BCU emite Comunicación N° 2021/105 de eventos vinculados a Tecnología, Sistemas y Seguridad de la Información

17/6/2021

El Banco Central del Uruguay (BCU) publicó el 7 de Junio de 2021 la Comunicación No 2021/105: INSTITUCIONES DE INTERMEDIACIÓN FINANCIERA Y EMPRESAS ADMINISTRADORAS DE CRÉDITOS DE MAYORES ACTIVOS – Comunicación de eventos vinculados a Tecnología, Sistemas y Seguridad de la Información.

 

El presente comunicado introdujo una serie de nuevas obligaciones a tener en cuenta a la hora de presentar información respecto a eventos que puedan ocurrir en instalaciones propias o de proveedores tercerizados, que consigan afectar en cierta medida servicios y/o clientes, así como el impacto que estos tengan sobre la reputación de las Instituciones y/o del sistema financiero de forma global.  

¿Qué tipo eventos las Instituciones están obligadas a reportar?

  • Caídas de sistemas principales de gestión financiero-contable o sistemas sensibles, que puedan afectar la operativa de la institución y/o interrumpir la prestación de servicios financieros a los clientes;
  • Afectación de los canales de atención al cliente, independientemente de su causa (sea por problemas derivados del propio canal o de un sistema que lo atienda).
  • Dificultades para cumplir con las obligaciones inherentes al giro autorizado.
  • Cualquier vulneración de los sistemas que derive en la exposición de información sensible al negocio financiero y/o datos personales de los clientes u otras partes interesadas (a vía de ejemplo: ataques de “Phishing” exitoso, robos de identidad, vulneración de redes sociales institucionales, etc.).

 

Deberán reportarse aquellos eventos que como mínimo cumplan con alguna de las siguientes especificaciones:

  1. Ameriten comunicar tanto a los clientes, como a la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC), como a cualquier otra entidad o autoridad nacional. 
  2. Impliquen una aplicación total o parcial del Plan de Continuidad del Negocio (BCP) y/o Plan de Recuperación de Desastres (DRP).
  3. Supongan la interrupción o afectación del funcionamiento de alguno de los canales de atención al cliente por un lapso igual o superior a 30 minutos.
  4. Afecten el funcionamiento de los servicios a partir de un 10% de los clientes.
  5. Impliquen la exposición tanto de información sensible, como de datos personales de un 5% o más de los clientes.

 

Tanto el plazo, modalidad, contenido y vigencia del reporte se encuentran detallados en la comunicación, a la cual puedes acceder haciendo click aquí.

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

   

Miembro de