TEXTO PAGINA: 11
11 NORMAS LEGALES Lunes 24 de mayo de 2021 El Peruano / ORGANISMOS AUTONOMOS SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES Modifican el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad RESOLUCIÓN SBS N° 01515-2021 Lima, 21 de mayo de 2021LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOSDE PENSIONES CONSIDERANDO:Que, mediante Resolución SBS N° 504-2021 se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad; y se modi fi có el Reglamento de Auditoría Interna, aprobado por la Resolución SBS N° 11699-2008, el Reglamento de Auditoría Externa, aprobado por Resolución SBS N° 17026-2010, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por Resolución SBS N° 272-2017, el Reglamento de Riesgo Operacional, aprobado por Resolución SBS Nº 2116-2009, el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS N° 6523-2013, y el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS N° 6283-2013; Que, las modi fi caciones introducidas por la mencionada resolución poseen como objetivo establecer un marco de referencia para el sistema de gestión de seguridad de la información y para el fortalecimiento de las capacidades de ciberseguridad y de los procesos de autenticación de las empresas, tomando en cuenta para ello, los estándares y buenas prácticas internacionales; Que, se ha considerado conveniente incorporar a las empresas emisoras de dinero electrónico dentro del grupo de empresas que pueden solicitar autorización para la aplicación del Régimen Simpli fi cado del Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C), para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, así como establecer requisitos proporcionales para los almacenes generales de depósito; y modi fi car los aspectos referidos a la contratación de un servicio signi fi cativo de procesamiento de datos, a fi n de precisar la estrategia de salida de los servicios a cargo del proveedor y modi fi car el plazo de entrega de información a la Superintendencia del servicio signi fi cativo de procesamiento de datos contratado; Que, por lo mencionado anteriormente, es necesario, modi fi car el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad; Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Micro fi nanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos y de Asesoría Jurídica; En uso de las atribuciones conferidas en los numerales 7 y 9 del artículo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley N° 26702 y sus normas modi fi catorias y en uso de la excepción establecida en el numeral 3.2 del artículo 14 del Reglamento aprobado por Decreto Supremo N° 001-2009-JUS;RESUELVE: Artículo Primero.- Modi fi car los párrafos 4.3 y 4.6 del artículo 4 de la Resolución SBS N° 504-2021, conforme se indica a continuación: “Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) 4.3 Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simpli fi cado): a) Banco de Inversión; b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4; c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME; d) Empresa de Transferencia de Fondos; e) Derrama y Caja de Bene fi cios bajo control de la Superintendencia; f) La Corporación Financiera de Desarrollo –COFIDE; g) El Fondo MIVIVIENDA S.A.; h) Empresas a fi anzadoras y de garantías; y i) El Banco Agropecuario. 4.6. En caso las empresas del Sistema Financiero y las empresas emisoras de dinero electrónico listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simpli fi cado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles.” Artículo Segundo.- Modi fi car los párrafos 24.2 y 24.3 del artículo 24 de la Resolución SBS N° 504-2021, conforme se indica a continuación: “Artículo 24. Servicios signi fi cativos de procesamiento de datos 24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio signi fi cativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda: (…) c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor. (…) 24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) del párrafo anterior; como máximo treinta (30) días calendario después de iniciar la provisión del procesamiento de datos.” Artículo Tercero.- La presente Resolución entra en vigencia a partir del día siguiente de su publicación en el Diario O fi cial El Peruano. Regístrese, comuníquese y publíquese.MARIA DEL SOCORRO HEYSEN ZEGARRA Superintendenta de Banca, Seguros y AFP 1955432-1