De acuerdo con el Texto Ordenado (TO) “Principios para las Infraestructuras del Mercado Financiero”, se define el alcance para Cámara de Alto Valor, Cámara de Bajo Valor, Redes de Cajeros Automáticos y toda otra Infraestructura de índole similar, agregada, modificada y/o complementaria.
Los procedimientos de supervisión estarán destinados a determinar la implementación de los controles requeridos por el marco normativo vigente sobre el gobierno de la Tecnología Informática y los Sistemas de Información de las Infraestructuras del Mercado Financiero argentino.
Son complementarios a aquellos procedimientos que pudieran aplicarse a las infraestructuras alcanzadas, la provisión de servicios de tecnología informática tercerizados de las entidades financieras.
Asimismo, son complementarios a las obligaciones establecidas para las cámaras electrónicas de compensación según el marco normativo aplicable.
Entre otros aspectos, se evaluarán:
• La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnología y los sistemas de información.
• La definición de mecanismos de gobierno formalizados, claros y transparentes, que incluyan:
- La definición de objetivos vinculados con la seguridad de sus operaciones.
- La asignación clara de responsabilidades y obligaciones de rendición de cuentas.
- La definición formal de las funciones y responsabilidades del órgano máximo de administración (Directorio o autoridad equivalente), de la alta gerencia y de las Gerencias de línea, respecto del gobierno y la gestión de tecnología y sistemas de información.
• La revisión periódica de los procedimientos y el marco normativo.
• La ejecución de un proceso establecido y formalizado de gestión de riesgos, que incluya una política de tolerancia al riesgo claramente definida y aprobada, y contemple los riesgos operacionales vinculados con la gestión de tecnología y sistemas de información.
• La existencia de un Comité de Tecnología informática que cumpla con las siguientes condiciones:
- Formalización mediante un reglamento que describa sus responsabilidades, las cuales deberán encontrarse en consonancia con el TO vigente (“Principios para las Infraestructuras del Mercado Financiero”).
- Frecuencia de reunión mínima trimestral, formalizada mediante actas puestas en conocimiento del órgano de administración.
• La existencia de un marco para la gestión integral que incluya a los riesgos operativos vinculados con la tecnología informática y los sistemas de información.
• La definición de políticas, procedimientos y sistemas de gestión de riesgos que le permitan identificar, medir, monitorear y gestionar la gama de riesgos que pudieran surgir en cada IMF o que sean asumidos por ella.
• La ejecución de una revisión periódica, al menos anual, de los marcos de gestión de riesgos establecidos, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de la misma.
• La realización de revisiones periódicas de los riesgos importantes vinculados con la tecnología y los sistemas de información a los que esté expuesta por su relación con terceros, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de las mismas.
• La implementación de un marco de control del grado de exposición a potenciales riesgos vinculados con los sistemas de información, la tecnología informática y sus recursos asociados, considerando también aspectos relacionados con ciberataques y ciberresiliencia, que incluyan:
- La existencia de documentación que constate los análisis de riesgos formalmente realizados.
- La gestión de la corrección de las debilidades que expongan a la entidad a niveles de riesgo alto o inaceptable.
- La identificación, vigilancia y gestión de los riesgos que los principales participantes, otras IMF y quienes provean servicios puedan representar para sus actividades.
- La identificación, control y gestión de los riesgos que sus actividades puedan representar para otras IMF.
- La definición clara de las responsabilidades vinculadas con el riesgo operacional relacionado con la tecnología informática, los sistemas de información y sus recursos asociados, y una efectiva comunicación de los resultados, de todos los aspectos previamente mencionados, a la superioridad.
• La realización de análisis de la capacidad, que permita adecuarse a gestionar un aumento de los volúmenes de tensión cumpliendo con sus objetivos de nivel de servicio.
• La existencia de políticas integrales de seguridad física y de la información, revisadas, como mínimo, anualmente.
• La existencia de procesos establecidos para el planeamiento, la implementación y el mejoramiento continuo de los procesos de administración y control de seguridad sobre la protección de los activos de información.
• La elaboración de planes operativos que contemplen los factores críticos para un efectivo control de las aplicaciones, que deberán ser regularmente monitoreados, con el fin de verificar la existencia de posibles cambios que pudiesen afectarlos.
• La inclusión, en las etapas iniciales de los nuevos proyectos informáticos, de requerimientos a distintas áreas de la organización (Auditoría Interna, Protección al Usuario de Servicios Financieros, etc.), que aseguren el diseño y la implementación de apropiados controles y registros de seguridad una vez implementados.
• El establecimiento de un plan de continuidad del servicio, que cumpla las siguientes condiciones:
- Se base en los resultados de una evaluación de riesgos para determinar el impacto de distintos eventos, tanto en términos de magnitud de daño como del período de recuperación y la vuelta a la normalidad.
- Se establezca un sitio secundario para la provisión de los servicios críticos.
- Se recuperen los servicios críticos en un plazo de dos horas a partir del incidente.
- Se complete la liquidación transaccional antes de finalizar la jornada, incluso ante circunstancias extremas.
- Se pruebe la solución adoptada, como mínimo, anualmente.
- Se incluya un plan de contingencia tecnológica.
Los procedimientos de supervisión estarán destinados a determinar la implementación de los controles requeridos por el marco normativo vigente para las cámaras de compensación:
• La implementación de medidas que aseguren la alta disponibilidad y la resiliencia del servicio:
o el cumplimiento diario de los horarios de corte de procesos definidos en los documentos de Modelo y Diseño Conceptual de cada producto.
- La disponibilidad de los sistemas para que las entidades adheridas puedan intercambiar la totalidad de sus transacciones dentro de las ventanas de operación definidas.
- El procesamiento de todas las transacciones dentro de la ventana de operación diaria en un 99% de los días del año, y una demora no mayor a 2 (dos) horas ante fallas.
- La incorporación de medidas suficientes de redundancia en el diseño de cada estrato de su arquitectura.
- La medición, planeamiento y actualización de la capacidad de procesamiento, memoria y almacenamiento en función de las necesidades del mercado.
• La aplicación de medidas de continuidad para el funcionamiento de las instalaciones y la infraestructura, que alcancen:
- La continuidad del servicio eléctrico y la existencia de sistemas para el monitoreo de equipos y de la provisión de electricidad.
- El diseño de las redes de manera tal que permita la continuidad de las comunicaciones con el centro de procesamiento alternativo y quienes integran el sistema.
• El establecimiento de servicios de mantenimiento de equipos y sistemas.
• La existencia de procedimientos alternativos de comunicaciones para el caso de fallas en el medio de acceso principal.
• La definición de adecuadas medidas de seguridad lógica de las cámaras electrónicas que incluyan:
- La encripción de la información transmitida a través de los enlaces que interconectan a las Cámaras Electrónicas entre sí y con las entidades financieras, el uso de algoritmos adecuados y la definición de procesos específicos para el intercambio de claves y la autenticación de la información.
- La implementación de directivas de seguridad y mecanismos de control de acceso en los sistemas operativos, las bases de datos y las aplicaciones de las cámaras.
- Registros de auditoría del uso de aplicaciones y/o utilitarios del sistema.
- La implementación de una separación de ambientes entre producción y los ambientes de desarrollo, pruebas u otros.
• La definición de adecuadas medidas de seguridad física en los centros de procesamiento (principal y alternativo), que incluya, como mínimo:
- Seguridad en general del edificio
- Control de acceso al ámbito de sistemas
- Sistema de detección, aviso y extinción de fuego
- Sistemas de refrigeración
• La existencia, aprobación formal y actualización periódica de un plan de contingencias que permita restablecer el servicio desde su lugar habitual, o su sitio de operación alternativo, con una demora máxima de 2 (dos) horas respecto a la ventana de operación diaria.
• La realización de pruebas completas a la contingencia, por lo menos, dos veces por año.
• La formalización de las relaciones contractuales con terceras partes que brinden servicios a la cámara, que incluya cláusulas de rescisión y mecanismos para la continuidad del servicio.
• La implementación de un esquema de resguardo de datos que garantice como mínimo:
- Obtención de versiones respaldatorias de la información procesada.
- Almacenamiento crítico adecuado.
- Testeos y recuperos periódicos en forma aleatoria para asegurar la calidad del contenido de los resguardos.
- La definición de 2 (dos) Comités de Crisis que tendrán a su cargo el manejo de la situación de crítica vinculada con dificultades de los miembros para liquidar sus saldos.
Adicionalmente, entre otros aspectos, se deberán considerar:
• La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnología y los sistemas de información.
• La generación de mecanismos de gobierno formalizados, claros y transparentes, que incluyan la definición formal de las funciones y responsabilidades del órgano máximo de administración (Directorio o autoridad equivalente), de la Alta gerencia y de las Gerencias de línea, la definición de objetivos vinculados con la seguridad de sus operaciones, y la asignación clara de responsabilidades y obligaciones de rendición de cuentas.
Junio, 2020. Versión inicial