TEXTO PAGINA: 57
57 NORMAS LEGALES Viernes 29 de marzo de 2019 El Peruano / La Entidad deberá realizar una evaluación de todos los riesgos que se encuentren asociados a los cambios signi fi cativos, tomando mínimamente como referencia los tipos de riesgo indicados en el Reglamento de Gestión Integral de Riesgos. De forma previa a la toma de decisiones sobre los cambios signi fi cativos, se deberá remitir un informe que contenga los resultados de dicha evaluación al Directorio, Comité de Riesgos u órgano especializado. El informe deberá contener como mínimo la información del cambio (descripción, objetivos, procesos asociados, etc.), los riesgos identi fi cados (diferenciados por tipos de riesgo), así como las medidas de tratamiento implementadas o a implementar, debiendo estar este a disposición de la Superintendencia. Artículo 4°.- Modi fi car los artículos 17 y 18 del título v otras disposiciones del Reglamento de Gestión del Riesgo Operacional, aprobado mediante Resolución SMV N° 027-2016-SMV/01, de acuerdo con el siguiente texto: “Artículo 17.- SUBCONTRATACIÓN Las entidades asumen plena responsabilidad de todos los servicios y actividades subcontratadas, así como de las decisiones de gestión que se deriven de ellas, pudiendo ser sancionadas por el incumplimiento de sus obligaciones en materia de regulación. Por ello, las entidades deberán: 1. Establecer políticas y procedimientos formales para determinar el nivel de riesgo que represente cada subcontratación. 2. Sobre la base de los resultados obtenidos en el punto 1, se deberán implementar mecanismos de control que deberían aplicarse desde el comienzo hasta la fi nalización de una subcontratación (selección del proveedor, diseño del contrato, monitoreo del servicio, planes de continuidad y estrategias de salida). 3. Mantener un registro actualizado de información sobre todas las subcontrataciones, considerando como mínimo lo siguiente: Nombre del proveedor, descripción del servicio(s), tipo de subcontratación (signi fi cativa y no signi fi cativa), fecha de inicio, fecha de término, descripción de las modi fi caciones realizadas al contrato. Las presentes disposiciones son aplicables también para las subcontrataciones intragrupo, es decir, la prestación de servicios por una entidad jurídica separada perteneciente al propio grupo económico. Asimismo, toda subcontratación signi fi cativa deberá ser tratada como un cambio signi fi cativo. Para el caso de subcontratación signi fi cativa en la nube, de forma adicional a las consideraciones mencionadas en los párrafos precedentes, y de forma previa a la toma de decisiones sobre la externalización, se deberá realizar una diligencia reforzada del proveedor y del servicio, al menos considerando los siguientes aspectos: 1. Derechos de acceso y auditoría. Las entidades que subcontratan deberán tener en cuenta los limitantes del ejercicio efectivo de los derechos de acceso y de auditoría. Sin embargo, la entidad podrá valerse de certi fi caciones externas e informes de auditoría internos o externos facilitados por el proveedor de servicios en la nube, siempre y cuando: a. La entidad que externaliza se asegure de que el alcance de la certi fi cación o del informe de auditoría incluye los sistemas (es decir, los procesos, aplicaciones, infraestructuras, centros de datos, etc.) y los controles que ella considera clave asociados al servicio brindado. b. La entidad que externaliza evalúe en profundidad el contenido de las certi fi caciones o de los informes de auditoría de forma continua y, en particular, se asegure de que los controles clave sigan estando incluidos en versiones futuras de un informe de auditoría y veri fi que que la certi fi cación o el informe de auditoría no estén obsoletos. c. Las certi fi caciones se emitan y las auditorías se lleven a cabo de acuerdo con los estándares generalmente aceptados e incluyan una prueba de la e fi cacia operativa de los controles clave establecidos. 2. Seguridad de los datos y sistemas. Las entidades deberán tener en cuenta los aspectos relacionados con la seguridad de datos y sistemas, llevando a cabo como mínimo las siguientes acciones: a. Identi fi car y clasi fi car las actividades, procesos y datos y sistemas relacionados en función de su sensibilidad y de las medidas de protección requeridas. b. Realizar una selección, en función del riesgo, de las actividades, procesos y datos y sistemas relacionados que se esté considerando externalizar a un proveedor de soluciones de computación en nube. c. De fi nir y decidir el nivel apropiado de protección de la con fi dencialidad de la información, la continuidad de las actividades externalizadas, así como la integridad y trazabilidad de los datos y sistemas en el contexto de la externalización de servicios en la nube prevista (pública, privada, híbrida o comunitaria). d. Considerar la adopción de medidas especí fi cas cuando sean necesarias para proteger los datos en tránsito, los datos en memoria y los datos en reposo, como el uso de tecnologías de cifrado combinadas con una arquitectura de gestión de claves adecuada. 3. Localización de los datos y del procesamiento de datos. En el caso de procesamiento de datos en el exterior, deberán actuar con especial prudencia, dado los posibles riesgos relativos a la protección de datos, considerando lo siguiente: a. La entidad que decide externalizar evaluará la localización de los datos y del procesamiento de datos con un enfoque basado en el riesgo. - Dentro de dicha evaluación puede tomar en cuenta el impacto potencial de los riesgos, incluidos los riesgos legales y de cumplimiento, y las limitaciones a la vigilancia relacionados con los países en los que se van a llevar a cabo, o es probable que se lleven a cabo, los servicios subcontratados y en los que se van a almacenar, o es probable que se almacenen, los datos. Asimismo, podrá tomar en consideración la estabilidad política y la seguridad de las jurisdicciones en cuestión, la legislación vigente en dichas jurisdicciones (incluidas las leyes de protección de datos), y los mecanismos para asegurar el cumplimiento de las leyes en dichas jurisdicciones, incluidas las disposiciones de la legislación de insolvencia que serían aplicables en caso de quiebra del proveedor de servicios. b. La entidad que subcontrata debe velar por que los riesgos identi fi cados permanezcan dentro de unos límites aceptables y proporcionales a la importancia de la actividad externalizada. 4. Subcontratación en cadena. La entidad deberá tener en cuenta los riesgos asociados a la subcontratación “en cadena” cuando el proveedor del servicio subcontratado subcontrate partes del servicio a otros proveedores. La entidad aceptará la subcontratación en cadena solamente si el subcontratista cumple también plenamente con las obligaciones existentes entre la entidad (que subcontrata) y el proveedor del servicio (subcontratado). 5. Planes de continuidad y estrategias de salida claramente de fi nidas. La entidad planteará e implantará medidas para mantener la continuidad de su negocio en caso de que la prestación de servicios por parte del proveedor falle o se deteriore hasta un grado inaceptable. Asimismo, se asegurará de poder salir de los acuerdos de subcontratación de servicios en la nube, en caso necesario, sin que ello genere alteraciones excesivas en los servicios prestados, ni afecte negativamente su cumplimiento con el régimen regulatorio, ni comprometa la continuidad y la calidad de los servicios prestados a sus clientes. Artículo 18.- REPORTES DE INDICADORES CLAVE DE RIESGO OPERACIONAL Las Entidades deberán remitir reportes periódicos a la SMV sobre la gestión de Riesgo Operacional, Seguridad de la Información y Continuidad del Negocio, con el