TEXTO PAGINA: 46
46 NORMAS LEGALES Martes 23 de febrero de 2021 / El Peruano servicios provistos por terceros, y contar con un registro de estos. La empresa debe implementar un procedimiento para la identi fi cación de aquellos proveedores signi fi cativos precisando los casos en los que se encuentren bajo la modalidad de subcontratación. En los casos de servicios signi fi cativos, se encuentren o no bajo la modalidad de subcontratación, y de servicios subcontratados la empresa debe considerar los siguientes aspectos: a) Implementar un proceso de selección del proveedor del servicio. b) Contar con un contrato, el cual debe incluir acuerdos de niveles de servicio; establecer claramente las responsabilidades del proveedor y de la empresa; establecer la jurisdicción que prevalecerá en caso de confl icto entre las partes; e incorporar los niveles de seguridad de información requeridos. c) Gestionar y monitorear los riesgos asociados a estos servicios. d) Mantener un registro que debe contener como mínimo: i) Nombre del proveedor ii) Giro o actividad principal de negocio del proveedoriii) Descripción o listado de los servicios provistosiv) Países, regiones y/o zonas geográ fi cas desde donde se provee el servicio a contratar v) Niveles de servicio acordados para su provisión vi) Si la subcontratación es o no considerada signi fi cativa por la empresa vii) Fecha de inicio del servicioviii) Fecha de última renovación, si correspondeix) Fecha de vencimiento del servicio o la próxima fecha de renovación del contrato, según corresponda” Artículo Séptimo.- Modi fi car el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS N° 6523-2013 y sus normas modi fi catorias, según se indica a continuación: 1. Sustituir los artículos 6 y 12, de acuerdo con el siguiente texto: “Artículo 6.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito Las tarjetas de crédito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información: 1. Denominación social de la empresa que emite la tarjeta de crédito. 2. Nombre comercial que la empresa asigne al producto. 3. Identi fi cación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso. En el caso de las tarjetas con soporte físico se debe incluir el nombre del usuario de la tarjeta de crédito; información de la que se puede prescindir siempre que la empresa cumpla con el Subcapítulo III del Capítulo II del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por Resolución SBS N° 504-2021. El plazo de vigencia de las tarjetas de crédito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores. Artículo 12.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito Las tarjetas de débito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información: 1. Denominación social de la empresa que emite la tarjeta de débito. 2. Nombre comercial que la empresa asigne al producto. 3. Identi fi cación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.Para su uso, requieren adicionalmente la presencia de una clave secreta, fi rma, fi rma electrónica u otros mecanismos que permitan identi fi car al usuario, de acuerdo con lo pactado. El plazo de vigencia de las tarjetas de débito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.” Artículo Octavo.- Modi fi car el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS N° 6283-2013 y sus normas modi fi catorias, según se indica a continuación: 1. Sustituir el artículo 4, de acuerdo con el siguiente texto: “Artículo 4.- Soportes para uso de dinero electrónico Los soportes mediante los cuales se puede hacer uso del dinero electrónico pueden ser los siguientes: a) Teléfonos móviles. b) Tarjetas prepago.c) Cualquier otro equipo o dispositivo electrónico, que cumpla los fi nes establecidos en la Ley. Estos dispositivos deben incluir como mínimo la siguiente información: 1. Denominación social de la empresa que emite el soporte mediante el cual se hace uso del dinero electrónico. 2. Nombre comercial que la empresa asigne al producto. 3. Identi fi cación del sistema de tarjeta (marca) al que pertenece, de ser el caso. Dicha información debe ser mostrada en un espacio visible y de fácil acceso para el usuario. Un mismo soporte puede ser utilizado y/o asociado para realizar transacciones con más de una cuenta de dinero electrónico.” Artículo Noveno.- Plazos y Plan de adecuación1. En un plazo que no debe exceder de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas deben presentar a la Superintendencia, un plan de adecuación al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución, previamente aprobado por el directorio, en el cual incluya: a) un diagnóstico preliminar de la situación existente en la empresa; b) las acciones previstas para la total adecuación al Reglamento; c) los funcionarios responsables del cumplimiento de dicho plan; y, d) un cronograma de adecuación. 2. Las disposiciones señaladas en el Subcapítulo III del Capítulo II y la Tercera Disposición Complementaria Final del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución tienen un plazo de adecuación hasta el 1 de julio de 2022. 3. En un plazo no mayor a treinta (30) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas que cuenten con un servicio signi fi cativo de procesamiento de datos provisto por terceros desde el exterior, cuyo marco legal aplicable impida o limite el cumplimiento de las medidas defi nidas en el párrafo 24.2 del artículo 24 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado en el Artículo Primero de la presente Resolución, deben remitir un informe que contenga: i) las limitaciones presentadas, dicho informe debe contar con el sustento legal del impedimento de su aplicación y ii) las medidas compensatorias. Artículo Décimo.- Vigencia La presente Resolución entra en vigencia el 1 de julio de 2021, fecha en la que se deroga la Circular G 140-2009, con excepción de lo siguiente: