TEXTO PAGINA: 38
38 NORMAS LEGALES Martes 23 de febrero de 2021 / El Peruano General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas, al igual que las referidas en los párrafos 1.2 y 1.3. 1.2. También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Bene fi cios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas especí fi cas que regulen el accionar de dichas instituciones. 1.3. Es de aplicación a las empresas corredoras de seguros de acuerdo con lo dispuesto en la Cuarta Disposición Complementaria Final del presente Reglamento. Artículo 2. De fi niciones Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes de fi niciones: a) Activo de información: Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa y tiene un ciclo de vida. b) Amenaza: Evento que puede afectar adversamente la operación de las empresas y sus activos de información, mediante el aprovechamiento de una vulnerabilidad. c) Autenticación: Para fi nes de esta norma, es el proceso que permite veri fi car que una entidad es quien dice ser, para lo cual hace uso de las credenciales que se le asignan. La autenticación puede usar uno, dos o más factores de autenticación independientes, de modo que el uso sin autorización de uno de ellos no compromete la fi abilidad o el acceso a los otros factores. d) Canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits. e) Ciberseguridad: Protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, con fi dencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos. f) Credencial: Conjunto de datos que es generado y asignado a una entidad o un usuario para fi nes de autenticación. g) Directorio: Directorio u órgano equivalente. h) Entidad: Usuario, dispositivo o sistema informático que tiene una identidad en un sistema, lo cual la hace separada y distinta de cualquier otra en dicho sistema. i) Evento: Un suceso o serie de sucesos que puede ser interno o externo a la empresa, originado por la misma causa, que ocurre durante el mismo periodo de tiempo, según lo de fi nido en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos. j) Factores de autenticación de usuario: Aquellos factores empleados para veri fi car la identidad de un usuario, que pueden corresponder a las siguientes categorías: - Algo que solo el usuario conoce. - Algo que solo el usuario posee.- Algo que el usuario es, que incluye las características biométricas. k) Identidad: Una colección de atributos que de fi nen de forma exclusiva a una entidad. l) Incidente: Evento que se ha determinado que tiene un impacto adverso sobre la organización y que requiere de acciones de respuesta y recuperación. m) Información: Datos que pueden ser procesados, distribuidos, almacenados y representados en cualquier medio electrónico, digital, óptico, magnético, impreso u otros, que son el elemento fundamental de los activos de información. n) Interfaz de programación de aplicaciones: Colección de métodos de invocación y parámetros asociados que puede utilizar un software para solicitar acciones de otro software, lo que de fi ne los términos en que estos intercambian datos. También conocido como API, por sus siglas en inglés. o) Servicios en nube: Servicio de procesamiento de datos provisto mediante una infraestructura tecnológica que permite el acceso de red a conveniencia y bajo demanda, a un conjunto compartido de recursos informáticos con fi gurables que se pueden habilitar y suministrar rápidamente, con mínimo esfuerzo de gestión o interacción con los proveedores de servicios. p) Reglamento: Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad. q) Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos: Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por la Resolución SBS Nº 272-2017 y sus normas modi fi catorias. r) Reglamento para la Gestión de Riesgo Operacional: Reglamento para la Gestión de Riesgo Operacional, aprobado por la Resolución SBS Nº 2116-2009 y sus normas modi fi catorias. s) Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones. t) Procesamiento de datos: El conjunto de procesos que consiste en la recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, transferencia, difusión, borrado o destrucción de datos. u) Usuario: persona natural o jurídica que utiliza o puede utilizar los productos ofrecidos por las empresas. v) Vulnerabilidad: Debilidad que expone a los activos de información ante amenazas que pueden originar incidentes con afectación a los mismos activos de información, y a otros de los que forma parte o con los que interactúa. Artículo 3. Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C) 3.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identi fi car y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad. 3.2. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) implica, cuando menos, los siguientes objetivos: a) Con fi dencialidad: La información sólo es disponible para entidades o procesos autorizados, incluyendo las medidas para proteger la información personal y la información propietaria; b) Disponibilidad: Asegurar acceso y uso oportuno a la información; e, c) Integridad: Asegurar el no repudio de la información y su autenticidad, y evitar su modi fi cación o destrucción indebida. Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) 4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones. 4.2. Las disposiciones descritas en el Capítulo II, Subcapítulos I, II, III y IV del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen General): a) Empresa Bancaria; b) Empresa Financiera;c) Caja Municipal de Ahorro y Crédito - CMAC;d) Caja Municipal de Crédito Popular - CMCP;e) Caja Rural de Ahorro y Crédito - CRAC;f) Empresa de Seguros y/o Reaseguros, conforme a lo dispuesto en el párrafo 4.4;