Continuidad de negocioSeguridad

Regulaciones y estándares de seguridad de la información y continuidad de negocio en el sector financiero de América Latina

🕑 10 minutos de lectura

Introducción: La Importancia de la Seguridad en el Sector Financiero de LATAM

La seguridad de la información y la continuidad operativa son aspectos cruciales en el entorno empresarial actual, especialmente en el sector financiero, donde la confidencialidad, integridad y disponibilidad de los datos son fundamentales para garantizar la confianza de los clientes y la estabilidad del sistema financiero en su conjunto. En América Latina (LATAM), como en muchas otras regiones del mundo, se han establecido una serie de leyes y normas destinadas a regular y promover la seguridad de la información y la continuidad de negocio en el sector financiero.

Estas regulaciones no solo buscan proteger los activos y datos de las instituciones financieras, sino que también tienen como objetivo prevenir incidentes cibernéticos, fraudes financieros y garantizar que, en caso de desastres naturales u otras contingencias, las entidades financieras puedan mantener sus operaciones de manera ininterrumpida.

En este artículo, exploraremos las principales leyes y normas en vigor en diferentes países de América Latina relacionadas con la seguridad de la información y la continuidad de negocio en el sector financiero. En la mayoría de los casos, se excluirán de este listado las leyes de protección de datos de los diferentes países, ya que actualmente se han abordado las mismas en el presente blog y analizado algunas de ellas, como por ejemplo las siguientes:

Listado de leyes y normas en LATAM sobre seguridad de la información y continuidad de negocio

Regulaciones en Argentina

  • Comunicación “A” 7724: Regulación específica emitida por el Banco Central de la República Argentina (BCRA) sobre ‘Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información’ donde se especifican las pautas de gobierno, organizativas y técnicas a considerar para llevar adelante la gestión y control de la seguridad de la información en las organizaciones.
  • Comunicación “A” 6859: ‘Proveedores de servicios de pago’. Esta normativa busca regular y supervisar a los (Proveedores de Servicios de Pago) PSP para garantizar la seguridad de las transacciones financieras y proteger los intereses de los usuarios.
  • Comunicación “A” 7463: ‘Medidas para mitigar, prevenir y gestionar el fraude en las operaciones de transferencias’. busca reforzar la seguridad y la integridad de las operaciones de transferencias de fondos en Argentina, así como prevenir y gestionar el fraude en este tipo de transacciones. Esta normativa establece requisitos estrictos de identificación, prevención y reporte de incidentes, y promueve la protección del consumidor financiero.
  • Comunicación “A” 7783/2023: Regulación emitida por el Banco Central de la República Argentina (BCRA) el 2 de junio de 2023, publicada en el Boletín Nacional el 3 de agosto de 2023. Esta normativa, titulada «CIRCULAR RUNOR 1-1799: ‘REQUISITOS MINIMOS PARA LA GESTION Y CONTROL DE LOS RIESGOS DE TECNOLOGIA Y SEGURIDAD DE LA INFORMACION’», establece los requisitos mínimos para la gestión y control de los riesgos asociados a la tecnología y seguridad de la información, particularmente en relación con los servicios financieros digitales. La regulación enfatiza en las adecuaciones necesarias para alinear las operaciones con estos requisitos mínimos, y se dirige a diversas entidades dentro del sector financiero de Argentina, incluyendo instituciones financieras, cámaras electrónicas de compensación, redes de cajeros automáticos, proveedores de servicios de pago, e infraestructuras del mercado financiero.

Regulaciones en Bolivia

  • Ley Nº 393 de Servicios Financieros: La Ley N° 393 de Servicios Financieros en Bolivia se centra en regular y supervisar los servicios financieros del país. Con respecto a la seguridad de la información y la continuidad de las operaciones, establece requisitos para proteger los datos financieros de los clientes, garantizar la seguridad cibernética y promover planes de continuidad del negocio en caso de eventos adversos. Además, busca prevenir el lavado de dinero y financiamiento del terrorismo mediante la implementación de medidas de cumplimiento y supervisión.
  • Ley de Telecomunicaciones y Tecnologías de Información y Comunicación (Ley 164): Esta ley regula el sector de las telecomunicaciones y las tecnologías de la información en Bolivia y puede incluir disposiciones relacionadas con la seguridad de la información en el ámbito de las telecomunicaciones.
  • Ley de Delitos Informáticos (Ley 266): Esta ley establece delitos informáticos y sanciones para actividades ilegales en línea, lo que contribuye a la seguridad de la información en el entorno digital.

Regulaciones en Brazil

  • Resolución CMN Nº 4893/2021: Establecida por el Banco Central de Brasil (BCB) sobre la política de ciberseguridad y los requisitos para la contratación de servicios de procesamiento y almacenamiento de datos y computación en la nube.
  • Decreto Nº 9637/2018 & Decreto Nº 10641/2021: decretos que establecen la política nacional de seguridad de la información en Brasil, así como el establecimiento de la gobernanza de la seguridad de la información.
  • Resolución Nº 4.658/2018 del Banco Central de Brasil: Esta resolución establece requisitos para la gestión de riesgos cibernéticos en las instituciones financieras brasileñas.

Regulaciones en Chile

  • Normas RAN a Bancos, Filiales Bancarias, Sociedades de Apoyo al Giro Bancario y Emisores, y Operadores de Tarjetas de Pago: Las normas RAN en Chile, también conocidas como “Reglamento para la Autorización y Funcionamiento de Entidades Financieras” (RAN) son un conjunto de regulaciones y requisitos establecidos por la Comisión para el Mercado Financiero (CMF) de Chile y cuyo objetivo principal es garantizar la solidez y estabilidad del sistema financiero chileno, así como proteger los intereses de los clientes y la integridad del mercado. Se destacan las siguientes:
    • RAN 20-10 de ‘Gestión Seguridad de la Información y Ciberseguridad’
    • RAN 20-7 de ‘Externalización de servicios’
    • RAN 20-8 de ‘Información de incidentes’
    • RAN 20-9 de ‘Gestión Continuidad del Negocio’
  • Ley Fintech: Ley que establece un marco de principios regulatorios para promover y facilitar la adopción de tecnología que estimule la innovación financiera. Regula empresas fintech, define sus actividades, exige registro y supervisión por parte de la CMF, establece requisitos de capital mínimo y promueve la transparencia y seguridad en la industria fintech.
  • Delitos penales y económicos: ley 20393

Regulaciones en Colombia

  • Superintendencia Financiera de Colombia (SFC): La SFC es la entidad reguladora principal del sector financiero en Colombia y emite regulaciones y directrices relacionadas con la seguridad y la estabilidad del sistema financiero.
    • Como así fue la circular externa 007 que aborda las medidas mínimas para la gestión de riesgos de ciberseguridad se suma a las medidas existentes para la gestión de riesgos operativos y de seguridad de la información. Esta circular tiene como objetivo gestionar los riesgos en las entidades supervisadas por la Superintendencia Financiera de Colombia.
    • Esta entidad también publica los indicadores de seguridad de la información y ciberseguridad de los establecimientos bancarios del país, reflejando datos sobre gestión de incidentes, vulnerabilidades detectadas, etc.
  • Ley de Habeas Data: Esta ley regula la protección de datos personales en Colombia y establece requisitos para el manejo y la protección de la información personal, incluyendo la información financiera.
  • Decreto 1297 de 2022: Sobre regulación de las finanzas abiertas en Colombia, donde se incluyen los estándares y seguimiento para la arquitectura financiera abierta.

Regulaciones en Ecuador

  • Superintendencia de Bancos (SB): La Superintendencia de bancos es la entidad reguladora de bancos en Ecuador. De sus normativas, destaca la norma de control para la gestión de riesgo operacional que engloba tanto aspectos relacionados con la seguridad de la información como los relativos a la continuidad del negocio y la resiliencia.
  • Prevención del Lavado de Activos y del Financiamiento de Delitos (PLA/FT): Ecuador tiene regulaciones específicas para prevenir el lavado de activos y el financiamiento de delitos en el sector financiero. Las instituciones financieras deben implementar programas de PLA/FT y reportar transacciones sospechosas.

Regulaciones en México

  • Ley de Tecnología Financiera (Ley Fintech): Esta legislación regula las actividades de las empresas fintech en México, incluyendo plataformas de préstamos en línea y servicios de pago electrónico.
  • Regulación de Seguridad Cibernética: El Banco de México y la Comisión Nacional Bancaria y de Valores (CNBV) emiten regulaciones específicas relacionadas con la seguridad cibernética en el sector financiero. Estas regulaciones buscan proteger la información financiera y personal de los clientes y prevenir incidentes de ciberseguridad.

Regulaciones en Perú

  • Superintendencia de Bancos y Seguros (SBS): La SBS es la entidad reguladora principal del sector financiero en Ecuador y emite regulaciones y directrices relacionadas con la seguridad y la estabilidad del sistema financiero. Un ejemplo de ello es la resolución Nº 504-2021 sobre la gestión de seguridad de la información y ciberseguridad, que tiene por objetivo requerir a las empresas que cuenten con un entorno seguro y confiable para la provisión de productos y servicios a sus usuarios.
  • Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica (LGFS): También conocida como ‘Ley de Bancos’ de Perú, establece las pautas a seguir dentro del ecosistema financiero de Perú. Aunque no se enfoca específicamente en la seguridad de la información, contiene disposiciones para proteger los datos financieros y garantizar la transparencia. También establece requisitos de capital y promueve la gestión de riesgos en las instituciones financieras.
    • SBS N° 877-2020 – Continuidad de negocio
    • SBS Nº 2116-2009 – Riesgo Operacional.

Relevancia del concepto de doble materialidad

La Directiva establece una novedad en cuanto a la materialidad en materia de sostenibilidad. El concepto de materialidad se puede definir como aquellas cuestiones en materia de medioambiente, social y de gobernanza, que son especialmente relevantes por el impacto que supone el desempeño de la empresa a su entorno (medioambiental, empleados, clientes), de forma directa o indirecta, tanto para la organización, como para sus grupos de interés.

Anteriormente, cuando se hablaba de materialidad se ponía el foco principalmente en lo importante o relevante que era una cuestión (cambio climático, biodiversidad, brecha salarial, por ejemplo) en cuanto a su impacto en materia de sostenibilidad social o ambiental.

Sin embargo, la introducción de este concepto de doble materialidad supone una novedad respecto a la perspectiva con la que se venía trabajando hasta ahora, ya que la “doble materialidad”, obliga a las empresas a informar tanto sobre sus impactos en las personas y el medio ambiente, así como sobre cómo las cuestiones consideradas en materia de sostenibilidad crean riesgos y oportunidades financieras para la empresa, lo que supone un cambio de paradigma y pone el foco también en los efectos que este tipo de cuestiones tienen a nivel financiero en una organización.

La introducción de esta doble materialidad permite facilitar la información para los inversores que no tuvieran suficientemente en cuenta los riesgos y oportunidades relacionados con la sostenibilidad en sus decisiones de inversión, lo que supone un cambio relevante y un acercamiento más realista respecto de la operativa financiera y de inversiones existente en la actualidad, que cada vez más, tiene en consideración este tipo de cuestiones.

Conclusiones

En conclusión, las regulaciones en seguridad de la información y continuidad de negocio en el sector financiero de América Latina son diversas, pero comparten un enfoque en la ciberseguridad y la continuidad operativa. Estas regulaciones reflejan la importancia de salvaguardar los intereses de los consumidores y garantizar la estabilidad financiera en la región.

A pesar de los desafíos de implementación, representan una oportunidad para fortalecer la ciberseguridad y la resiliencia de las instituciones financieras en un entorno cada vez más digitalizado y conectado. Su adaptación continua es esencial para mantenerse al día con las amenazas emergentes. En este sentido, GlobalSuite Solutions brinda un apoyo esencial para la implementación de las diferentes leyes y normas citadas, y ayuda a las organizaciones a gestionar de manera más eficiente los controles de seguridad y de gestión establecidos.