SBIF realiza modificaciones en normativas sobre ciberseguridad
La medida buscará fortalecer los estándares de seguridad de la banca y el resto de la entidades fiscalizadas por la entidad.
La Superintendencia de Bancos e Instituciones Financieras (SBIF) anunció la emisión de una serie de modificaciones normativas sobre ciberseguridad que buscan “fortalecer a la industria financiera, elevando los estándares de seguridad para transitar a un sistema financiero en que los clientes puedan contar con un acceso seguro, confiable y continuo a su dinero y productos financieros en todo momento”, según detalló la entidad fiscalizadora.
Los cambios buscarán perfeccionar el sistema de reporte de incidentes por medio de una plataforma digital establecida por la Superintendencia, en un plazo máximo de 30 minutos, esto a partir del 1 de octubre de esta año. Además, los bancos deberán designar un encargado de nivel ejecutivo para comunicarse con la Superintendencia en todo momento tras registrarse un ciberataque.
Los bancos tendrán la obligación de entregar información oportuna a los usuarios y clientes sobre los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de interés público.
Por otro lado, se establece la obligación de mantener un sistema de alerta de incidentes de ciberseguridad entre los miembros de la industria, para que compartan parte de la información de los incidentes, y así las demás entidades puedan adoptar las medidas necesarias.
Los directorios de la banca deberán involucrarse directamente en los temas relacionados con la ciberseguridad, tendrán que pronunciarse sobre la gestión en cuestión al menos una vez al año y tendrán que tener una base de incidentes relacionados con la seguridad digital.
Las Sociedades de Apoyo al Giro, Filiales bancarias, Cooperativas de Ahorro y Crédito fiscalizadas por la SBIF y las empresas emisoras y operadores de tarjetas de pago también estarán obligadas a reportar a la Superintendencia los incidentes operacionales que las afecten, además de comunicar a sus clientes los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o aquellos que sea de relevancia pública.
