Bancos podrán externalizar servicios de procesamiento de datos tecnológicos fuera de Chile
La CMF flexibilizó la condición de mantener en el país un centro que almacenara la información crítica de un banco. Los directorios jugarán un papel clave en la decisión final.
- T+
- T-
La Comisión para el Mercado Financiero (CMF) emitió ayer una norma que regula la externalización de servicios relacionados con el procesamiento de datos tecnológicos efectuados por la banca, sus filiales, sociedades de apoyo al giro y las empresas emisoras y operadoras de tarjetas de pago.
Las modificaciones normativas permitirán excluir la exigencia que tenían los bancos locales de contar con un sitio de procesamiento de datos ("sites") en Chile y que afectan actividades consideradas críticas.
"El nuevo entorno creciente de innovación y desarrollo del mercado financiero ha hecho necesario que las entidades incursionen en nuevos modelos tecnológicos, requiriéndose en ocasiones de proveedores especializados de servicios que son considerados críticos ubicados en el extranjero, lo que ha impulsado la necesidad de flexibilizar la condición de mantener un 'site' en Chile a fin de permitir la innovación y el desarrollo de los mercados", señala el informe normativo de la CMF.
La normativa establece que el directorio de cada banco será responsable de evaluar y ponderar los beneficios y dificultades que conlleva la externalización de servicios, incluidos los denominados "sites" de contingencia, pudiendo contratar a los proveedores que mejor se ajusten a sus necesidades. Esto, supeditado al cumplimiento de exigencias operacionales y a un informe elaborado por una empresa de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.
Se amplía el mercado a mega actores
Según la CMF, objetivo de la normativa es facilitar el desarrollo del mercado, ampliando el espectro de actores que puedan competir en la prestación de servicios en materia operacional.
De esta forma, actores internacionales relevantes en este negocio, como por ejemplo, Amazon, podrían ser contratados por la banca para estos efectos.
Adicionalmente, la norma permitirá que los servicios en el exterior puedan ser prestados desde un país que no cuente con calificación de riesgo país en grado de inversión, en la medida en que el lugar en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas, debiendo la entidad dejar constancia del análisis realizado al efecto.
Rol del directorio
Uno de los aspectos más relevantes de la norma es la responsabilidad que recaerá en el directorio de un banco si éste decide externalizar este tipo de servicios fuera de Chile.
En ese sentido, deberán considerar que el Tiempo de Recuperación Objetivo (periodo de tiempo después de un incidente en que la provisión tecnológica de los productos, servicios o actividad debe reanudarse; o los recursos deben ser recuperados) de la información deberá ser aprobado en función de un análisis de impacto y de riesgo que sea consistente con la criticidad de lo contratado. Lo anterior, deberá ser evaluado y probado al menos una vez al año.
También se exige al directorio que al momento de externalizar estos servicios deben considerar aspectos relevantes como: la disponibilidad de los datos, que los "sites" se encuentren en ubicaciones distintas que mitiguen el riesgo geográfico y político y que en términos de seguridad de la información se ubiquen en un ambiente consistente con las políticas y estándares adoptados el banco.