Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESOLUCIÓN JM-104-2021
Inserta en el punto primero del acta 50-2021, correspondiente a la sesión
extraordinaria celebrada por la Junta Monetaria el 26 de noviembre de 2021.
LA JUNTA MONETARIA
POR TANTO:
RESUELVE:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos
mínimos que los bancos, las sociedades financieras, las entidades fuera de plaza
o entidades off shore y las empresas especializadas en servicios financieros que
forman parte de un grupo financiero, deberán cumplir para administrar el riesgo
tecnológico.
CAPÍTULO II
c) Ciberseguridad;
Las sesiones y acuerdos del Comité deberán constar en acta suscrita por quienes
intervinieron en la sesión.
CAPÍTULO III
a) De infraestructura de TI:
i. Tipo;
ii. Nombre;
iii. Función; y,
b) De sistemas de información:
i. Nombre;
ii. Función;
iv. Versión;
2. Documentación técnica; y,
c) De bases de datos:
1. Nombre;
5. Diccionario de datos;
6. Diagramas de relación; y,
b) En lo referente a implementación:
1. Realización de pruebas, y,
Artículo 15. Gestión de servicios de TI. Las instituciones deberán realizar una
adecuada gestión de los servicios de TI de acuerdo con las prioridades del
negocio estableciendo, como mínimo, los aspectos siguientes:
CAPÍTULO IV
CAPÍTULO V
CIBERSEGURIDAD
a) Identificación;
b) Protección;
c) Detección;
d) Respuesta; y,
e) Recuperación.
Artículo 23. Identificación. Las instituciones deberán tomar en cuenta su
contexto tecnológico, los activos en el ciberespacio que soportan los servicios
críticos de sus operaciones y el riesgo tecnológico asociado, de conformidad con
su Manual de Administración de Riesgo Tecnológico, considerando como mínimo
lo siguiente:
Las instituciones deberán llevar un registro, de al menos los últimos doce meses,
de las vulnerabilidades cibernéticas, ciberamenazas, ciberataques e incidentes
cibernéticos detectados en ese periodo de tiempo.
CAPÍTULO VI
El plan de recuperación ante desastres deberá incluir, como mínimo, los aspectos
siguientes:
c) Identificación de los procesos que son necesarios para soportar los procesos
identificados en el inciso b) anterior;
Artículo 34. Centro de cómputo alterno. Las instituciones deberán contar con un
centro de cómputo alterno con las características físicas y lógicas necesarias para
dar continuidad a las operaciones y los procesos críticos de negocios, cumpliendo
con los requisitos establecidos en este reglamento referentes a seguridad de
tecnología de la información, ciberseguridad, infraestructura de TI, sistemas de
información y bases de datos.
El centro de cómputo alterno deberá estar en una ubicación geográfica distinta del
centro de cómputo principal, de tal forma que no se vean expuestos a un mismo
nivel de riesgo ante la ocurrencia de un mismo evento, de acuerdo con los
manuales de administración de riesgo de la institución. Se entenderá por evento
toda situación que interrumpa las operaciones normales de un negocio.
En caso el centro de cómputo alterno esté ubicado fuera del territorio nacional, las
instituciones deberán permitir a la Superintendencia de Bancos el libre acceso a
su infraestructura de TI, sistemas de información y bases de datos, y proporcionar
a esta la información que les requiera.
CAPÍTULO VII
Las instituciones, en caso de contratar con terceros servicios que procesen y/o
almacenen información, deberán establecer e implementar políticas y
procedimientos para la administración de los riesgos asociados, de conformidad a
lo indicado en el artículo 3 del presente reglamento, debiendo contar con, al
menos, las políticas siguientes:
d) Cifrado de la información.
Artículo 36. Obligaciones de la institución al procesar y/o almacenar su
información fuera del territorio nacional. Las instituciones, en caso de procesar
y/o almacenar información fuera del territorio nacional, deberán cumplir, como
mínimo, lo siguiente:
Artículo 39. Autorización para procesar y/o almacenar información fuera del
territorio nacional. En caso de servicios tecnológicos que procesen y/o
almacenen información, en infraestructura propia ubicada fuera del territorio
nacional, la institución, adicional al cumplimiento de lo establecido en los artículos
35 y 36 de este reglamento, deberá solicitar autorización previa a la
Superintendencia de Bancos, remitiendo para el efecto la información siguiente:
a) Autorización expresa, del Consejo de Administración o quien haga sus
veces, para procesar y/o almacenar su información fuera del territorio
nacional;
l) La obligación del vendedor y/o proveedor del servicio que procesa y/o
almacena información de comunicar a la institución sobre cualquier evento o
situación que pudiera afectar la prestación del servicio y la afectación a los
servicios prestados por la institución, así como la corrección oportuna y
eficaz de las vulnerabilidades de seguridad de la información detectadas;
CAPÍTULO VIII