TEXTO PAGINA: 43
43 NORMAS LEGALES Martes 23 de febrero de 2021 El Peruano / cuando sea factible adoptarlos en el marco de acuerdos gremiales o sectoriales, para la implementación del intercambio y encriptación de datos, así como la autenticación y la autorización de operaciones, sin que ello sea una lista restrictiva. 21.3 Las especi fi caciones técnicas de las API utilizadas deben encontrarse documentadas de forma que facilite su auditoría y la implementación necesaria para su uso. 21.4 Las empresas deben implementar las medidas necesarias para garantizar que el tercero autorizado por el usuario, acceda únicamente a la información indicada por este último. SUBCAPÍTULO IV PROVISIÓN DE SERVICIOS POR TERCEROS Artículo 22. Servicios provistos por terceros En el caso de servicios provistos por terceros en aspectos referidos a gestión de tecnología de la información, a gestión de seguridad de la información o a procesamiento de datos, la empresa, además de cumplir con los requerimientos establecidos en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y el Reglamento para la Gestión de Riesgo Operacional debe: a) Evaluar las amenazas y vulnerabilidades de seguridad de la información en la provisión de bienes y servicios e implementar medidas de tratamiento. b) Asegurar que el arreglo contractual con el proveedor y su implementación le permiten cumplir con las obligaciones establecidas en el presente Reglamento. c) Establecer los roles y responsabilidades que el proveedor asume contractualmente sobre la seguridad de la información y asegurar que la empresa efectúe las implementaciones complementarias correspondientes para la atención de los requerimientos del presente Reglamento. Artículo 23. Uso de servicios en nube Para hacer uso de los servicios en nube, la empresa debe implementar políticas y procedimientos de seguridad de la información que sean de aplicación especí fi ca, que tome en cuenta un marco de buenas prácticas internacionales para el uso de estos servicios, y que además de los requerimientos del artículo 22 del Reglamento, incluya los siguientes aspectos: a) Requerimientos de seguridad de la información que los servicios de nube deben cumplir y procedimientos para asegurar la implementación antes de su uso. b) Lineamientos para segregación de redes que permita el aislamiento de la información de la empresa respecto a la de terceros en el entorno compartido del servicio en nube. c) Evaluación de la disponibilidad de registro de eventos (log) que el proveedor de servicio en nube ofrece y atención de la necesidad de registros adicionales para el monitoreo de seguridad de la información. d) Previsión de plan de capacitación para los niveles gerenciales, administradores de estos servicios, personal a cargo de su implementación y quienes hacen uso de ellos, sobre aquello necesario para el manejo de la seguridad de la información en estos. Artículo 24. Servicios signi fi cativos de procesamiento de datos 24.1 La contratación de un servicio signi fi cativo provisto por terceros para el procesamiento de datos, incluido los servicios en nube, debe ser considerado como un cambio importante en el ambiente informático, siendo aplicable la de fi nición de servicio signi fi cativo establecida en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y la normativa vigente asociada a nuevos productos y cambios importantes. 24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio signi fi cativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda: a) Asegurar el acceso adecuado a la información, en tiempos razonables y a solo requerimiento, por parte de la Superintendencia, Auditoría Interna y la Sociedad de Auditoría Externa, en condiciones normales de operación y en regímenes especiales. b) Gestionar los incidentes de seguridad de la información, conforme al numeral 6 del artículo 12 y de desarrollar las actividades plani fi cadas previstas en el artículo 13 del presente Reglamento, en lo aplicable al servicio signi fi cativo de procesamiento de datos del que se trate. c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor, de acuerdo a los tiempos objetivos de recuperación de fi nidos por la empresa para dichos servicios. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor. d) Mantener un inventario de los servicios que el proveedor, a su vez, contrata con terceros (contratación en cadena) y que se encuentren relacionados a los servicios contratados por la empresa. e) Asegurar que la información de carácter con fi dencial en custodia del proveedor sea eliminada de fi nitivamente ante la resolución del acuerdo contractual. f) Veri fi car anualmente que el proveedor de servicios de procesamiento de datos cuenta con controles de seguridad de la información, conforme a la normativa vigente sobre seguridad de la información, en lo aplicable al servicio provisto. Ello puede ser sustentado mediante informes independientes y reportes de auditoría que incluyen en su alcance la veri fi cación de dichos controles. g) Cuando se trate de servicios en nube, para cumplir con lo requerido en el literal previo, la empresa debe evidenciar anualmente que el proveedor mantiene vigente las certi fi caciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018, y que cuenta con un reporte SOC 2 tipo 2 u otros equivalentes, relevantes al servicio provisto y a la zona o región desde donde se provee el servicio. 24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) o h), del párrafo anterior; por lo menos treinta (30) días calendario antes de iniciar la provisión del procesamiento de datos. Artículo 25. Autorización para la contratación de servicio signi fi cativo de procesamiento de datos provisto por terceros desde el exterior 25.1 La empresa debe solicitar autorización de la Superintendencia, previo a la contratación de un servicio signi fi cativo de procesamiento de datos provisto por terceros desde el exterior, en caso dicho servicio presente limitaciones para cumplir con los requerimientos establecidos en el párrafo 24.2 del artículo 24 del presente Reglamento, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles. Para solicitar dicha autorización las empresas deben presentar junto con su solicitud, un informe con los sustentos legales de las limitaciones identi fi cadas y una propuesta de plan de implementación de las medidas compensatorias. 25.2 La autorización que conceda esta Superintendencia es especí fi ca al proveedor del servicio y, al país y ciudad desde el que se recibe, así como a las condiciones generales que fueron objeto de la autorización, por lo que de existir modi fi caciones en ellas y, de mantenerse la limitación citada en el párrafo previo, se requiere de un nuevo procedimiento de autorización ante la Superintendencia.