Banca movil, banca por internet, normatividad
Concepto 2016070922-001 del 11 de agosto de 2016
Síntesis: El subnumeral 2.3.4.11 del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica – Circular Externa 029 de 2014, define la Banca Móvil como un canal de banca electrónica en el cual “el dispositivo móvil es utilizado para realizar operaciones y su número de línea es asociado al servicio”. Esta conceptualización contiene un elemento importante en la medida en que trazó una distinción fundamental, y es que los servicios a los que el consumidor financiero acceda utilizando un dispositivo móvil, pero a través de un navegador web y sin que haya asociación del servicio a la línea móvil, son considerados por la circular como banca por internet para todos los efectos.
« (…) solicitud en la cual formula una serie de inquietudes relacionadas con la implementación de la Banca Móvil en el país. Por lo anterior, pasamos a resolver los cuestionamientos planteados en el mismo orden en que fueron formulados:
- “¿Existe un Marco Regulatorio del Sistema Financiero Móvil en el país?”
En Colombia existe una cierta libertad para los establecimientos de crédito de ofrecer diferentes canales de distribución de su servicios financieros, por lo que en los últimos años se han implementado diversas soluciones tecnológicas para que el consumidor financiero administre sus productos y utilice los servicios ofrecidos por las entidades a través de distintas plataformas tecnológicas que pretenden simplificar y hacer más accesibles los trámites y operaciones que cotidianamente se realizan en el sistema financiero.
Estos canales electrónicos deben cumplir los estándares de seguridad y calidad que para el manejo de la información a través de medios y canales de distribución de productos y servicios ha establecido de manera general la Superintendencia Financiera de Colombia. Así pues, es preciso señalar que en nuestra legislación nacional existen algunas disposiciones relacionadas con el concepto de Banca Móvil, pero enfocadas a una reglamentación de las condiciones mínimas de seguridad y calidad para la realización de operaciones a través de la Banca Móvil, considerada en líneas generales como un canal de distribución de servicios.
En efecto, la Circular Externa 052 de 2007[1], la cual adicionó el Capítulo Décimo Segundo al Título Primero de la Circular Básica Jurídica (Circular Externa 007 de 1996), impartió algunos “(r)equerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios”, sin embargo, dicho instructivo fue objeto de reforma por parte de la Circular Externa 042 de octubre 4 de 2012[2], mediante la cual se realizaron algunas modificaciones al referido capítulo en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones; cambios que responden precisamente a distintos factores como la masificación del uso de los dispositivos móviles, la disminución de la brecha digital, la irrupción de las tecnologías de la información en las facetas cotidianas de la vida, entre otros motivos.
Dentro de las reformas introducidas, destaca aquellas relacionadas con la inclusión de la Banca Móvil como un canal adicional de distribución de servicios financieros[3], y la definición de los “dispositivos móviles” como instrumentos que permiten impartir “las órdenes para la realización de operaciones a través de los canales de distribución (…)”[4].
Ahora, en la actualidad, el subnumeral 2.3.4.11 del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica – Circular Externa 029 de 2014, define la Banca Móvil como un canal de banca electrónica en el cual “el dispositivo móvil es utilizado para realizar operaciones y su número de línea es asociado al servicio”. Esta conceptualización contiene un elemento importante en la medida en que trazó una distinción fundamental, y es que los servicios a los que el consumidor financiero acceda utilizando un dispositivo móvil, pero a través de un navegador web y sin que haya asociación del servicio a la línea móvil, son considerados por la circular como banca por internet para todos los efectos.
Adicionalmente, para la Banca Móvil se hicieron extensivas las mismas obligaciones de seguridad y calidad, documentación, divulgación y deberes en la tercerización de servicios (outsourcing)[5], que son predicables de otros canales de distribución de servicios financieros como las oficinas, los cajeros automáticos (ATM) o los Centros de Atención Telefónica, y son totalmente aplicables las disposiciones relacionadas con actualización de software y análisis de vulnerabilidades contenidas en la circular[6], debido al alto componente tecnológico requerido para el funcionamiento de la Banca Móvil.
En todo caso, se incorporaron unas obligaciones específicas para el canal de Banco Móvil, las cuales se establecieron en el subnumeral 2.3.4.11 de la Circular Externa 029 de 2014 en los siguientes términos:
“La prestación de servicios a través de banca móvil debe cumplir con los siguientes requerimientos:
2.3.4.11.1. Contar con mecanismos de autenticación de 2 factores para la realización de operaciones monetarias y no monetarias.
2.3.4.11.2. Para operaciones monetarias individuales o que acumuladas mensualmente por cliente superen 2 SMMLV, implementar mecanismos de cifrado fuerte de extremo a extremo para el envío y recepción de información confidencial de las operaciones realizadas, tal como: clave, número de cuenta, número de tarjeta, etc. Esta información, en ningún caso, puede ser conocida por los proveedores de redes y servicios de telecomunicaciones ni por cualquier otra entidad diferente a la entidad financiera que preste el servicio a través de este canal. Dicha información tampoco puede ser almacenada en el teléfono móvil.
2.3.4.11.3. Cualquier comunicación que se envíe al teléfono móvil como parte del servicio de alertas o notificación de operaciones no requiere ser cifrada, salvo que incluya información confidencial.
2.3.4.11.4. Para las operaciones monetarias individuales o que acumuladas mensualmente por cliente sean inferiores a 2 SMMLV y que no cifren la información de extremo a extremo, la entidad debe adoptar las medidas necesarias para mitigar el riesgo asociado a esta forma de operar, el cual debe considerar los mecanismos de seguridad en donde la información no se encuentre cifrada. La SFC puede suspender el uso del canal cuando se advierta que existen fallas que afecten la seguridad de la información.
2.3.4.11.5. Contar con medidas que garanticen la atomicidad de las operaciones y eviten su duplicidad debido a fallas en la comunicación ocasionadas por la calidad de la señal, el traslado entre celdas, entre otras.
2.3.4.11.6. Los servicios que se presten para la realización de operaciones a través de Internet, en sesiones originadas desde el dispositivo móvil, deben cumplir con los requerimientos establecidos en el subnumeral 2.3.4.9. de Internet”.
Ahora bien, como se observa en el subnumeral 2.3.4.11.6 de la circular citada líneas atrás, y comoquiera que la banca por internet goza de características especiales que la diferencian de la Banca Móvil, esta Superintendencia a través de distintas instrucciones impuso una serie de obligaciones adicionales inherentes al canal en cuestión[7].
Debe resultarse además que los requerimientos mínimos en materia de seguridad y calidad para la realización de operaciones dispuestos en el Capítulo I del Título II de la Parte I de la Circular Externa 029 de 2014, deben ser adoptados por todas las entidades sometidas a la inspección y vigilancia por parte de la Superintendencia Financiera de Colombia, salvo las excepciones establecidas en el subnumeral 2.1 de la circular.
De otro lado, conviene señalar algunas disposiciones que se expidieron para favorecer la inclusión financiera, las cuales si bien no están relacionadas propiamente con la Banca Móvil, sí hacen referencia a esquemas de servicios financieros distintos a los tradicionales; tal es el caso de las cuentas de ahorro electrónicas[8], las cuales, entre otras características, se indicó que sus transacciones se podrán realizar “a través de tarjetas, celulares, cajeros electrónicos y en general cualquier medio y canal de distribución de servicios financieros que se determine en el contrato”[9].
Finalmente, el artículo 2.35.4.2.5 del Decreto 2555 de 2010[10], estandarizó los precios y tarifas cobrados a los clientes por consultas de saldo y transacciones a través de internet, señalando para el efecto que las mismas no podrían ser superiores a las que se cobran por otros canales.
- “¿Cuál o cuáles son las entidades encargadas de la regulación del Sistema Financiero Móvil en el país?”
En su artículo 150, la Constitución Política de 1991 establece que corresponde al Congreso hacer las leyes, a través de las cuales ejerce, entre otras, la siguiente función contenida en el literal d) del numeral 19:
“19. Dictar las normas generales, y señalar en ellas los objetivos y criterios a los cuales debe sujetarse el Gobierno para los siguientes efectos:
(…)
d) Regular las actividades financiera, bursátil, aseguradora y cualquiera otra relacionada con el manejo, aprovechamiento e inversión de los recursos captados del público”.
Como se aprecia, por mandato constitucional, la regulación del sistema financiero en general está en cabeza del Congreso de la República. Por su parte, las actividades de inspección, vigilancia y control de las actividades financiera, bursátil y aseguradora, son competencia del Presidente de la República como Suprema Autoridad Administrativa, de acuerdo con lo señalado en el numeral 24 del artículo 189 constitucional[11].
Paralelamente, el artículo 335 constitucional, dispuso que “(l)as actividades financiera, bursátil, aseguradora y cualquier otra relacionada con el manejo, aprovechamiento e inversión de los recursos de captación a las que se refiere el literal d) del numeral 19 del artículo 150 son de interés público y sólo pueden ser ejercidas previa autorización del Estado, conforme a la ley, la cual regulará la forma de intervención del Gobierno en estas materias y promoverá la democratización del crédito”[12].
De acuerdo a lo anterior, si bien corresponde al Presidente de la República ejercer la inspección vigilancia y control de la actividad financiera, bursátil y aseguradora, es función del legislador delimitar el desarrollo de dichas competencias y la forma de intervención en dicho sector con el propósito de preservar el orden público económico.
Ahora bien, el Presidente de la República, en virtud de la aplicación de los instrumentos de delegación y desconcentración[13], los cuales se antojan necesarios para la ejecución de la función administrativa[14] -y, como consecuencia de ello, el cumplimiento de los cometidos estatales-, ejerce dichas actividades de inspección, vigilancia y control a través de la Superintendencia Financiera de Colombia.
Entonces, esta entidad, como bien lo describe el artículo 325 del Estatuto Orgánico del Sistema Financiero, es un organismo de carácter técnico mediante el cual el Presidente de la República ejerce la inspección, vigilancia y control sobre las personas que desarrollan actividades financieras, bursátiles, aseguradoras y cualquier otra relacionada con el manejo o inversión de recursos captados del público.
Determinada la misión institucional de esta entidad, es pertinente resaltar que el artículo 326 del mismo estatuto, señala que para el logro de los objetivos del ente de supervisión, y como desarrollo de las funciones de control y vigilancia, la Superintendencia Financiera de Colombia podrá “(i)nstruir a las instituciones vigiladas sobre la manera como deben cumplirse las disposiciones que regulan su actividad, fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de tales normas y señalar los procedimientos para su cabal aplicación, así como instruir a las instituciones vigiladas sobre la manera como deben administrar los riesgos implícitos en sus actividades”[15].
Así las cosas, es claro que por mandato constitucional y de acuerdo a las competencias atribuidas a esta entidad en virtud de la desconcentración de funciones en cabeza del Presidente de la República, corresponde a la Superintendencia Financiera de Colombia impartir las respectivas instrucciones para el desarrollo de la actividad financiera, esto sin perjuicio de la facultad de la que goza el Congreso para regular mediante Ley de la República los deberes y obligaciones a cargo de las entidades vigiladas.
En conclusión, el Congreso, el Presidente de la República y la Superintendencia Financiera son los encargados de la regulación y reglamentación en líneas generales del sistema financiero colombiano, dentro del cual se encuentra, como canal para la distribución de servicios financieros, la Banca Móvil.
- “¿Cuáles son las entidades financieras que en el país ofrecen Servicios Financieros Móvil?”
Al respecto, esta Superintendencia se permite señalar que no cuenta con datos precisos respecto de cuáles son las entidades financieras que ofrecen servicios de Banca Móvil, pues la misma funciona a partir de la interconexión con terceros que no son objeto de inspección y vigilancia por parte de esta Superintendencia, como es el caso de los proveedores de redes y servicios de comunicaciones[16].
En todo caso, es oportuno resaltar que de acuerdo a los esquemas generales de interconexión para el servicio de Banca Móvil, las entidades vigiladas por esta Superintendencia actúan como usuarios de las plataformas de los proveedores, por lo que dicha relación se constituye en una tercerización de servicios respecto de la cual deben ser aplicables las instrucciones en este sentido emitidas por esta entidad en el Capítulo I del Título II de la Parte I de la Circular Básica Jurídica[17].
- “¿Cuáles son los servicios ofertados por las entidades financieras que incluyen Servicios Financieros Móvil?”
Sobre el particular, es pertinente destacar que dentro de las opciones de la Banca Móvil, muchas de las entidades vigiladas ofrecen a sus clientes los mismos productos y servicios que tradicionalmente se encuentran dentro de su portafolio, como consultas de saldo, transferencias y pagos, pero adaptados específicamente a una interfaz electrónica que permite su utilización a través del teléfono móvil celular. Sin embargo, es posible que por cuestiones tecnológicas u operativas estas entidades planteen algunas restricciones relacionadas con el funcionamiento de los mismos.
Ahora bien, es de aclararse que la configuración de una determinada oferta de servicios a través de un canal transaccional determinado, como es el caso de la Banca Móvil, responde a la discrecionalidad de la entidad vigilada, razón por la cual esta Superintendencia no cuenta con información precisa relacionada con qué servicios son ofrecidos a través de la Banca Móvil.
En todo caso, para obtener información estadística de la penetración de la Telefonía Móvil Celular y la utilización de los canales de distribución de los servicios financieros, entre los cuales se encuentra el Internet y la Banca Móvil, puede consultar los Reportes de Inclusión Financiera generados por la Banca de las Oportunidades y la Superintendencia Financiera de Colombia, a través de las páginas web de cada una de estas entidades.
(…).»
[1] Superintendencia Financiera de Colombia. (25 de octubre de 2007). [Capítulo Décimo Segundo del Título I de la Circular Básica Jurídica – Circular Externa 007 de 1996]. Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios. [Circular Externa 052 de 2007]. Recuperado de: https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=20145
[2] Mediante la Circular Externa 042 de 2012, la Superintendencia realizó algunas modificaciones al referido Capítulo Décimo Segundo del Título Primero de la Circular Básica Jurídica, relacionado con los requerimientos mínimos de seguridad y calidad para la realización de operaciones, en específico, adicionó los numerales 2.15, 2.16, 2.17, 2.18, 4.2.7, 4.6.3, 4.9.7, 4.9.8, 4.11 y 6.12; y modificó el contenido de los numerales 2.3, 2.4, 3.1.7, 3.2.2, 3.3.3, 3.3.10, 4.7.5, 6.10 y 6.11. Todas estas modificaciones posteriormente fueron incluidas en la Circular Externa 029 de 2014, la cual reexpidió la Circular Básica Jurídica de esta Superintendencia.
[3] Superintendencia Financiera de Colombia. (4 de octubre de 2012). Subnumeral 2.3 literal j) “Canales de distribución de servicios financieros” [Capítulo Décimo Segundo del Título Primero de la Circular Básica Jurídica – Circular Externa 007 de 1996]. Requerimientos mínimos de seguridad y calidad para la realización de operaciones. [Circular Externa 042 de 2012]. Recuperado de: https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=20142
[4] Ibidem. Subnumeral 2.4 literal c) “Instrumentos para la realización de operaciones” [Capítulo XII del Título I de la Circular Básica Jurídica – Circular Externa 007 de 1996]. [Circular Externa 042 de 2012].
[5] Superintendencia Financiera de Colombia (3 de octubre de 2014) Subnumeral 2.3.6 “Tercerización - Outsourcing” [Capítulo I del Título II de la Parte I de la Circular Básica Jurídica – Circular Externa 029 de 2014]. Recuperado de: https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=10083443
[6] Ibidem. Subnumerales 2.3.5 y 2.3.7 “Requerimientos en materia de actualización de software” y “Análisis de vulnerabilidades”.
[7] Ibidem. Subnumeral 2.3.4.9 “Internet”.
[8] “Artículo 2.25.1.1.1 (Artículo 1° del Decreto 4590 de 2008, modificado por el artículo 1 del Decreto 1349 de 2009) Cuentas de ahorro electrónicas. De conformidad con lo previsto en el artículo 70 de la Ley 1151 de 2007, se entienden incorporadas a la lista de operaciones autorizadas para los establecimientos de crédito y las cooperativas facultadas para desarrollar la actividad financiera, las cuentas de ahorro electrónicas en las condiciones que se establecen en el presente Libro”. Presidencia de la República. (15 de julio de 2010) Artículo 2.25.1.1.1 [Libro 25 Normas comunes a Establecimientos de Crédito y Cooperativas Financieras]. Por el cual se recogen y reexpiden las normas en materia del sector financiero, asegurador y del mercado de valores y se dictan otras disposiciones. [Decreto 2555 de 2010].
[9] “Artículo 2.25.1.1.2 (Artículo 2° del Decreto 4590 de 2008 modificado por el artículo 1 del Decreto 1349 de 2009) Características de las cuentas de ahorro electrónicas. Se consideran cuentas de ahorro electrónicas en los términos del presente decreto, aquellas dirigidas a las personas pertenecientes al nivel 1 del Sistema de Identificación de Potenciales Beneficiarios de Programas Sociales –Sisbén– y desplazados inscritos en el Registro Único de Población Desplazada, cuyos contratos prevean, como mínimo, los siguientes acuerdos con el cliente:
a) Estas cuentas se denominarán ‘cuentas de ahorro electrónicas’ y gozarán de las prerrogativas previstas en el artículo 127 del Estatuto Orgánico del Sistema Financiero;
b) Las transacciones se podrán realizar a través de tarjetas, celulares, cajeros electrónicos y en general cualquier medio y canal de distribución de servicios financieros que se determine en el contrato (…)”. Ibidem. Artículo 2.25.1.1.2 [Libro 25 Normas comunes a Establecimientos de Crédito y Cooperativas Financieras]. [Decreto 2555 de 2010].
a) Estas cuentas se denominarán ‘cuentas de ahorro electrónicas’ y gozarán de las prerrogativas previstas en el artículo 127 del Estatuto Orgánico del Sistema Financiero;
b) Las transacciones se podrán realizar a través de tarjetas, celulares, cajeros electrónicos y en general cualquier medio y canal de distribución de servicios financieros que se determine en el contrato (…)”. Ibidem. Artículo 2.25.1.1.2 [Libro 25 Normas comunes a Establecimientos de Crédito y Cooperativas Financieras]. [Decreto 2555 de 2010].
[10] “Artículo 2.35.4.2.5 Favorabilidad de tarifas para servicios financieros por internet. (Adicionado por el artículo 1° del Decreto 4809 del 20 de diciembre de 2011) Los precios y tarifas que los establecimientos de crédito cobren a sus clientes, por consultas de saldo y transacciones a través de internet, en ningún caso podrán ser superiores a las cobradas por otros canales”. Ibidem. Artículo 2.35.4.2.5 [Libro 35 Normas comunes a las entidades sujetas a la inspección y vigilancia de la Superintendencia Financiera de Colombia]. [Decreto 2555 de 2010].
[11] “Artículo 189: Corresponde al Presidente de la República como Jefe de Estado, Jefe del Gobierno y Suprema Autoridad Administrativa:
(…)
24. Ejercer, de acuerdo con la ley, la inspección, vigilancia y control sobre las personas que realicen actividades financiera, bursátil, aseguradora y cualquier otra relacionada con el manejo, aprovechamiento o inversión de recursos captados del público. Así mismo, sobre las entidades cooperativas y las sociedades mercantiles”. Constitución Política de Colombia [Const.] (1991) Artículo 189 [Título VII]. Recuperado de: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4125
(…)
24. Ejercer, de acuerdo con la ley, la inspección, vigilancia y control sobre las personas que realicen actividades financiera, bursátil, aseguradora y cualquier otra relacionada con el manejo, aprovechamiento o inversión de recursos captados del público. Así mismo, sobre las entidades cooperativas y las sociedades mercantiles”. Constitución Política de Colombia [Const.] (1991) Artículo 189 [Título VII]. Recuperado de: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4125
[12] Ibidem. Artículo 335 [Título XII]. [Const.]
[13] “La ley señalará las funciones que el Presidente de la República podrá delegar en los ministros, directores de departamentos administrativos, representantes legales de entidades descentralizadas, superintendentes, gobernadores, alcaldes y agencias del Estado que la misma ley determine. Igualmente, fijará las condiciones para que las autoridades administrativas puedan delegar en sus subalternos o en otras autoridades.
La delegación exime de responsabilidad al delegante, la cual corresponderá exclusivamente al delegatario, cuyos actos o resoluciones podrá siempre reformar o revocar aquel, reasumiendo la responsabilidad consiguiente”. Ibidem. Artículo 211 [Título VII]. [Const.]
La delegación exime de responsabilidad al delegante, la cual corresponderá exclusivamente al delegatario, cuyos actos o resoluciones podrá siempre reformar o revocar aquel, reasumiendo la responsabilidad consiguiente”. Ibidem. Artículo 211 [Título VII]. [Const.]
[14] “La función administrativa está al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones (…)”. Ibidem. Artículo 209 [Título VII]. [Const.]
[15] Presidencia de la República. (2 de abril de 1993) Artículo 326 [Parte XIII]. Estatuto Orgánico del Sistema Financiero. [Decreto 663 de 1993]. DO: 40.820, del 5 de abril de 1993.
[16] “Son las empresas reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros, de acuerdo a lo establecido en el art. 1 de la resolución 202 de 2010 art.1)”. Superintendencia Financiera de Colombia, op. cit. Subnumeral 2.2.7 “Proveedores de redes y servicios de telecomunicaciones” [Capítulo I del Título II de la Parte I de la Circular Básica Jurídica – Circular Externa 029 de 2014].
[17] “Las entidades que contraten bajo la modalidad de outsourcing o tercerización, a personas naturales o jurídicas, para la atención parcial o total de los distintos canales o de los dispositivos usados en ellos, o que en desarrollo de su actividad tengan acceso a información confidencial de la entidad o de sus clientes, deberán cumplir, como mínimo, con los siguientes requerimientos:
2.3.6.1. Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos.
2.3.6.2. Incluir en los contratos que se celebren con terceros, por lo menos, los siguientes aspectos:
2.3.6.2.1. Niveles de servicio y operación.
2.3.6.2.2. Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.
2.3.6.2.3. Propiedad de la información.
2.3.6.2.4. Restricciones sobre el software empleado.
2.3.6.2.5. Normas de seguridad informática y física a ser aplicadas.
2.3.6.2.6. Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.
2.3.6.2.7. Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.
Las entidades deben contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente subnumeral, los cuales deben ser informados previamente a la auditoría interna o quien ejerza sus funciones.
2.3.6.3. Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deben verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
2.3.6.4. Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.
2.3.6.5. Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados”.
Ibidem. Subnumeral 2.3.6 “Tercerización – Outsourcing”.
2.3.6.1. Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos.
2.3.6.2. Incluir en los contratos que se celebren con terceros, por lo menos, los siguientes aspectos:
2.3.6.2.1. Niveles de servicio y operación.
2.3.6.2.2. Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.
2.3.6.2.3. Propiedad de la información.
2.3.6.2.4. Restricciones sobre el software empleado.
2.3.6.2.5. Normas de seguridad informática y física a ser aplicadas.
2.3.6.2.6. Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.
2.3.6.2.7. Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.
Las entidades deben contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente subnumeral, los cuales deben ser informados previamente a la auditoría interna o quien ejerza sus funciones.
2.3.6.3. Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deben verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
2.3.6.4. Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.
2.3.6.5. Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados”.
Ibidem. Subnumeral 2.3.6 “Tercerización – Outsourcing”.
Última modificación 06/09/2016