TEXTO PAGINA: 23
23 NORMAS LEGALES Lunes 10 de marzo de 2025 El Peruano / b) Gestionar de forma especí fi ca y detallada los riesgos que puedan interrumpir las operaciones en sus canales digitales. Esta evaluación debe incluir la identi fi cación de los componentes tecnológicos cuyo fallo pueden afectar signi fi cativamente la continuidad de los productos y servicios priorizados ofrecidos a través de dichos canales. c) Establecer expresamente las características y condiciones normales bajo las cuales se ofrecen los productos y servicios priorizados en cada canal digital, las cuales deben ser aprobadas por el Directorio o Comité de Riesgos. Estas características deben ser de fi nidas y monitoreadas por cada producto y servicio priorizado ofrecido a través de canales digitales. 18.2. La empresa debe implementar estrategias y planes para prevenir, mitigar el impacto y contener eventos que interrumpan prestación de productos y servicios priorizados a través de canales digitales, así como para restablecer dichos servicios dentro de los plazos y condiciones establecidos. Estas estrategias deben contemplar: a) Implementar un sistema de monitoreo para supervisar el funcionamiento de los canales digitales que ofrecen productos y servicios priorizados, de modo que permita identi fi car cualquier desviación respecto a los niveles normales establecidos para cada producto o servicio. b) Implementar canales o esquemas de atención alternativos en caso de interrupción de los canales digitales a través de los que se ofrecen productos y/o servicios priorizados. c) Como parte del plan de recuperación de los servicios de tecnología de información (TI) mencionado en el párrafo 9.4, la empresa debe desarrollar protocolos para atender fallas tecnológicas y las interrupciones resultantes en la provisión de productos y servicios priorizados en canales digitales, de modo que aseguren su restablecimiento a niveles normales en los TOR establecidos. d) Como parte de los lineamientos de comunicación a los que se hace referencia en el literal f) del párrafo 9.2, la empresa debe desarrollar disposiciones que garanticen la comunicación oportuna de: i) incidentes o fallas signi fi cativas a los grupos de interés, incluidos los usuarios; y ii) los canales alternativos disponibles para continuar realizando operaciones. 18.3. Como parte del plan de pruebas mencionado en el artículo 10, la empresa debe realizar anualmente pruebas para veri fi car la efectividad de las estrategias establecidas para garantizar la continuidad de los productos y servicios priorizados a través de canales digitales. 18.4. La empresa debe mantener un registro centralizado de todos los eventos que hayan ocasionado la interrupción de la provisión de productos y servicios priorizados a través de canales digitales por un plazo mayor a 30 minutos, continuos o intermitentes. Este registro debe contener, como mínimo, los siguientes campos: a) Fecha y hora de inicio del evento y del restablecimiento a operaciones normales. b) Descripción del evento, la falla y sus causas. c) Productos y servicios afectados. d) Canales afectados. e) Proveedores involucrados, de ser el caso. f) Responsable de la gestión del incidente. Artículo 19. Precisiones para asegurar la resiliencia operacional de principales canales digitales 19.1. Las disposiciones de este artículo son aplicables a las empresas que cuenten con los siguientes canales digitales: banca por internet, aplicativo móvil o billeteras digitales; a través de los cuales ofrezcan servicios de transferencias intrabancarias, interbancarias, pagos interoperables, pago de planillas empresariales o a proveedores. 19.2 La empresa debe de fi nir las características y condiciones bajo las cuales se ofrecen los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores a través de los canales digitales indicados en el párrafo anterior a personas naturales y empresas, de acuerdo con la estructura de los Reportes CD-A y CD-B del Anexo 2, respectivamente. Los reportes contienen los nombres de los canales digitales, información general sobre las condiciones normales bajo las cuales operan (horario de disponibilidad, disponibilidad diaria mínima, tiempo de latencia de ingreso e interrupciones programadas) y bajo las cuales se ofrecen productos y/o servicios a través de estos (TOR, horario de servicio, disponibilidad diaria mínima, tiempo de latencia de operaciones, interrupciones programadas), y los canales alternativos en caso de contingencia. Los formatos de los reportes indicados en el presente párrafo se adjuntan a la presente norma y se publican en el portal institucional (www.sbs.gob.pe), conforme a lo dispuesto en el Decreto Supremo N° 009-2024-JUS y sus normas modi fi catorias. 19.3 Los Reportes CD-A y CD-B deben ser aprobados y gestionados conforme a lo dispuesto en el inciso c) del párrafo 18.1. Los reportes, junto con la constancia de su aprobación o rati fi cación anual, deben enviarse a la Superintendencia a través del aplicativo Mesa de Partes Virtual ubicado en el Portal del Supervisado, a más tardar el 31 de marzo de cada año. En caso de modi fi caciones, los reportes deben enviarse en un plazo máximo de siete (07) días posteriores al cambio realizado. La Superintendencia puede instruir mediante o fi cio múltiple el uso de un mecanismo alternativo al citado anteriormente para la remisión de información a que se refi ere el presente párrafo. 19.4. Los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores otorgados mediante los siguientes canales digitales: banca por internet, aplicativo móvil y billeteras digitales, son servicios que requieren una recuperación prioritaria en caso de interrupción. Por lo tanto, deben considerar un TOR no mayor a tres (03) horas para empresas con concentración de mercado y cinco (05) horas para las demás empresas. 19.5. Las empresas deben ejecutar pruebas anuales para veri fi car el cumplimiento de los TOR de los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores desde banca por internet, aplicativo móvil o billeteras digitales. Los informes de resultados de estas pruebas, que deben incluir las lecciones aprendidas resultantes de su ejecución, deben ser remitidos a la Superintendencia como parte del informe anual de la gestión del riesgo operacional (IG-ROp), mencionado en el artículo 15 del Reglamento para la Gestión del Riesgo Operacional, aprobado mediante Resolución SBS N° 2116-2009 y sus modi fi catorias. 19.6. Los servicios de transferencias intrabancarias, interbancarias, pagos interoperables, pago de planillas empresariales y pago a proveedores ofrecidos a través de los siguientes canales digitales: banca por internet, aplicativo móvil y billeteras digitales, no pueden verse interrumpidos, dentro del horario comprendido entre las 06:00 am y las 10:00 pm por un periodo mayor a tres (03) horas para empresas con concentración de mercado, y cinco (05) horas para las demás empresas. Este tiempo máximo se aplica tanto a interrupciones continuas como acumuladas dentro de ese rango horario en un mismo día. Esta exigencia aplica a interrupciones no programadas o a aquellas derivadas de fallas operativas. 19.7. Las estrategias de continuidad deben contemplar el desarrollo de procedimientos que permitan, en caso de interrupciones, continuar ofreciendo los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores; y/o permitir que los usuarios puedan disponer del dinero de sus depósitos a través de otros esquemas o canales.” 7. Sustituir la segunda disposición fi nal y complementaria por el siguiente texto: “DISPOSICIONES FINALES Y COMPLEMENTARIAS(…) Segunda.- En el caso de las empresas señaladas en los literales a, b, c, d, e, j, k y l del Artículo 4.2, el diseño