Seguridad y calidad de información, proveedores financieros, acceso a información
Conceptos Superintendencia Financiera de Colombia |
Concepto 2011045922-001 del 27 de julio de 2011. Síntesis: Como las empresas a que se refiere la consulta no son vigiladas por esta Superintendencia, pero, en desarrollo de su actividad, tienen acceso a información confidencial de las entidades financieras y de sus clientes las que se contraten o interactúen deben cumplir los requerimientos mínimos previstos en la Circular Externa 22 de 2010, en particular respecto de Acuerdos de confidencialidad sobre información manejada y actividades desarrolladas, Propiedad de la información, Procedimientos y controles para la entrega de la información manejada y destrucción de la misma por parte del tercero y, Mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados. El responsable de administrar la información de sus clientes en las condiciones antes señaladas es el establecimiento de crédito. «(…) solicita que se le indique “si actualmente la Superfinanciera u otra entidad vigila operadores que funcionan como terceros en la comunicación de tarjetas débito y crédito”, requiere además que se le indique a dónde debe dirigirse “para saber que mi tarjeta débito que tengo si este intermediario almacena mi información, le estén haciendo auditorías y haciendo cumplir los controles mínimos de seguridad para que garantice la privacidad de mi información”. Sobre el particular, encontramos pertinentes los siguientes comentarios: 1.Resulta oportuno indicar que no refiere usted en su comunicación cuál es la entidad con la que tiene la tarjeta débito y si ha tenido algún inconveniente concreto que haya comprometido la seguridad de su información. Por lo tanto, los comentarios que se efectúan en el presente escrito no se refieren a ninguna entidad vigilada o “intermediario” en concreto. 2.Esta Superintendencia ha expedido varios instructivos que propenden por la seguridad y calidad para la realización de operaciones. La Circular Externa 022 de julio 30 de 2010 es la instrucción más reciente, en la cual se establecen una serie de medidas encaminadas a fortalecer la seguridad (confidencialidad, integridad y disponibilidad - ISO 27000) en el manejo de la información de los clientes y usuarios de las entidades vigiladas por la Superintendencia Financiera de Colombia; para lo cual, las referidas entidades deben cumplir con mecanismos para cifrar la información. Para su referencia, el texto completo de la Circular Externa 022 de julio 30 de 2010, se encuentra disponible en nuestra página Web: www.superfinanciera.gov.co siguiendo esta ruta: Normativa / Normas / Circulares Externas / 022 / Anexos. 3.En relación con el tema específico de su consulta, conviene anotar que, según el anexo de servicios financieros de la Ley 170 de 1994, los referidos servicios incluyen las siguientes actividades: (i) todos los servicios de pago y transferencia monetaria, con inclusión de tarjetas de crédito, de pago y similares, cheques de viajeros y giros bancarios y (ii) suministro y transferencia de información financiera, y procesamiento de datos financieros y soporte lógico con ellos relacionado, por proveedores de otros servicios financieros. En tal sentido, dichas actividades sólo pueden ser desarrolladas por proveedores financieros. 4.Como toda operación financiera, la referida por usted en su comunicación debe ejecutarse en condiciones seguras, transparentes y eficientes, y son las instituciones vigiladas por esta Superintendencia las que deben cumplir, de manera indelegable, los requerimientos mínimos de seguridad y calidad en su actividad, a que nos referimos anteriormente. 5.Teniendo en cuenta que las empresas “intermediarias” a que se refiere su comunicación no se encuentran actualmente sujetas a la vigilancia de esta Superintendencia, pero que las mismas, en desarrollo de su actividad, tienen acceso a información confidencial de las entidades financieras y de sus clientes; independientemente del esquema jurídico adoptado por las entidades vigiladas con terceros que intervengan en el proceso, las que contraten o interactúen con este tipo de “intermediarios” deben cumplir los requerimientos mínimos previstos en el numeral 3.2. de la referida Circular Externa 022 de 2010, en particular los numerales 3.2.2., literales b) acuerdos de confidencialidad sobre información manejada y sobre las actividades desarrolladas, c) propiedad de la información y g) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio, y 3.2.5., mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados. Dichas exigencias deben incluirse en los acuerdos o definirse en desarrollo de los contratos que celebren las entidades vigiladas con terceros. Por ende, en todo caso, el responsable de administrar la información de sus clientes en las condiciones antes señaladas es el establecimiento de crédito emisor de la tarjeta. 6.De otra parte, las entidades vigiladas cuentan con sistemas de administración de riesgo operativo (SARO), lo que implica que han identificado los riesgos y se han establecido controles para el manejo de sus procesos misionales, incluyendo las tareas que involucran convenios con terceros. 7. Las visitas de inspección que adelanta esta entidad corresponden al plan anual de supervisión y dentro de las cuales, entre otras actividades, se evalúa la documentación del SARO (matrices de riesgos, controles asociados, etc.) y se hacen pruebas de recorrido en distintas áreas de la entidad y de los outsourcing, a partir de lo cual se generan recomendaciones. También se analiza la implementación de los requerimientos de seguridad de la información, así como la observancia de la normatividad relacionada con el derecho fundamental al Hábeas Data, dentro del marco de nuestra competencia legal. Conviene anotar que algunos de los riesgos expuestos en su consulta, han sido identificados y mitigados por las entidades. Agradecemos que nos haya compartido sus inquietudes sobre este tema y si cuenta con información más específica al respecto, lo invitamos a ponerla en conocimiento de esta Delegatura. Ahora, si se trata de un caso particular podrá presentar la correspondiente queja contra la entidad con quien tiene relación comercial, para lo cual podrá ingresar por la dirección señalada más adelante. (…).»
Bien sea como outsourcing o mediante cualquier modalidad contractual. |
Última modificación 13/12/2012