. Esquema tarifario con los Comercios.
15. Informes de auditoría interna relativos al proyecto, donde se pronuncie al menos sobre aspectos de control interno, seguridad de la información y continuidad operacional, antes del inicio del proyecto respectivo.
16. Políticas de selección y desvinculación de comercios, y de eventuales vetos a comercios que no cumplen con las políticas de la entidad.