Autoridad de Supervision del Sistema Financiero ran Estado Phrnacioval de Bolin Dede 12 CIRCULAR ASF) 5.96 /2019 La Paz, 2 OFEB. 2019 Sefiores Presente REF: MODIFICACIONES AL REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION Sefiores: Para su aplicacién y estricto cumplimiento, se adjunta a la presente la Resolucion que aprueba y pone en vigencia las modificaciones al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, referidas a lo siguiente: Seccién 3: Administracion de la Seguridad de la Informacion En el Articulo 17° “Custodia y conservacién de datos”, se precisa que las politicas y procedimientos internos de la entidad supervisada, deben prever la prohibicion de destruir los documentos que respaiden un proceso administrativo, judicial u otro, que ‘se encuentre pendiente de resolucién, sefialandose ademas, que en las operaciones crediticias castigadas, se debe conservar la documentacion respaldatoria, en los medios fisicos y/o electrénicos que la misma determine, por el plazo minimo de veinte (20) afios computables a partir del registro contable de dicho castigo. Las modificaciones anteriormente descritas se incorporan en el Reglamento para la Gestion de Seguridad de la Informacién, contenido en el Capitulo Il, Titulo VII, Libro 3° de la Recopilacion de Normas para Servicios Financieros Atentamente. Lo ctado hae ACIAGLARCQYEM ‘Gn Stora Free Fa (599-2) 2420028 Calla M447 Condominio TORESUTTESta Tore "A' isos 45,6 + 7311818-Cails 6118. E Alo: Cento de const, Utbanzacén Vila Bole Manca sof Ladson Cabrera N15 (Cuce ila Al) - Te (591-2 2821464 PtasCenodeconsuita Plaza Alonso de lbes N20, Clete go Ps 1 Te (591-2) 6230858. De (Fax 591-3) 4625659. Cochabamb partament Cale Cosa N36 cai Calla 25. Mayo Tele 591) 4584505 Fa (591) 8384806, Sucre: Cero ce conta, Ex EaifcioECOBO. plans baa entre euchoy unin SIN Te (91-4 6439777 643977564974 Fae (59-4 6429776 Tanja Cento de cone, Calle unin O45) etre 1 de Aly gio era Ta 113708 Line rat: 00 103 103- Sto webs wwwash gab Corea elecncaesi@ash. gobo.ASFI (HEB Auridad de Supervisisn del as |g [Sistema Financiero sao Plainaciona de Bolivia Da 1228 RESOLUCION ASF 1.35 /2019 taPaz, 7 OFEB. 2019 visTos: La Constituci6n Politica del Estado, la Ley N° 393 de Servicios Financieros, las Resoluciones SB N° 066/2003 y ASFI/807/2018 de 4 de julio de 2003 y 28 de mayo de 2018, respectivamente, el Informe ASFI/DNP/R-26305/2019 de 6 de febrero de 2019, referido a la modificacién al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en la Recopilacién de Normas para Servicios Financieros y demas documentacién que ver convino y se tuvo presente. CONSIDERANDO: Que, el Articulo 331 de la Constitucién Politica del Estado, establece que: ‘Las actividades de intermediacién financiera, 1a prestacién de servicios financieros y cualquier otra actividad relacionada con el manejo, aprovechamiento e inversion del ahorro, son de interés puiblico y solo pueden ser ejercidas previa autorizacién del Estado, conforme con la Ley’. Que, el Paragrafo | del Articulo 332 de la Constitucion Politica del Estado determina que: “Las entidades financieras estardn reguladas y supervisadas por una institucién de regulacién de bancos y entidades financieras. Esta institucién tendré caracter de derecho publico y jurisdiccién en todo el territorio boliviano”, reconociendo el caracter constitucional de fa Autoridad de Supervisién del Sistema Financiero (ASFI). Que, el Paragrafo | del Articulo 6 de la Ley N° 393 de Servicios Financieros, dispone que las actividades de intermediacién financiera y la prestacin de servicios financieros, son de interés publico y sdlo pueden ser ejercidas por entidades financieras autorizadas conforme a Ley. Que, el Paragrafo | det Articulo 8 de la Ley N° 393 de Servicios Financieros, determina que: “Es competencia privativa indelegable de la Autoridad de Supervision del Sistema Financioro - ASF! ejecutar la regulacién y supervisién financiera, con la finalidad de velar por el sano funcionamiento y desarrollo de las entidades financieras y preservar la estabilidad del sistema financiero, bajo los postulados de ta politica financiera, establecidos en ia Constituci6n Politica del Estado” \ rosea easy" Pag. 1de 4 G LaPar otc cal Voce ef: 91-2) 2178448262191, Fx (91-21 2490028- Cal N44 A, rc Eo MutioneN 2531 Pio 2, Te 1597-2) 2511790 -callfeyes Oz eg Federo Zune, Eco Gundlach Tore Ete, so 3 Tet 591-2) 2311818 Calla N 618 EA Centro de conan, Ubanzacn Vila Bolivar ‘Mancpl Mar 0" A adel Cabrera 15 (ace Vil ae) Tel-561-2 282144 Patol: Cet de Const, Pata Alonso de bute 2, oli Sil, 0 1 =e (51-2) £23065, Oruro Cento de Const, Pasje Gudra, El Carat de Comerco POF 307 Tas:[51-2)511776- 5112466. Sana Cru cna department Ala 55, (Ot 201, Cala 1359-5913} 808068, Fax (591-3) 353620. Cob: Centro de Cont calle Beni HPOA2 ea AU. Trent Coton rio Fetndndes Mae, Sti Cena “of 59-3) 82408), Tinidad: Cervo de Cont, cle Aono Vora Des” 26 entre Nos Sues Bu 8a nove, Zona Centr Tel Fx (3913 625659, Cochabsmbs! fina deparametal eae Coloma 36k eacabe 25 de Mayo Tet (914) 4584505, Fo: 21 ) 484500 Sueres Cento de const, Pen 25 deny N38, Museo del esr lena Te: 91) 643977 -6439775- 6439775, Fax 591-4) 6439776 Taras Centro de Const, cae Junin O87, ere 15 ce Ay Ugo eran Tel (59-4) 6173708, tines rata 809103103. web-worwastgod.bo» Creo eecuoniceasfaash gas5 f ASFI Autoridad de Supervision del Sistema Financiero lo Phinacional dle Bolivia Deste 1s Que, el Articulo 16 de la Ley N° 393 de Servicios Financieros, sefiala que: “La Autoridad de Supervision de! Sistema Financiero - ASF, tiene por objeto regular, controlar y supervisar los servicios financieros en el marco de la Constitucién Politica del Estado, la presente Ley y los Decretos Supremos reglamentarios, asi como la actividad del mercado de valores, los intermediarios y entidades auxiliares del mismo" Que, mediante Resolucién Suprema N° 24438 de 19 de octubre de 2018, el sefior Presidente Constitucional de! Estado Plurinacional de Bolivia designé a la Lic. Ivette Espinoza Vasquez como Directora General Ejecutiva ai, de la Autoridad de Supervision del Sistema Financiero. CONSIDERANDO: Que, el inciso t), Paragrafo | del Articulo 23 de la Ley N° 393 de Servicios Financieros, dispone entre las atribuciones de la Autoridad de Supervision del Sistema Financiero, el emitir normativa prudencial de caracter general, extendiéndose a la regulacién de normativa contable para aplicacién de las entidades financieras. Que, el Paragrafo Ill del Articulo 34 de la Ley N° 393 de Servicios Financieros, prevé que: "Las entidades financieras conservarén, debidamente, los libros y documentos referentes a sus operaciones, microfilmados o registrados en medios magnéticos y electrénicos, por un periodo no menor a diez (10) afios, desde la fecha del tltimo asiento contable, sujeto a reglamentacién de la Autoridad de Supervisi6n del Sistema Financiero — ASF” Que, ef Paragrafo | del Articulo 449 de la citada Ley, determina que: "Las entidades financieras deberén implementar sistemas, metodologias y herramientas de gestién integral de riesgos, que contemplen objetivos, estrategias, estructura organizacional, politicas y procedimientos para la prudente administracién de todos los riesgos inherentes a sus actividades y operaciones; en base a la normativa que emita para él efecto la Autoridad de Supervision del Sistema Financiero - ASF". Que, el Articulo 484 de la Ley N° 393 de Servicios Financieros, estipula que en el marco de preservar un sistema financiero sano y eficiente, ASF! conformara registros de informacién, detallando entre estos: “e) Relacién de deudores con créditos castigados por las entidades de intermediacién financiera autorizadas, por veinte afios, computables a partir del registro contable de dicho castigo; vencido este plazo opera el derecho al olvido para e! prestatario, no pudiendo ser reportado con la deuda castigada. La normativa emitida por fa Autoridad de Supervision de! Sistema Financiero ASFI estableceré los requisitos y condiciones para la aplicacién de este derecho’. Cc \ ee Pag. 2de4 2517750 «calle yes Or xg Federico Zon, Eo Gurac, Tore Este, Po = Tel (391-2) 2311818 Cale W 6118 EL Ako: Centro ce const, Urbanizacin Vil olan Murcia, Mano PO" ay, dal Cabrera 15 (Crace Vila aa) Te (S912 280146 Patol Cetra de Const, Paza loo de eae 2, Galeri Sil, 0 = Te (51-2 {20888 Onur: Centro de Cone Pace Gunes EA, Cara de Comerco, Pio 3, 207 «Tals: [39125117706 1124 Santa ras Ofna department Dvn 385 (f 20, csig W”1359-Tl (91-3) 3336288 Fa (013) 336299. Cobla Cento de Consulta, alle Bei N* 02 esa AvTeinte Coronal Emo Fernandez Mol Baro Cental Tel: 15316) 822464. THnidad: Cento de Consulta calle Antoni Vea Die 25 entre Nols Surety A. 18 de novembre, Zona ental el ax (50 3) 4620659, Cochabamba (Ofcin departamerta cae Colma” 364 aca 25 de May -Tel(591-4 4564505, Fa: (51-4) 484506 Suere: Cento de consul, Paz 25 de Mayo NS, Museo dal Tes, Blob Tels (59) 643977 6439775643977, a (591-4 639776 Tar: Cero de Const, cae Jun WO, erve 15 de Aly Vso Lome Tell(58-4) 611570, tines tuts 400 103103. Sit web-wnwastgob.bo- Ceo eecrerice asfaash goboASFI Autoridad de Supervision del Sistema Financiero Estlo Pirsacional le Bol q Bites Que, a través de Resolucién SB N° 066/2003 de 4 de julio de 2003, la Superintendencia de Bancos y Entidades Financieras, actual Autoridad de Supervisién del Sistema Financiero, aprob6 y puso en vigencia la normativa referida a los ‘Requisitos Minimos de Seguridad Informatica para la Administracién de Sistema de Informacién y Tecnologias Relacionadas en Entidades Financieras’, al presente denominado REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo II, Titulo Vil, Libro 3° de la Recopilacién de Normas para Servicios Financieros (RNSF). Que, con Resolucién ASFI/807/2018 de 28 de mayo de 2018, la Autoridad de Supervision del Sistema Financiero, aprobé y puso en vigencia las ultimas modificaciones al Regiamento citado en el parrafo que antecede. CONSIDERANDO: Que, en Virtud a lo estipulado en el Paragrafo | del Articulo 449 de la Ley N° 393 de Servicios Financieros, que sefiala la obligacién de las entidades financieras de impiementar sistemas, metodologias y herramientas de gestidn integral de riesgos, que contemplen objetivos, estrategias, estructura organizacional, pollticas y procedimientos para la prudente administracién de todos los riesgos inherentes a sus actividades y operaciones, conforme la normativa que para el efecto emita la Autoridad de Supervision del Sistema Financiero y con el propésito de que las entidades financieras aseguren y formalicen el deber de resguardar aquellos documentos que respalden un proceso administrativo, judicial u otro que se encuentre pendiente de resolucién, es pertinente establecer en el REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, la directriz que las, politicas y procedimientos internos de las entidades supervisadas precisen la prohibicién de destruir este tipo de documentacion. Que, con base en Io previsto en el Paragrafo Ill del Articulo 34 de la Ley N° 383 de Servicios Financieros, que estipula que las entidades financieras conservaran, debidamente, los libros y documentos referentes a sus operaciones, microfilmados 0 registrados en medios magnéticos y electronicos, por un periodo no menor a diez afios, desde la fecha del ultimo asiento contable, sujeto a reglamentacién de la Autoridad de Supervisién del Sistema Financiero (ASF), tomando en cuenta ademas, que el inciso e) del Articulo 484 de la citada Ley, sefiala el registro de informacion conformado por ASF, referido a la relaci6n de deudores con créditos castigados, por veinte afios a partir de la fecha del registro contable del castigo y que una vez vencido dicho plazo, es aplicable el derecho al olvido para el prestatario; con el propésito de que las entidades supervisadas sustenten el registro de las operaciones que mantienen castigadas y a su vez se puedan evidenciar los respaldos de estos registros, corresponde incorporar en el REGLAMENTO PARA LA GESTION DE G la FACIAS “ Pog. 3de4 tara oss get Fs tat acacia 257 Ts: 65-227 444-240919 Fe 512240028 -caa eh. cE Man N28 Pe 2TH 91-2) Bre ren edenco Zz cat Candath Tone Et Pon 37s S912 2818 -Cala 18 Aes ene dcr Utan nooo Monegan She osieCabe Cee a ase 1] 2st Ponce de ala Ps ers ge eri 25 Cea ge Pt Tet {Sin onrecona Conan Pe Casha Chnar Cone O05 O37 Tels SB 1170 Sana Okin departs al 385, Of cnt 39-esgo sacar) saab ar de Coa ae eX eg ent Coon Frade natant Ter. eent Tied Cnte Crate ton Va Dee Se ct Nery a doves eta alta eae ochabanb On deptomensl oe sembo Sta le x Naor Tek 631 4 sss fa C30 atte Street Pa 3 ay ea es. Pants Te 91.2) 5977875 A874 ox OO 6976 Tred Conc ne 8 Roa en ee 8) DE Ute cytaen an owen aon oa satan ate gebaASFI Autoridad de Supervision del Sistema Financiero ====Rstulo Plusinaciona de Bolivia Dewie 8 SEGURIDAD DE LA INFORMACION, lineamientos para la custodia y conservacion de la documentacién que respalda el registro de créditos castigados, en funcién del plazo dispuesto en el inciso e) del Articulo 484 de la Ley N° 393 de Servicios Financieros Que, debido a que con la citada modificacion, las entidades supervisadas requeriran ajustes en sus politicas y procedimientos, para la custodia y conservacién de los documentos que respalden las operaciones castigadas, corresponde definir un plazo de transitoriedad, para la aplicacién de la modificacién, disponiendo su vigencia a partir del 1 de abril de 2019 CONSIDERANDO: Que, mediante Informe ASFI/DNP/R-26305/2019 de 6 de febrero de 2019, se determin6 la pertinencia de aprobar la modificaci6n al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo II, Titulo VII, Libro 3° de la Recopilacién de Normas para Servicios Financieros POR TANTO: La Directora General Ejecutiva ai. de la Autoridad de Supervision del Sistema Financiero, en virtud de las facultades que le confiere la Constitucién Politica del Estado y demas normativa conexa y relacionada. RESUELVE: UNICO.- —Aprobar la modificacién al REGLAMENTO PARA LA GESTION DE SEGURIDAD DE LA INFORMACION, contenido en el Capitulo II, Titulo Vil, Libro 3° de la Recopilacién de Normas para Servicios Financieros, de acuerdo al texto que en Anexo forma parte de la presente Resolucion, disponiendo su vigencia a partir de 1 de abril de 2019. Registrese, comuniquese y cimplase. Uc. Ivette DIRECTORA GENERAPESECUTVAS. ‘utridad de Supersioa| ide Sistoma Financier : md Fig. 4de 4 eae La atolea 250 Tel (81-2) 2744442491919, Fo: (91-2) 230078 Cala A -Av. Ace lfc Mule NY 251 Po 2, Te 1597-2) RTH ONeea rederice Zuo Eafico Gunlaeh, Tre Et, Pio 3- Tel: (59-2) 2311818» Calla” 6118. LAR Centro de cons, Urbanzacén Vil Bolvat app cobra 15 (ce Vila del) Tal (91-2) 2621404 toa Centr de Const, za Alans de ahs N20 Gaeta Sg, Pp I= TeM(591.2) de Comercio Po 3, OF 307 Tels: [591-2511 7706-51 12468 Sama Cruz: Ona deparamera A Fla 55, 3 Cabs Conroe Const, calle Bei N42 exq A, Teint Cornel mo Ferner Molin ao Cea Cento de Consults, calle Antonio sea Dis N26 etre Neal Suarez y A. 18 de novembre, Zana Centra Te Fae (591 3) 4623659 Cochabamba: is folmba 364 ca calle 25 da Mayo Tel: (591-4) 4594505, Fv 5914) 4564505, Sure: Certo de consuta lza 25 de Mayo 59, Museo del Tesoro, SPAS 439775 eA39775, Fa 59 2) 643976 Tans Cer de Consult, cle unin” O41, ne 15 de Abel y Ve Lama To (591-9) 611370,RECOPILACION DE NORMAS PARA SERVICIOS FINANCIEROS SECCION 3: ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACION Articulo 1° -(Implementacion. del andlisis y evaluacion ‘de riesgos en seguridad de Ia informnacién) La Entidad Supervisada es responsable de efectuar-un anélisis y evaluacién de riesgos ‘en seguridad dela informacién, acorde a su naturaleza, tamafio. y complejidad de operaciones, debiendo desarrollar ¢ implementar procedimientos especificos para este propésito, los cuales deben estar formalmente establecidos. El(los) resultados) obtenido(s) de dicho andlisis y evaluaci6n de riesgo’ en seguridad de la informacién, debe(n) estar contenido(s) en un informe elaborado por ef Responsable de la funcién de la seguridad de la informacién, dirigido a la Gerenicia General, para su posterior presentacién al Directorio ti, Organo equivalente. E] andlisis y evaluacién de riesgos en seguridad:de la informacién, se constituye en un pfoceso continuo, por lo cual debe ser revisado y actualizado por lo menos una (1) vez al aio. ‘Articulo 2° - (Politica de seguridad de la informacién) De acuerido con su estrategia de seguridad dé Ia informacién y con los resultados de su andlisis y evaluacion de riesgos en seguridad de la formacién, la Entidad ‘Supervisada debe tener formalizadas por escrito, actualizadas ¢ implementadas la Politica de Seguridad de la Informacién (PSI) asi como la normativa que se desprende de la misma, aprobadas por el Directorio u Organo equivalente. La PSI asi como la-normativa que se desprende de la misma, deben ser publicadas y comunicadas a las diferentes instancias de la Entidad Supervisada, en forma entendible y accesible. La Entidad Supervisada, al menos una (1) vez.al afio, debe revisar y actualizar la PSI asi como la normativa que se desprende’de la misma, considerando. su naturaleza, tamafto, cambios y complejidad de sus operaciones, asegurando la’correcta implementacién de las mejores précticas de seguridad de la informacién. “Articulo 3° -(Licencias de software) Todo software w contar con las licencias sespectivas. jzado por la Entidad Supervisada debe La \Entidad Supervisada, debe definir los’ procedimientos necesarios para: la instalacién, mantenimiento y administracién de software, asf como para el control del estado y custodia de las licencias. 5 Articulo 4° - (Acuerdo de confidencialidad) Como parte de la obligacién contractual, de los Directores, Consejeros de Administracién y Vigilancia, Ejecutivos, demés funcionarios, consultores y personal eventual, éstos deben aceptar y firmar los términos y condiciones del contrato de empleo.en el cual se establecerén sus obligaciones en cuanto a ia seguridad de la informacién, entre las que se debe incluir el mantenimiento de la confidencialidad de la informacién a la que'tengan acceso, inclusive después de la finalizacién de la relacién contractual. Articulo 5° - (Inventario de activos de informacién) La Entidad Supervisada debe contar con un inventario de los activos de informacién, permanentemente actualizado y asignar responsabilidades respecto a la proteccién de los misnios. ‘Controtde versiones Libro 3 Gireular ASFU/S96/2019 (altima) Sait Capitulo I Seceiin 3 Pagina W/4RECOPILACION Dk: NORMAS PARA SERVICIOS PINANCIEROS ‘Asimismo, la entidad supervisada, debe remitir a ASFI, hasta el 31 de marzo de tada affo, con corte al 31 de diciembre de la gestién pasada, el detalle del software que utiliza, de acuerdo al formato contenido en-el Anexo |: Inventario qe Software, del presente Reglamento. Articulo 6° - (Clasificacién de la informacién) La Entidad Supervisada debe establecer un esquema de clasificacién de la informacidn, de acuerdo a la criticidad y sensibilidad de esta altima, estableciendo adécuados derechos de acceso a los datos administrados en.sus sistemas de informacién, asi como a la. documentacién fisica, Esta clasificacién debe ser documentada, formalizada y comunicada a todas las dreas involucradas, ‘Articulo 7° - (Propietarios de la informacién) Debe asignarse la propiedad de la informacién a un responsable de cargo jerdrquico, de acuerdo al tipo de informacién y a las operaciones que desarrolla la Entidad Supervisada. Ademés, en coordinacién’ con la instancia responsable de seguiiad de la informacién deben definirse los controles de proteceién adecuados, de acuerdo con el nivel de clasificacién otorgado a la informa ‘Articulo 8° - (Anlisis de vulnerabilidades téenicas) La Entidad Supervisada es responsable de implementar una gestién de vulnerabilidades técnicas, a cuyo efecto debe contar con politicas y procedimientos formales que le permitan identificar su exposicion a las mismas y adoptar las acciones preventivas y/o correctivas que correspondan, considerando los siguientes aspectos: a. La evaluiacién de vulnerabilidades téenicas debe efectuarse por lo menos una (1) vez, por alto y ante un cambio'en la infraesttuctura tecnoldgica. La ejecucién de pruebas de seguridad debe ‘onsiderar fa realizacién de pruebas de intrusién controladas internas, extemas.o ambas de acuerdo con los resultados del andlisis y evaluacion de riesgos en seguridad de la informacién, ‘efectuado por la Entidad Supervisada; b. El-conjunto de politicas y procedimientos referido a la gestién de vulnerabilidades téenicas debe ser revisado y actualizado (si corresponde), por lo menos una (1) vez al afto; ©. LaEntidad Supervisada debe exigira la(s) empresa(s) y/o persona(s) que le preste(n) servicios dé evaliiacién de seguridad de la informacién, la respectiva documentacién que acredite la experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que el personal que realice las prucbas de intrusidn controladas sea certificado y firme un acuerdo de confidencialidad conforme se establece en el Articulo 4° de la presente Seccién; 4d. -E] anélisis de vulnerabilidades técnicas puede ser realizado por personal externo, intertio 0 ambos, conforme.con Ios resultados del anélisis y evaluacién de riesgos en seguridad de'la informacién, efectuado por la Entidad Supervisada. Al efecto, el personal interno asignado para esta tarea debe sér ajeno al (las) érea(s) de tecnologias y sistemas de informacién. Articulo 9° - (Clasificacién de dreas de exclusién) La Entidad Supervisada debe identificar y clasificar las éreas de teenologias de la informacién como areas de exclusién que requieren medidas de proteccién y acceso restringido. - ‘Articulo 10° - (Caracteristicas del centro de procesamiento de datos) La Entidad Supervisada debe considerar los siguientes aspectos para la instalacién det ambiente destinado al-Centro de Procesamiento de Datos (CPD): ‘a, Ubicacién del CPD al interior de la Entidad Supervisada; -~ Zonta deverine mor Se es b15 uni) quits Gano Sees Pagina 214RECOPILACION DE NORMAS Haga SERVICIOS FIvANCIFROS Espacio acorde y stficiente para ta cantidad de equipos instalados; Energia regulada de acuerdo cén los requerimientos de los equipos; 4. Cableado para el.uso de los equipos de cémputo por medio de sistemas de ductos a través de piso 0 techo faiso, de‘acuerdo con la necesidad.de la Entidad Supervisada; ¢.. No almacenar papel u otros suiministros inflamables y/o equipos en desuso dentro del'CPD; £, Instalacién de los servidores y equipos de comunicacién de forma independient asegurados, segiin corresponda, -, debidamente ‘Articulo 11° = (Manuales de procedimientos del centro de procesamiento de datos) La Entidad Supervisada debe contar con manuales de procedimientos para la gestién del. (los) Centro(s) de Procesamiento de:Datos, que consideren minimamente, los siguientes aspectos: a.” “Operacidn y mantenimiento; b. Administracién de accesos; ¢. Pruebas a dispositivos de seguridad para garantizar su correcto funcionamiento. Articulo 12° - (Proieceién de equipos) La Entidad Supérvisada debe considerar que el Centro de Procesamiento de Datos debe contar al menos con los siguientes dispositivos: Sistema de yentilacién que minimamente mantenga la temperatura y humedad en los niveles reeomendados por los fabricantes de fos equipos; Extintores “de incendios (manuales y/o autométicos) u otros dispositives. segin las caracteristicas de los equipos; e. - Detectores de temperatura y humedad; 4. Equipos que aseguren el suministro de energia regulada en forma ininterrumpida; ie. Mecanismos para el control de ingreso y salida del Centro de Procesamiento de Datos; f, - Vigilandia a través-de edmaras de CCTV (Circuito Cerrado de TV). Articulo 13° - (Suministro eléctrico) Para el funcionamiento de-equipos informaticos, se debe utilizar una acometida eléctrica independiente del resto de la instalacién, para evitar interferencias Yy posibles interrupciones. La capacidad de autonomia de los equipos de suministro ininterrumpido de energia, debe ser consistente con el Plan de Contingencias Tecnolégicas y. con el Plan de Continuidad del Negocio. La Entidad Supervisada debe establecer mecanismos y destinar recursos para gatantizar el suministro ininterrumpido de energia para el funcionamiento de equipos criticos y la prestacién de servicios al piblico. ‘ Articulo'14° - (Seguridad del cableado de red) El cableado utilizado para el transporte de datos de la Entidad Supervisada, debe cumplir con los estindares de cableado estructurado, Articulo 15° (Pruebas a dispositives de seguridad) Los dispositivos de seguridad ‘fisica detallados en el Articulo 12° de la presente Seccidn, deben ser probados al menos dos (2) veces por Control de versiones Libro 3° Circular ASFU/59602019 lima) . ' ‘Titulo VIE Capinalo It Seevish 3 Pagina 3/4L Aaron Suman be Si PRUE RECOPILACION DE NORMAS PARA SERVICIOS FINANCIEROS aifo, de tal forma que se garantice su correcto funcionamiento. La documentacién que respalde la redlizacién de estas prucbas debe estar disponible cuando ASFI la requiera. Articulo 16° - (Responsabilidad en Ia gestion de seguridad de Ia informacién) La Entidad Supervisada debe realizar el control y cumplimiento de lo siguiente: a. Las funciones y responsabilidades de los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual deben ser definidas y documentadas en concordancia con la * PSI y con la normativa que se desprende de la misma; b. Asegurar que los Directivos, Consejeros, Ejecutivos, funcionarios, consultores y personal eventual estén conscientes de las amenazas y tiesgos de incidentes de seguridad de la informacién, asi como que estén capacitados para aceptar y cumplir con la PSI y con la normativa’que se desprende de la misma, en el desarrollo normal de su trabajo; c. _Elestablecimiento de un proceso disciplinario formal pata Directivos, Consejeros, Ejecutivos y funcionarios que hubieran.cometido faltas y/o violaciones a la PSI y/o a la normativa que 5 desprende de la misma, de la Entidad Supervisada; 4. * La determinacién en el contrato, de las sanciones para consultores y personal eventual que hubieran cometido faltas y/o violaciones a la PSI y/o a la normativa que se desprende de la misma, de la Entidad Supervisada, . Articulo 17° - (Custodia y conservacién de datos) Los documentos relacionados con las operaciones, microfilmados 0 registrados en medios magnéticos y/o electrénicos, deben ser conservados y permanecer en custodia de la Entidad Supervisada, por un periodo no menor a diez (10) afios. La documentacién que se constituya en instrumento probatorio en un proceso administrativo, judicial u otro, que se encuentre pendiente de resolucién, no debe ser objeto de destruccién, en Tesguardo de los derechos de las partes en conflicto, aspecto que debe ser previsto en las politicas y procedimientos internos de la Entidad Supervisada. En las operaciones crediticias castigadas, la Entidad Supervisada debe conservar la documentacion respaldatoria en los thedios fisicos y/o electrénicos que Ia misma determine, por el plazo minimo de veinte (20) afios computables a partir del registro contable de dicho castigo. Articulo 18° - (Destruccién’ controlada de medios) La Entidad Supervisada debe establecer procedimientos para la destruceién controlada de los medios utilizados para el almacenamiento y respaldo de la informacién, Comal deverones = eater ASEHS90019 (inn niu Gap See Pagina 4/4