Archivos de la etiqueta: Resolución SBS

04Mar/21

Resolución SBS nº 5570-2019, de 27 de noviembre de 2019

Resolución SBS nº 5570-2019, de 27 de noviembre de 2019. Modifican Reglamento de Tarjetas de Crédito y Débito, el Reglamento para la Administración del Riesgo de Sobre Endeudamiento de Deudores Minoristas, el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Crédito y otros dispositivos legales. (Modificada por el artículo 1º de la Resolución SBS n° 1278-2020, de 7 de abril de 2020)

Lima, 27 de noviembre de 2019

Resolución S.B.S. n° 5570-2019

La Superintendenta de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

CONSIDERANDO:

Que, el Reglamento de Tarjetas de Crédito y Débito aprobado por la Resolución SBS n° 6523-2013 y sus normas modificatorias, en adelante Reglamento de Tarjetas de Crédito y Débito, establece disposiciones generales aplicables a las tarjetas de crédito y débito, entre otros aspectos;

Que, resulta necesario modificar el Reglamento de Tarjetas de Crédito y Débito, a efectos de realizar ajustes a la definición de tarjetas de crédito y débito para considerarlas como instrumento de pago que puede tener soporte físico o representación electrónica o digital; así como precisiones respecto de la línea de crédito que otorga la empresa, la cual puede ser revolvente o no revolvente;

Que, en virtud de la labor de supervisión efectuada y atendiendo a la contratación de financiamientos adicionales asociados a las tarjetas de crédito, resulta necesario precisar que la contratación de estos financiamientos adicionales se puede realizar a través de contratos multiproducto, resultando aplicable lo dispuesto por el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, aprobado por la Resolución SBS n° 3274-2017;

Que, se ha determinado que es necesario realizar modificaciones a la norma vigente para reforzar las medidas de seguridad y resguardar los derechos de los usuarios de las tarjetas de crédito y débito, procurando que las empresas tengan una adecuada conducta de mercado;

Que, resulta necesario modificar el Reglamento para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones, aprobado por la Resolución SBS n° 11356-2008 y sus normas modificatorias, el Reglamento para la Administración del Riesgo de Sobre Endeudamiento de Deudores Minoristas aprobado por la Resolución SBS n° 6941-2008 y sus normas modificatorias, así como el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Crédito, aprobado por Resolución SBS n° 14354-2009 y sus normas modificatorias, a efectos de adecuar determinadas definiciones en dichas normas;

Que, asimismo resulta necesario modificar el Manual de Contabilidad para las Empresas del Sistema Financiero, aprobado por Resolución SBS n° 895-98 y sus normas modificatorias, en adelante Manual de Contabilidad, con la finalidad de recoger las modificaciones antes citadas;

Que, resulta necesario incluir variables en el Anexo n° 6 “Reporte Crediticio de Deudores- RCD” del Capítulo V “Información Complementaria” del Manual de Contabilidad, con el fin de mejorar la identificación crediticia de los deudores y optimizar la medición del riesgo;

Que, resulta necesario modificar el Anexo 2B “Cálculo de los Indicadores de Exposición de las Líneas de Negocio” del Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional, aprobado por la Resolución SBS n° 2115-2009 y sus normas modificatorias, para adecuarlo a las subdivisionarias actualmente vigentes en el Manual de Contabilidad;

Que, a efectos de recoger las opiniones del público en general, se dispuso la prepublicación del proyecto de resolución en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en la Trigésima Segunda Disposición Final y Complementaria de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros – Ley n° 26702 y sus modificatorias, en adelante Ley General, así como del Decreto Supremo nº 001-2009-JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, Riesgos, Estudios Económicos, Conducta de Mercado e Inclusión Financiera y Asesoría Jurídica; y,

En uso de las atribuciones conferidas en los numerales 7, 9 y 13 del artículo 349 de la Ley General;

RESUELVE:

Artículo Primero

Modificar el Reglamento de Tarjetas de Crédito y Débito aprobado por la Resolución SBS n° 6523-2013 y sus normas modificatorias, de acuerdo con lo siguiente:

1. Sustituir el numeral 16 del artículo 2, el artículo 3, el artículo 4, los numerales 2, 3, 4, 8, 9 y 12del artículo 5, el artículo 6, el artículo 7, el primer párrafo del artículo 9, el artículo 10, el primer párrafo del artículo 11, el artículo 13, el primer párrafo del artículo 14, el numeral 4 del artículo 16, el numeral 2 del artículo 22 y el artículo 23, de acuerdo con los textos siguientes:

“Artículo 2.- Definiciones

Para efectos de lo dispuesto en el presente Reglamento, se consideran las siguientes definiciones:

16. Tarjeta: tarjeta de crédito y/o débito, según corresponda.

Artículo 3.- Tarjeta de crédito

La tarjeta de crédito es un instrumento de pago que puede tener soporte físico o representación electrónica o digital y que está asociado a una (1) línea de crédito, otorgada por la empresa emisora. De acuerdo con lo establecido en el respectivo contrato, a través de la tarjeta de crédito, el titular (o usuario) puede realizar el pago por bienes, servicios u obligaciones, así como hacer uso de los servicios adicionales conforme a lo establecido en este reglamento.

Artículo 4.- Tarjeta de débito

La tarjeta de débito es un instrumento de pago que puede tener soporte físico o representación electrónica o digital, que permite realizar operaciones con cargo a depósitos previamente constituidos en la empresa emisora. A través de la tarjeta de débito el titular puede realizar el pago de bienes, servicios u obligaciones, efectuar el retiro de efectivo o realizar transferencias, a través de los canales puestos a disposición por la empresa emisora u otros servicios asociados, dentro de los límites y condiciones pactados.

Artículo 5.- Contenido mínimo del contrato

El contrato de tarjeta de crédito debe contener, como mínimo, la siguiente información:

 2. Forma y canales permitidos para efectuar el pago.

3. Procedimientos y responsabilidades de las partes en caso de extravío, sustracción, robo o hurto de la tarjeta, en cualquiera de sus soportes o representaciones.

4. Derechos de los usuarios a efectuar el bloqueo de la tarjeta y a la resolución del contrato; y casos en los que las empresas pueden proceder al bloqueo de la tarjeta y línea de crédito y a la resolución del contrato.

8. Condiciones generales de emisión y remisión o puesta a disposición, según corresponda, del estado de cuenta en forma física o electrónica.

9. El orden de imputación aplicable para el pago de la línea de crédito debe ser claro y, en el caso de contratos celebrados con usuarios bajo la protección del Código, no puede conllevar un agravamiento desproporcionado del monto adeudado para el titular. Para tal efecto, la aplicación del pago debe considerar los lineamientos establecidos en el artículo 5-A.

(…)

12. Condiciones generales en las que opera la incorporación de los servicios señalados en el artículo 7 del Reglamento, cuando corresponda.

(…)

Artículo 6.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito Las tarjetas de crédito cuando tengan soporte físico se expedirán con carácter de intransferible y deberán contener la siguiente información impresa:

1. Denominación social de la empresa que expide la tarjeta de crédito o nombre comercial que la empresa asigne al producto; y la identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de crédito.

3. Nombre del usuario de la tarjeta de crédito y su firma. Las firmas podrán ser sustituidas o complementadas por una clave secreta, firma electrónica u otros mecanismos que permitan identificar al usuario antes de realizar una operación, de acuerdo con lo pactado.

4. Fecha de vencimiento.

Las empresas pueden expedir tarjetas que no contengan toda la información señalada anteriormente siempre que se emplee clave secreta como factor de autenticación.

El plazo de vigencia de las tarjetas de crédito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 7.- Servicios adicionales asociados a las tarjetas de crédito

Las empresas pueden ofrecer los siguientes servicios adicionales:

1. Disposición de efectivo otorgando al titular la posibilidad de elegir, para cada operación, si la disposición será financiada en cuotas, y de ser el caso, decidir el número de cuotas.

2. Operaciones realizadas a través de internet, desde páginas web y/o aplicaciones de dispositivos móviles, entre otros, distintos a los provistos por la empresa.

3. Operaciones efectuadas en el exterior de forma presencial.

4. Sobregiro o exceso de la línea de crédito.

La posibilidad de incorporar estos servicios se debe informar de manera previa a la celebración del contrato, y el titular debe estar en posibilidad de habilitarlos, al momento de la contratación o de forma posterior, y deshabilitarlos en el momento que así lo requiera, aspecto que también debe ser informado. Los mecanismos para la deshabilitación de los servicios no podrán ser más complejos que aquellos empleados para su habilitación. Las empresas no pueden incorporar los servicios adicionales sin el consentimiento previo del titular.

Las empresas que ofrezcan los servicios descritos deben de informar a los usuarios las condiciones aplicables y riesgos asociados a su utilización, incluidas las medidas de seguridad que deben observar los usuarios, para el uso de dichos servicios en cualquiera de los medios o canales, como cajeros automáticos, páginas web, dispositivos móviles, entre otros, según corresponda.

Artículo 9.- Cargos

Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 7 del Reglamento, en caso corresponda; así como las demás obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.

(…)

Artículo 10.- Contenido mínimo del estado de cuenta de la línea de crédito

El estado de cuenta de la línea de crédito debe contener como mínimo lo siguiente:

1. Nombre del titular o usuario de la línea de crédito.

2. Número de identificación de la tarjeta de crédito, entendiendo por este, como mínimo, a los últimos cuatro (4) dígitos de la tarjeta de crédito.

3. Periodo de facturación y fecha máxima de pago.

4. Monto total de la línea de crédito y monto disponible para realizar operaciones.

5. Saldo de la deuda total a la fecha de corte, por cada moneda.

6. Tasa de interés moratorio efectiva anual o penalidad por incumplimiento.

7. Pago total del periodo y pago mínimo, por cada moneda.

8. Pagos efectuados durante el periodo de facturación, indicando la fecha en que se realizaron y el monto, en cada moneda, de ser el caso.

9. Relación de todas las operaciones registradas en el periodo de facturación, indicando el tipo de operación realizada, así como la fecha y el monto en cada moneda y el nombre del establecimiento, cuando corresponda. Tratándose de operaciones en cuotas, indicar el número de cuotas pactadas, y el número de cuota que corresponde pagar en el periodo de facturación.

10. Montos de las cuotas de las operaciones en cuotas que corresponde pagar en el periodo de facturación, desglosadas indicando el monto que corresponde al principal, intereses, comisiones y gastos, en caso corresponda.

11. Tasa de interés compensatorio efectiva anual aplicable a cada operación, ya sea la que se paga mediante la aplicación de un factor revolvente o en cuotas. Se presentará la información desagregada por cada operación en aquellos casos en los que la empresa ofrezca tasas diferenciadas.

12. Fecha de cobro de la renovación de la membresía, el periodo al que corresponde y el monto, en caso se realicen cobros por este concepto.

13. Desglose del pago mínimo (en cada moneda, de ser el caso), conforme a la Circular de pago mínimo, mostrando el monto que corresponde al principal, intereses, comisiones y cualquier otro concepto aplicable. Seguidamente a esta información, deberá indicarse en forma destacada y fácilmente identificable, que si el cliente sólo realiza el pago mínimo, efectuará un pago mayor por concepto de intereses, comisiones y gastos.

El estado de cuenta debe destacar la información de los numerales 3, 4, 5, 6 y 7, en tanto resulte aplicable.

El estado de cuenta solo puede incluir información de las operaciones que se realicen con cargo a la línea de crédito.

Artículo 11.- Puesta a disposición o envío y recepción del estado de cuenta de la línea de crédito y procedimiento de reclamos

Las empresas deben remitir o poner a disposición de los titulares de la línea de crédito el estado de cuenta, como mínimo, mensualmente, a través de medios electrónicos (por medio de la presentación de dicha información a través de la página web, correo electrónico, entre otros). Los clientes pueden requerir que el estado de cuenta se remita a través de medios físicos (remisión al domicilio señalado por el cliente), para lo cual las empresas deben mantener una constancia que permita acreditar dicha decisión.

(…)

Artículo 13.- Servicios adicionales asociados a tarjetas de débito

Las empresas pueden ofrecer los siguientes servicios adicionales:

1. Operaciones realizadas a través de internet, desde páginas web y/o aplicaciones de dispositivos móviles, entre otros, distintos a los provistos por la empresa.

2. Operaciones efectuadas en el exterior de forma presencial.

La posibilidad de incorporar estos servicios se debe informar de manera previa a la celebración del contrato, y el titular debe de estar en posibilidad de habilitarlos, al momento de la contratación o de forma posterior, y de deshabilitarlos en el momento que así lo requiera, aspecto que también debe ser informado. Los mecanismos para la deshabilitación de los servicios no podrán ser más complejos que aquellos empleados para su habilitación. Las empresas no pueden incorporar los servicios adicionales sin el consentimiento previo del titular.

Las empresas que ofrezcan los servicios descritos deben de informar a los usuarios las condiciones aplicables y riesgos asociados a su utilización, incluidas las medidas de seguridad que deben observar los usuarios para el uso de dichos servicios en cualquiera de los medios o canales, como cajeros automáticos, páginas web, dispositivos móviles, entre otros, según corresponda.

Artículo 14.- Cargos

Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13 del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.

(…)

Artículo 16.- Medidas de seguridad respecto a los usuarios

Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios:

(…)

4. Para las operaciones que se realicen con cargo a la línea de crédito o a los depósitos previamente constituidos, la empresa debe habilitar y brindar un servicio de notificaciones para todos los usuarios para que se les informe de las operaciones realizadas con sus tarjetas inmediatamente después de ser registradas por la empresa, mediante la utilización de alguno de los siguientes mecanismo de comunicación directa tales como mensajes de texto, correo electrónico, llamadas, entre otros, que pueden ser pactados con los titulares; debiendo este servicio estar activo desde el momento de la contratación del producto. Para este servicio, las empresas pueden establecer mecanismos a través de los cuales los usuarios puedan configurar o limitar las notificaciones sobre la base de umbrales o variables como montos mínimos, entre otros. Los titulares pueden solicitar la habilitación o deshabilitación de este servicio, en cualquier momento, a través de los mecanismos establecidos por las empresas, los cuales no podrán ser más complejos que los ofrecidos al momento de la celebración del contrato.

(…)

Artículo 22.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos:

(…)

2. Acciones para proceder con el bloqueo temporal o la cancelación definitiva de la tarjeta, en caso sea necesario.

Artículo 23.- Responsabilidad por operaciones no reconocidas

Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, la empresa es responsable de realizar la evaluación correspondiente y de demostrar que las operaciones fueron autenticadas y registradas.

La empresa es responsable de las pérdidas por las operaciones realizadas en los siguientes casos:

1. Por incumplimiento de lo dispuesto en el artículo 21 del Reglamento.

2. Cuando las tarjetas hayan sido objeto de clonación.

3. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios para efectuar operaciones.

4. Por la manipulación de los cajeros automáticos o de los ambientes en que estos operan, puestos a disposición por la empresa emisora o por terceros con los cuales esta tiene convenio.

5. Cuando se haya producido la suplantación del usuario en las oficinas.

6. Operaciones denominadas micropago.

7. Operaciones realizadas luego del bloqueo o cancelación de la línea de crédito o de la tarjeta o cuando la tarjeta haya expirado.

8. Operaciones asociadas a servicios no solicitados o habilitados por el titular conforme a lo dispuesto en los artículos 7 y 13 del presente Reglamento.

9. Cuando el esquema de autenticación del cliente para la realización de estas operaciones no cumpla con los requerimientos mínimos de seguridad establecidos en la normativa vigente.

En caso no se cumpla con ninguno de los supuestos anteriores; y de producirse el extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene, la

empresa es responsable de las operaciones realizadas con posterioridad a la comunicación efectuada a la empresa por parte del usuario para informar tales hechos.

La empresa no está obligada a asumir las pérdidas asociadas a las operaciones no reconocidas, cuando acredite la responsabilidad del usuario.

De presentarse un reclamo por operaciones no reconocidas, cuya responsabilidad no hubiese sido asumida por la empresa, esta deberá responder al usuario explicando las razones que sustentan su posición de manera clara, pronunciándose sobre los hechos cuestionados.”

2. Incorporar el artículo 3-A, el inciso 12-A del artículo 5, el artículo 5-A, el artículo 6-A, el tercer párrafo del artículo 8, el segundo párrafo del artículo 15, el tercer párrafo del artículo 18, el tercer párrafo del artículo 19 y el artículo 28 de acuerdo con los textos siguientes:

“Artículo 3-A.- Tipos de líneas de crédito

La línea de crédito puede ser:

1. Revolvente: Aquella línea de crédito en la que se permite que los montos amortizados sean reutilizados por el deudor.

2. No revolvente: Aquella línea de crédito en la que no se permite que los montos amortizados sean reutilizados por el deudor.

“Artículo 5.- Contenido mínimo del contrato

El contrato de tarjeta de crédito debe contener, como mínimo, la siguiente información:

(…)

12-A. Condiciones generales para la realización de micropagos y responsabilidades asociadas, en caso se ofrezca esta posibilidad, incluyendo los canales en los cuales se difundirá el monto máximo.

(…)

Artículo 5-A.- Orden de imputación de pagos

El orden de imputación de pagos debe considerar lo siguiente:

1. Primero debe aplicarse a cubrir el pago mínimo, considerando los componentes de dicho concepto previstos en la Circular de Pago Mínimo.

2. El pago por montos inferiores al pago mínimo se aplica en la forma en la que lo determinen las empresas conforme lo dispone el artículo 87 del Código. Respecto del capital, el pago se aplica primero a la deuda en cuotas, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor, y posteriormente, a los saldos resultantes del capital de cada deuda que se paga mediante la aplicación de un factor revolvente, dividido entre el factor revolvente, siguiendo el orden decreciente descrito.

3. Si el monto materia de pago excede el pago mínimo realizado conforme a lo establecido en el numeral 1, el exceso se aplica de la siguiente forma:

(i) En primer lugar, a la deuda que se paga mediante la aplicación de un factor revolvente existente al momento de pago. En este caso, la aplicación se realiza empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

(ii) Si se cubrió totalmente la deuda indicada en el inciso (i) precedente, y aún queda un saldo por aplicar, se debe considerar lo siguiente:

a. Si el saldo es mayor a dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto como un pago anticipado, procediendo a la reducción del número de cuotas con la consecuente reducción del plazo del crédito.

En caso existan dos o más cuotas futuras con la misma tasa de interés, se prioriza el pago de la más antigua, de lo contrario, se empieza por aplicar el pago a aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

b. Si el saldo es menor o igual al equivalente de dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto a la deuda que se paga mediante la aplicación de un factor revolvente que se contraiga, a los intereses de dicha deuda y a otros cargos generados (comisiones o gastos), de ser el caso.

De no existir deuda que se paga mediante la aplicación de un factor revolvente, o en caso que el saldo exceda la deuda que se paga mediante la aplicación de un factor revolvente a la fecha de corte, este se aplica a las cuotas que se incluyen en el nuevo pago mínimo, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

4. El orden de imputación de pagos establecido en el numeral precedente no resulta aplicable cuando:

(i) Existe efectiva negociación; es decir, cuando se haya informado al titular sobre las consecuencias e implicancias económicas de la regla de imputación de pagos negociada y la cláusula que la contenga no constituya una condición masiva que forme parte del contrato de adhesión y que condicione su suscripción; y se permita evidenciar que el titular ha influido en el contenido de la cláusula; o,

(ii) El cliente, en cada oportunidad en que se realice el pago, solicite su aplicación en orden distinto, en cuyo caso la empresa debe mantener constancia de dicha decisión; o, como pago anticipado, para lo cual resulta aplicable lo indicado en el literal a. del inciso (ii) del numeral 3.

Artículo 6-A.- Resolución contractual de la tarjeta de crédito a requerimiento del titular

En caso de resolución contractual a requerimiento del titular de la tarjeta de crédito, se cancelará la tarjeta de crédito asociada al momento de la presentación de la solicitud.

Una vez efectuada la cancelación de la tarjeta no podrán realizarse nuevos cargos, a excepción de aquellos correspondientes a transacciones en tránsito anteriores a la solicitud de resolución contractual.

La empresa no debe establecer condiciones o limitaciones para el ejercicio del derecho de resolución contractual. En caso no sea posible efectuar la resolución al momento de la presentación de la solicitud, la empresa debe efectuar el bloqueo de la línea de crédito e informar al usuario el procedimiento a seguir y demás aspectos aplicables. Entre ellos, debe informar el plazo estimado y canal a través del cual se comunicará:

(i) la cancelación definitiva del producto; o,

(ii) la posibilidad o imposibilidad resolver el contrato por la existencia de deuda; caso en el cual se solicitará el pago que corresponda para proceder con la resolución. El contrato de tarjeta de crédito se entenderá resuelto con el pago del total de la deuda.

Las condiciones contractuales, tales como las comisiones, gastos, tasas y/o penalidades, seguirán vigentes hasta la cancelación de la deuda y consiguiente resolución del contrato.

A la cancelación de la tarjeta no será posible el cobro de la comisión anual de membresía, salvo que el periodo anual de membresía haya transcurrido con anterioridad al requerimiento de resolución del contrato efectuado por el titular.

Artículo 8.- Tarjeta de crédito adicional

(…)

Solo el titular de la línea de crédito puede elegir los servicios adicionales asociados a la tarjeta de crédito adicional que solicite, conforme a lo dispuesto en el artículo 7 del Reglamento de Tarjetas de Crédito y Débito.

Artículo 15.- Medidas de seguridad incorporadas en las tarjetas

(…)

El procesamiento de transacciones en línea haciendo uso del chip de las tarjetas u otros mecanismos debe incluir como mínimo la solicitud de autorización realizada, la respuesta a la solicitud, la cual debe ser generada desde el sistema autorizador de la empresa, así como la indicación de haber aprobado o declinado la transacción generada; ello salvo en caso de excepción previsto contractualmente, donde corresponda la aprobación a la marca. Cuando la operación sea realizada haciendo uso del chip u otro mecanismo sin contacto, la autenticación de la tarjeta debe utilizar criptografía dinámica, de manera que pueda verificarse que no hubo alteración de la transacción entre la tarjeta y el terminal. Cuando se utilice otro soporte distinto a la tarjeta física, además de asegurar mecanismos de autenticación, debe evitar exponer el número de la tarjeta.

Artículo 18.- Medidas en materia de seguridad de la información

(…)

Las mencionadas implementaciones deberán efectuarse siguiendo las recomendaciones técnicas del estándar de la industria de tarjetas, PCI DSS o equivalentes.

Artículo 19.- Medidas de seguridad en los negocios afiliados

(…)

El cumplimiento de lo dispuesto en el presente artículo no exime de responsabilidad a la empresa por las pérdidas generadas en las operaciones no reconocidas que se hayan realizado bajo alguno de los supuestos establecidos en el segundo párrafo del artículo 23 del Reglamento.

Artículo 28.- Tratamiento a productos asociados

La Superintendencia, por razones prudenciales, puede aplicar el marco regulatorio establecido en este Reglamento, a los actuales y nuevos productos que evidencien una operativa similar a la tarjeta de crédito”.

3. Eliminar el artículo 25.

Artículo Segundo

Modificar el Reglamento para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones, aprobado por la Resolución SBS n° 11356-2008 y sus normas modificatorias, de acuerdo a lo siguiente:

1. Sustituir los literales i) y j) del numeral 2. Definiciones del Capítulo I “Conceptos y Principios para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones”, de acuerdo con el texto siguiente:

“2. Definiciones

(…)

i. Créditos revolventes: Son aquellos créditos asociados a líneas de crédito revolventes, en los que se permite que los montos amortizados sean reutilizados por el deudor.

j. Créditos no revolventes: Son aquellos créditos en los que no se permite que los montos amortizados sean reutilizados por el deudor.

(…)”

2. Sustituir los literales b) y c) del numeral 3. Factores de Conversión Crediticios (FCC) de los

Créditos Indirectos del Capítulo I “Conceptos y Principios para la Evaluación y Clasificación del

Deudor y la Exigencia de Provisiones”, de acuerdo con el texto siguiente:

“b) Los avales, cartas de crédito de importación, cartas fianza que respalden el cumplimiento de obligaciones de pago asociadas a eventos de riesgo de crédito, y las confirmaciones de cartas de crédito no incluidas en el literal “a)”, así como las aceptaciones bancarias 100%

c) Las cartas fianzas no incluidas en el literal “b)” 50%”

3. En el numeral 4. Tipos de crédito del Capítulo I “Conceptos y Principios para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones”, sustituir el primer párrafo de los numerales 4.6 y 4.7, de acuerdo con el texto siguiente

“4. TIPOS DE CRÉDITOS

(…)

4.6 CRÉDITOS DE CONSUMO REVOLVENTES:

Son aquellos créditos revolventes otorgados a personas naturales, con la finalidad de atender el pago de bienes, servicios o gastos no relacionados con la actividad empresarial. Los créditos de consumo revolventes comprenden las modalidades de avances en cuenta corriente, las tarjetas de crédito asociadas a líneas de crédito revolvente, sobregiros en cuenta corriente, préstamos revolventes, préstamos otorgados bajo convenios de descuento de planilla revolventes, entre otros.

(…)

4.7 CRÉDITOS DE CONSUMO NO REVOLVENTES:

Son aquellos créditos no revolventes otorgados a personas naturales, con la finalidad de atender el pago de bienes, servicios o gastos no relacionados con la actividad empresarial. Los créditos de consumo no revolventes comprenden las modalidades de préstamos para automóviles, préstamos de libre disponibilidad, préstamos bajo convenios (elegibles y no elegibles, así como bajo convenio con descuento de planilla no revolventes), arrendamiento financiero, lease-back, las tarjetas de crédito asociadas a líneas de crédito no revolventes, financiamientos no revolventes independientes a la línea de tarjeta de crédito, entre otros.

(…)”

4. Sustituir el último párrafo del numeral 4. Tipos de crédito del Capítulo I “Conceptos y Principios para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones”, de acuerdo con el texto siguiente:

“En caso el deudor no haya registrado créditos destinados a financiar actividades de producción, comercialización o prestación de servicios en ninguno de los últimos seis (6) meses, el nuevo desembolso destinado a financiar actividades de producción, comercialización o prestación de servicios será el determinante del nivel de endeudamiento en el sistema financiero. Asimismo, si el deudor ha registrado créditos destinados a financiar actividades de producción, comercialización o prestación de servicios en algún(os) mes(es) de los últimos seis (6) meses, se tomará en cuenta sólo la información de aquellos meses en que el endeudamiento total del deudor en el sistema financiero (sin incluir los créditos hipotecarios para vivienda) registrado en el RCC sea diferente de cero.”

Artículo Tercero

Modificar el Reglamento para la Administración del Riesgo de Sobre Endeudamiento de Deudores Minoristas, aprobado por Resolución SBS n° 6941-2008 y sus normas modificatorias, de acuerdo a lo siguiente:

1. En el artículo 2, sustituir los literales a, b y f, así como incorporar el literal o, de acuerdo con el texto siguiente:

“Artículo 2º.- Definiciones

Para la aplicación del presente Reglamento deberán considerarse las siguientes definiciones:

a. Líneas de crédito revolvente: Son aquellas líneas de crédito en las que se permite que los montos amortizados sean reutilizados por el deudor. El monto total de línea de crédito revolvente es igual a la suma de la línea de crédito revolvente utilizada y no utilizada.

b. Línea de crédito no utilizada: Resulta de la resta del monto aprobado, registrado y comunicado al cliente de una línea de crédito revolvente o no revolvente, menos todas las obligaciones adquiridas por el cliente bajo esa línea incluyendo la deuda directa y los intereses devengados.

(…)

f. Créditos indirectos o créditos contingentes: Representan los avales, las cartas fianza, las aceptaciones bancarias, las cartas de crédito, los créditos aprobados no desembolsados y las líneas de crédito no utilizadas, otorgados por las empresas del sistema financiero.

(…)

o. Línea de crédito no revolvente: Es aquella línea de crédito en la que no se permite que los montos amortizados sean reutilizados por el deudor.”

2. Sustituir el segundo párrafo del artículo 4, de acuerdo con el texto siguiente:

“Artículo 4°.- Gestión del riesgo de sobreendeudamiento

(…)

Asimismo, las empresas deberán establecer en sus políticas crediticias, así como de otorgamiento, de modificación y de revisión de líneas de crédito revolventes y no revolventes, criterios y medidas explícitos que incorporen el riesgo de sobreendeudamiento de los deudores minoristas, los mismos que deberán ser aprobados y revisados por lo menos anualmente por el Directorio.

(…)”

3. Sustituir el literal f) del artículo 5, de acuerdo con el texto siguiente:

“Artículo 5°.- Medidas prudenciales de administración del riesgo de sobreendeudamiento

(…)

f) Para el caso de líneas de crédito revolventes y no revolventes, se debe fijar un nivel máximo en función de la capacidad de pago del cliente y su endeudamiento total en el sistema.

(…)”

4. Sustituir el primer y segundo párrafo del artículo 7, de acuerdo con el texto siguiente:

“Artículo 7°.- Requerimiento de provisiones para empresas que incumplan la presente norma

Las empresas que no cumplan con las disposiciones del presente Reglamento deberán, para fines de provisión, calcular la exposición equivalente a riesgo crediticio aplicando un factor de veinte por ciento (20%) al monto no usado de las líneas de crédito revolventes y no revolventes de tipo MES, pequeña empresa y consumo. Sobre dicha exposición equivalente a riesgo crediticio serán aplicables las tasas de provisiones determinadas en el Reglamento para la Clasificación del Deudor.

El monto de la línea de crédito empleado para el cálculo referido en el párrafo anterior deberá corresponder al último monto aprobado comunicado al cliente.

(…)”

5. Sustituir el artículo 8 por el siguiente texto:

“Artículo 8°.- Precisiones sobre la aplicación del Reglamento para la Clasificación del Deudor

La exposición equivalente a riesgo crediticio de las líneas de crédito no utilizadas de tipo Pequeña Empresas y/o MES y/o Consumo (revolvente y no revolvente) se encontrará sujeta a las disposiciones del Reglamento para la Clasificación del Deudor, con excepción del cómputo del 20% de deuda en el sistema financiero para efectos de alineamiento de clasificación de deudores entre empresas del sistema financiero a que se refiere el Capítulo I del mismo Reglamento”

Artículo Cuarto

Modificar el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Crédito, aprobado por Resolución SBS n° 14354-2009 y sus normas modificatorias, de acuerdo a lo siguiente:

1. Sustituir los literales t) y u) del artículo 2 Definiciones del Capítulo I “Principios Generales”, de acuerdo con el texto siguiente:

“t) Exposiciones no revolventes: Exposiciones en las que no se permite que los montos amortizados sean reutilizados por el deudor.

u) Exposiciones revolventes: Exposiciones asociadas a líneas de crédito revolventes, en las que se permite que los montos amortizados sean reutilizados por el deudor.”

2. Sustituir los literales e) y f) del artículo 25 Exposiciones Contingentes del Capítulo II “Método

Estándar”, de acuerdo con el texto siguiente:

“e) Los avales, cartas de crédito de importación, cartas fianza que respalden el cumplimiento de obligaciones de pago asociadas a eventos de riesgo de crédito, y las confirmaciones de cartas de crédito no incluidas en el literal “d)”, así como las aceptaciones bancarias recibirán un factor de conversión crediticia de 100%.

f) Las cartas fianzas no incluidas en el literal “e)” recibirán un factor de conversión crediticia de 50%.”

3. Eliminar el último párrafo del artículo 20.

4. Sustituir el primer párrafo del artículo 111 Ponderación por riesgo y pérdida esperada de exposiciones de consumo revolventes elegibles del Subcapítulo IV “Reglas de Aplicación a las Exposiciones Minoristas” del Capítulo III “Métodos Basados en Calificaciones Internas”, de acuerdo con el texto siguiente:

“Se considera como exposición minorista revolvente a la exposición asociada a una línea de crédito revolvente, en la que se permite que los montos amortizados sean reutilizados por el deudor. Para que una exposición minorista revolvente sea elegible se deben cumplir las siguientes condiciones:

a) Que se trate de exposiciones frente a personas naturales.

b) Que las exposiciones sean renovables, no estén garantizadas y, en la medida en que no se haya dispuesto de ellas, sean cancelables de forma inmediata e incondicional por la entidad de crédito.

c) Que la entidad acredite, mediante pruebas estadísticas, que el uso de la correlación contemplada en el presente artículo se limita a las carteras cuyas tasas de pérdida hayan mostrado escasa volatilidad respecto a su nivel promedio de pérdidas, especialmente dentro de las bandas de PD más bajas.”

Artículo Quinto

Modificar el Manual de Contabilidad para las Empresas del Sistema Financiero, aprobado por Resolución SBS n° 895-98 y sus normas modificatorias, conforme con el Anexo 1 que se adjunta a la presente Resolución, el cual se publica en el Portal Institucional (www.sbs.gob.pe), conforme a lo dispuesto en el Decreto Supremo n° 001-2009-JUS.

Artículo Sexto

Sustituir el Anexo 2B “Cálculo de los Indicadores de Exposición de las Líneas de Negocio” del Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional aprobado por la Resolución SBS n° 2115-2009 y sus modificatorias, conforme con el Anexo 2 que se adjunta a la presente Resolución, el cual se publica en el Portal electrónico institucional (www.sbs.gob.pe), conforme a lo dispuesto en el Decreto Supremo n° 001-2009-JUS.

Artículo Séptimo

Para la contratación de financiamientos no revolventes adicionales para titulares de tarjetas de crédito, las empresas del sistema financiero deben considerar lo siguiente:

1. Las empresas pueden otorgar financiamientos adicionales siempre que sean independientes a la línea de la tarjeta de crédito, incluso a través de contratos multiproducto, y que cumplan con lo dispuesto en los artículos 25 y 54 del Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, aprobado por Resolución SBS n° 3274-2017, en lo que se refiere a la información que brinden a los usuarios.

2. Las empresas no pueden otorgar financiamientos adicionales a la línea de la tarjeta de crédito que no cumplan con las condiciones previstas en esta resolución.

3. Los financiamientos no revolventes adicionales para titulares de tarjetas de crédito, que hayan sido contratados asociados a la tarjeta de forma previa a la entrada en vigencia del presente artículo, mantienen las condiciones y términos en los que fueron pactados hasta el plazo previsto para su vencimiento. Los nuevos financiamientos de este tipo deben sujetarse a las condiciones previstas en esta resolución.

Artículo Octavo

La tarjeta de crédito no constituye un instrumento de pago de cualquier otro financiamiento que haya otorgado la empresa.

Artículo Noveno

Para efectos legales, las referencias a reglamentos o disposiciones derogadas sobre transparencia de información, contenidas en el Reglamento de Tarjetas de Crédito y Débito aprobado por la Resolución SBS n° 6523-2013, se entienden sustituidas por las disposiciones correspondientes del Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, aprobado por la Resolución SBS n° 3274-2017.

Artículo Décimo

Las referencias a deuda revolvente, modalidad revolvente, sistema revolvente y capital revolvente, consideradas en la Circular n° B-2206-2012, F-546-2012, CM-394-2012, CR-262-2012, EDPYME-142-2012, deben entenderse referidas a deuda cuyo capital se paga mediante la aplicación de un factor revolvente.

Artículo Décimo Primero

Las empresas deben remitir a esta Superintendencia un plan de adecuación sobre el contenido mínimo del estado de cuenta en un plazo que no debe exceder de sesenta (60) días desde la fecha de la publicación de la presente Resolución, el que debe contener el cronograma de adecuación y las acciones previstas para esta, así como los funcionarios responsables del cumplimiento de dicho plan, los cuales deben remitir informes cuatrimestrales sobre el plan de adecuación a la Superintendencia.

Artículo Décimo Segundo

La presente Resolución entra en vigencia a los trescientos sesenta (360) días contados desde su publicación en el Diario Oficial “El Peruano”, salvo lo dispuesto a continuación:

i) El Artículo Noveno, Décimo y Décimo Primero, así como los cambios aplicados a los artículos 6, 9 y 14 contenidos en el numeral 1 del Artículo Primero de esta Resolución entran en vigencia al día siguiente de su publicación en el Diario Oficial “El Peruano”.

ii) El numeral 2 del Artículo Segundo, el numeral 2 del Artículo Cuarto y el Artículo Sexto, el numeral 1.3 del Acápite II del Anexo 1 del Artículo Quinto entran en vigencia a partir de la información correspondiente al mes de enero de 2020.

iii) Los artículos Sétimo y Octavo entran en vigencia a los ciento veinte (120) días contados desde su publicación en el Diario Oficial “El Peruano”.

iv) El numeral 4 del Artículo Segundo entra en vigencia a los ciento ochenta (180) días contados desde su publicación en el Diario Oficial “El Peruano”.

Una vez que entren en vigencia las disposiciones del segundo párrafo de los artículos 7 y 13, referidas a la habilitación y deshabilitación de servicios adicionales a las tarjetas, así como las modificaciones del numeral 4 del Artículo 16, referido al servicio de notificaciones a los usuarios a que hacen referencia el numeral 1 del Artículo Primero de esta Resolución, son obligatorias para las empresas con respecto a los nuevos contratos que se suscriban y, para los contratos ya existentes, desde el momento de la renovación de la tarjeta o ante la emisión de un duplicado.

Regístrese, comuníquese y publíquese.

SOCORRO HEYSEN ZEGARRA. Superintendenta de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

28Feb/21

Resolución SBS nº 504-2021 de 19 de febrero de 2021

Resolución SBS nº 504-2021 de 19 de febrero de 2021, que aprueba el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico. (El Peruano, martes 23 de febrero de 2021).

SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

Aprueban el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico

Resolución SBS nº 504-2021

Lima, 19 de febrero de 2021

LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

CONSIDERANDO:

Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante la Resolución SBS nº 272-2017, incorpora disposiciones que tienen por finalidad que las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo adecuados;

Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la Resolución SBS nº 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la gestión efectiva del riesgo operacional;

Que, esta Superintendencia emitió la Circular G-140-2009 con la finalidad de establecer criterios mínimos para una adecuada gestión de la seguridad de la información;

Que, resulta necesario actualizar la normativa sobre gestión de seguridad de la información vía la aprobación de un reglamento, complementario al Reglamento para la Gestión del Riesgo Operacional, tomando en cuenta los estándares y buenas prácticas internacionales sobre seguridad de la información, entre los que se encuentran los publicados por el National Institute of Standards and Technology y la familia de estándares ISO/IEC;

Que, la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos, del sistema financiero, de seguros y privado de pensiones, hace necesario que las empresas de dichos sistemas supervisados fortalezcan sus capacidades de ciberseguridad y procesos de autenticación;

Que, asimismo, es necesario modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS nº 6523-2013 y normas sus modificatorias; el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias; el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus normas modificatorias; así como el Reglamento de Auditoría Externa, aprobado por la Resolución SBS nº 17026-2010 y sus normas modificatorias;

Que, para recoger las opiniones del público, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos, de Conducta de Mercado e Inclusión Financiera y de Asesoría Jurídica; y,

En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley nº 26702 y sus modificatorias, y el inciso d) del artículo 57 de la Ley del Sistema Privado de Administración de Fondos de Pensiones, cuyo Texto Único Ordenado es aprobado por Decreto Supremo nº 054-97-EF;

RESUELVE:

Artículo Primero

Aprobar el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, según se indica a continuación:

Reglamento Para la Gestión de la Seguridad de la Información y la Ciberseguridad

Capítulo I.- Disposiciones Generales

Artículo 1.- Alcance

1.1. El presente Reglamento es de aplicación a las empresas señaladas en los artículos 16 y 17 de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas, al igual que las referidas en los párrafos 1.2 y 1.3.

1.2. También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de dichas instituciones.

1.3. Es de aplicación a las empresas corredoras de seguros de acuerdo con lo dispuesto en la Cuarta Disposición Complementaria Final del presente Reglamento.

Artículo 2. Definiciones

Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes definiciones:

a) activo de información: Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa y tiene un ciclo de vida.

b) amenaza: Evento que puede afectar adversamente la operación de las empresas y sus activos de información, mediante el aprovechamiento de una vulnerabilidad.

c) autenticación: Para fines de esta norma, es el proceso que permite verificar que una entidad es quien dice ser, para lo cual hace uso de las credenciales que se le asignan. La autenticación puede usar uno, dos o más factores de autenticación independientes, de modo que el uso sin autorización de uno de ellos no compromete la fiabilidad o el acceso a los otros factores.

d) canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits.

e) Ciberseguridad: Protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos.

f) credencial: Conjunto de datos que es generado y asignado a una entidad o un usuario para fines de autenticación.

g) directorio: Directorio u órgano equivalente.

h) entidad: Usuario, dispositivo o sistema informático que tiene una identidad en un sistema, lo cual la hace separada y distinta de cualquier otra en dicho sistema.

i) evento: Un suceso o serie de sucesos que puede ser interno o externo a la empresa, originado por la misma causa, que ocurre durante el mismo periodo de tiempo, según lo definido en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

j) Factores de autenticación de usuario: Aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías:

– Algo que solo el usuario conoce.

– Algo que solo el usuario posee.

– Algo que el usuario es, que incluye las características biométricas.

k) identidad: Una colección de atributos que definen de forma exclusiva a una entidad.

l) incidente: Evento que se ha determinado que tiene un impacto adverso sobre la organización y que requiere de acciones de respuesta y recuperación.

m) información: Datos que pueden ser procesados, distribuidos, almacenados y representados en cualquier medio electrónico, digital, óptico, magnético, impreso u otros, que son el elemento fundamental de los activos de información.

n) Interfaz de programación de aplicaciones:

Colección de métodos de invocación y parámetros asociados que puede utilizar un software para solicitar acciones de otro software, lo que define los términos en que estos intercambian datos. También conocido como API, por sus siglas en inglés.

o) Servicios en nube: Servicio de procesamiento de datos provisto mediante una infraestructura tecnológica que permite el acceso de red a conveniencia y bajo demanda, a un conjunto compartido de recursos informáticos configurables que se pueden habilitar y suministrar rápidamente, con mínimo esfuerzo de gestión o interacción con los proveedores de servicios.

p) reglamento: Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

q) reglamento de Gobierno corporativo y de la Gestión Integral de Riesgos: Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por la Resolución SBS nº 272-2017 y sus normas modificatorias.

r) Reglamento para la Gestión de Riesgo operacional: Reglamento para la Gestión de Riesgo Operacional, aprobado por la Resolución SBS nº 2116-2009 y sus normas modificatorias.

s) superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

t) Procesamiento de datos: El conjunto de procesos que consiste en la recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, transferencia, difusión, borrado o destrucción de datos.

u) Usuario: persona natural o jurídica que utiliza o puede utilizar los productos ofrecidos por las empresas.

v) Vulnerabilidad: Debilidad que expone a los activos de información ante amenazas que pueden originar incidentes con afectación a los mismos activos de información, y a otros de los que forma parte o con los que interactúa.

Artículo 3. Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C)

3.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.

3.2. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) implica, cuando menos, los siguientes objetivos:

a) Confidencialidad: La información sólo es disponible para entidades o procesos autorizados, incluyendo las medidas para proteger la información personal y la información propietaria;

b) Disponibilidad: Asegurar acceso y uso oportuno a la información; e,

c) Integridad: Asegurar el no repudio de la información y su autenticidad, y evitar su modificación o destrucción indebida.

Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C)

4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.

4.2. Las disposiciones descritas en el Capítulo II, Subcapítulos I, II, III y IV del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen General):

a) Empresa Bancaria;

b) Empresa Financiera;

c) Caja Municipal de Ahorro y Crédito – CMAC;

d) Caja Municipal de Crédito Popular – CMCP;

e) Caja Rural de Ahorro y Crédito – CRAC;

f) Empresa de Seguros y/o Reaseguros, conforme a lo dispuesto en el párrafo 4.4;

g) Empresa de Transporte, Custodia y Administración de Numerario;

h) Administradora Privada de Fondos de Pensiones;

i) Empresa Emisora de Tarjetas de Crédito y/o de Débito;

j) Empresa Emisora de Dinero Electrónico; y

k) El Banco de la Nación.

4.3. Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simplificado):

a) Banco de Inversión;

b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4;

c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;

d) Empresa de Transferencia de Fondos;

e) Derrama y Caja de Beneficios bajo control de la Superintendencia;

f) La Corporación Financiera de Desarrollo –COFIDE;

g) El Fondo MIVIVIENDA S.A.;

h) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI;

i) El Banco Agropecuario; y,

j) Almacenes Generales.

4.4. Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el Régimen General del presente Reglamento.

4.5. Las empresas señaladas en el Artículo 1, no listadas en los párrafos 4.2 o 4.3 anteriores del presente Reglamento, podrán establecer un sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) conforme a las disposiciones de este Reglamento.

4.6. En caso las empresas del Sistema Financiero listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simplificado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles.

4.7. Las disposiciones descritas en el Capítulo II, Subcapítulo VI (Régimen Reforzado) del presente Reglamento son de aplicación obligatoria a las empresas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo con lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado por la Resolución SBS nº 8425-2011 y sus normas modificatorias.

Artículo 5. Responsabilidades del directorio

El directorio es responsable de aprobar y facilitar las acciones requeridas para contar con un SGSI-C apropiado a las necesidades de la empresa y su perfil de riesgo, entre ellas:

a) Aprobar políticas y lineamientos para la implementación del SGSI-C y su mejora continua.

b) Asignar los recursos técnicos, de personal, financieros requeridos para su implementación y adecuado funcionamiento.

c) Aprobar la organización, roles y responsabilidades para el SGSI-C, incluyendo los lineamientos de difusión y capacitación que contribuyan a un mejor conocimiento de los riesgos involucrados.

Artículo 6. Responsabilidades de la gerencia

6.1 La gerencia general es responsable de tomar las medidas necesarias para implementar el SGSI-C de acuerdo a las disposiciones del directorio y lo dispuesto en este Reglamento.

6.2 Los gerentes de las unidades de negocios y de apoyo son responsables de apoyar el buen funcionamiento del SGSI-C y gestionar los riesgos asociados a la seguridad de la información y Ciberseguridad en el marco de sus funciones.

Artículo 7. Funciones del comité de riesgos

7.1 Adicionalmente a las funciones que se han dispuesto que el Comité de Riesgos de las empresas asuman por parte de la normativa de la Superintendencia, se encuentran las siguientes vinculadas a la seguridad de la información y ciberseguridad:

a) Aprobar el plan estratégico del SGSI-C y recomendar acciones a seguir.

b) Aprobar el plan de capacitación a fin de garantizar que el personal, la plana gerencial y el directorio cuenten con competencias necesarias en seguridad de la información y Ciberseguridad.

c) Fomentar la cultura de riesgo y conciencia de la necesidad de medidas apropiadas para su prevención.

7.2. Para el cumplimiento de las funciones indicadas en el párrafo 7.1, la empresa puede constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC). Para las empresas comprendidas en el régimen simplificado, que no cuenten con un Comité de Riesgos o un CSIC, las funciones antes indicadas son asignadas a la Gerencia General.

Artículo 8. función de seguridad de información y Ciberseguridad

8.1. Son responsabilidades de la función de seguridad de la información y ciberseguridad:

a) Proponer el Plan estratégico del SGSI-C y desarrollar los planes operativos.

b) Implementar y manejar las operaciones diarias necesarias para el funcionamiento efectivo del SGSI-C.

c) Implementar procesos de autenticación para controlar el acceso a la información y sistema que utilice la empresa, y a los servicios que provea.

d) Informar al Comité de Riesgos periódicamente sobre los riesgos que enfrenta la empresa en materia de seguridad de información y ciberseguridad.

e) Informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC, según los lineamientos que este establezca, y a las entidades gubernamentales que lo requieran de acuerdo con la normativa vigente.

f) Evaluar las amenazas de seguridad en las estrategias de continuidad del negocio que la empresa defina y proponer medidas de mitigación de riesgos, así como informar al Comité de Riesgos o CSIC.

g) En general realizar lo necesario para dar debido cumplimiento a lo dispuesto en el presente Reglamento.

8.2. Las empresas deben implementar la función de seguridad de la información y ciberseguridad. Además deben contar con un equipo de trabajo multidisciplinario de manejo de incidentes de ciberseguridad, el cual debe estar capacitado para implementar el plan y los procedimientos para gestionarlos, conformado por representantes de las áreas que permitan prever en ellos los aspectos legales, técnicos y organizacionales, de forma consistente con los requerimientos del programa de ciberseguridad establecidos en este Reglamento.

8.3. Las empresas comprendidas en el régimen simplificado, deben contar con una función de seguridad de la información y ciberseguridad, que cumpla por lo menos con los literales a), e), f) y g) del párrafo 8.1 del presente artículo.

Artículo 9. información a la superintendencia

Como parte de los informes periódicos sobre gestión del riesgo operacional requeridos por el Reglamento para la Gestión del Riesgo Operacional, las empresas deben incluir información sobre la gestión de la seguridad de la información y ciberseguridad.

Capítulo II.- Sistema de Gestión de Seguridad de la Información y Ciberseguridad  (SGSI-C)

Subcapítulo I.- Régimen General del Sistema de Gestión de Seguridad de la Información y Ciberseguridad. (SGSI-C)

Artículo 10. Objetivos y requerimientos del SGSI-C

Son objetivos del SGSI-C los siguientes:

1. Identificar los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos:

a) El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos.

b) Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales.

c) Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación.

d) Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa.

2. Revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el artículo 12 de este Reglamento y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información.

3. Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

Artículo 11. alcance del SGSI-C

El alcance del SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros, que estén bajo responsabilidad de la empresa, conforme a las disposiciones establecidas sobre subcontratación en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

Artículo 12. Medidas mínimas de seguridad de la información a adoptar por las empresas

Las empresas deben adoptar las siguientes medidas mínimas de seguridad de información:

1. Seguridad de los recursos humanos:

a) Implementar protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral.

b) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información.

2. Controles de acceso físico y lógico:

a) Prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota.

b) Implementar procedimientos de administración de accesos, lo que debe incluir a las cuentas de accesos con privilegios administrativos; asegurando una segregación de funciones para reducir el riesgo de error o fraude, siguiendo los principios de mínimo privilegio y necesidad de conocer.

c) Implementar procesos de autenticación para controlar el acceso a los activos de información; en particular, para el acceso a los servicios provistos a usuarios por canales digitales, los procesos de autenticación deben cumplir los requisitos establecidos en el Subcapítulo III del Capítulo II del presente Reglamento.

3. Seguridad en las operaciones:

a) Asegurar y prever el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información.

b) Mantener la operación de los sistemas informáticos acorde a procedimientos previamente establecidos.

c) Controlar los cambios en el ambiente operativo de sistemas, y mantener segregados los ambientes de desarrollo, pruebas y producción.

d) Implementar controles que aseguren la integridad de las transacciones que son ejecutadas en los servicios y sistemas informáticos.

e) Restringir la instalación de software en los sistemas operativos y prevenir la explotación de las vulnerabilidades de seguridad de la información.

f) Contar con protocolos de respuesta y recuperación ante incidentes de malware; generar y probar copias de respaldo de información, software y elementos que faciliten su restablecimiento.

g) Definir, implementar y mantener líneas base de configuración segura para el uso de dispositivos e implementación de sistemas informáticos.

h) Contar con una estrategia de copias de respaldo y procedimientos de restauración de información ante posibles incidentes, de origen interno o externo, que comprometa la disponibilidad de la información para las operaciones y del ambiente productivo del centro de procesamiento de datos.

4. Seguridad en las comunicaciones:

a) Implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta.

b) Asegurar que las redes de comunicaciones y servicios de red son gestionados y controlados para proteger la información.

c) Segregar los servicios de información disponibles, usuarios y sistemas en las redes de la empresa.

d) Implementar protocolos seguros y controles de seguridad para la transferencia de información, dentro de la organización y con partes externas.

e) Asegurar que el acceso remoto, el uso de equipos personales en la red de la empresa, dispositivos móviles y la interconexión entre redes propias y de terceros cuente con controles acorde a las amenazas de seguridad existentes.

5. Adquisición, desarrollo y mantenimiento de sistemas:

a) Implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que se procese y amenazas a las que se encuentren expuestos.

b) Asegurar que se incluyan prácticas de seguridad de la información en la planificación, desarrollo, implementación, operación, soporte y desactivación en las aplicaciones y sistemas informáticos.

c) Limitar el acceso a la modificación de librerías de programas fuente y mantener un estricto control de cambios.

d) Cuando la plataforma operativa sea cambiada, las aplicaciones críticas deben ser revisadas y probadas para evitar efectos adversos en la seguridad de estas.

e) Asegurar que se efectúen pruebas técnicas, funcionales y de seguridad de la información en los sistemas informáticos antes del pase a producción.

f) Implementar y verificar el cumplimiento de procedimientos que incluyan prácticas de desarrollo seguro de servicios y sistemas informáticos.

6. Gestión de incidentes de ciberseguridad:

a) Implementar procedimientos para la gestión de incidentes de ciberseguridad, de acuerdo a lo señalado en el párrafo 8.2 del artículo 8 del presente Reglamento; así también, intercambiar información cuando corresponda, conforme al artículo 16 del presente Reglamento.

b) Implementar una metodología para clasificar los incidentes de ciberseguridad y prever protocolos de respuesta y recuperación.

c) Contar con un servicio de operaciones de seguridad de la información, que incluya capacidades para la detección y respuesta, el monitoreo de comunicaciones en la red interna y el grado de funcionamiento de la infraestructura tecnológica.

d) Contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes, así como también a bases de conocimiento de técnicas y tácticas utilizadas por los agentes de amenazas.

e) Implementar mecanismos de reporte interno de incidentes de ciberseguridad, de acuerdo con lo señalado en el artículo 8 del presente Reglamento, y a la Superintendencia conforme al artículo 15 del presente Reglamento.

f) Identificar las posibles mejoras para su incorporación a la gestión de incidentes de ciberseguridad, luego de la ocurrencia de estos.

g) Preservar las evidencias que faciliten las investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información.

7. Seguridad física y ambiental

a) Implementar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa.

b) Adoptar medidas para evitar pérdida, daño, robo o compromiso de los activos de información y la interrupción de las operaciones, mediante la protección del equipamiento y dispositivos tomando en cuenta el entorno donde son utilizados.

8. Criptografía

a) Utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información, tanto cuando los datos asociados están en almacenamiento y en transmisión.

b) Implementar los procedimientos necesarios para administrar el ciclo de vida de las llaves criptográficas a utilizar.

9. Gestión de activos de información

a) Identificar los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó.

b) Asegurar que el nivel de protección y tratamiento de la información se realice acorde a su clasificación en términos de los requisitos legales, valor, criticidad y sensibilidad a la divulgación o modificación no autorizada.

c) Establecer medidas para evitar la divulgación, modificación, eliminación o destrucción no autorizadas de información, en el uso de dispositivos removibles.

Artículo 13. Actividades planificadas

En el marco del Plan estratégico del SGSI-C, la empresa debe mantener planes operativos, por lo menos para los siguientes fines:

a) Identificar los activos de información, clasificarlos, analizar las amenazas y vulnerabilidades asociadas a estos, y tomar medidas de tratamiento correspondientes.

b) Someter el SGSI-C a evaluaciones, revisiones y pruebas periódicas para determinar su efectividad, mediante servicios internos y externos, y en función al nivel de complejidad y amenazas sobre los activos de información asociados. En función a los resultados que obtenga, debe incorporar las mejoras o adoptar los correctivos.

c) Atender las necesidades de capacitación y difusión, según corresponda a los roles y funciones en la organización, en materia de seguridad de la información y ciberseguridad para asegurar la efectividad del SGSI-C.

d) Desarrollar el programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento.

e) Revisar periódicamente, y actualizar cuando corresponda, las políticas de seguridad de la información que se establezcan para implementar los requerimientos establecidos en el artículo 12 del presente Reglamento.

Subcapítulo II.- Ciberseguridad

Artículo 14. Programa de ciberseguridad

14.1 Toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.

14.2 El PG-C debe prever un diagnóstico y un plan de mejora sobre sus capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cuando menos lo siguiente:

a) Identificación de los activos de información.

b) Protección frente a las amenazas a los activos de información.

c) Detección de incidentes de ciberseguridad.

d) Respuesta con medidas que reduzcan el impacto de los incidentes.

e) Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.

Artículo 15. Reporte de incidentes de ciberseguridad significativos

15.1 La empresa debe reportar a la Superintendencia, en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de:

a) Pérdida o hurto de información de la empresa o de clientes.

b) Fraude interno o externo.

c) Impacto negativo en la imagen y reputación de la empresa.

d) Interrupción de operaciones.

15.2 La empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente.

15.3 La Superintendencia, mediante norma de carácter general, establece el contenido mínimo, formato y protocolos adicionales a utilizar en dicho reporte.

Artículo 16. intercambio de información de ciberseguridad

16.1 La empresa debe hacer los arreglos necesarios para contar con información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades.

16.2 Al intercambiar información relativa a ciberseguridad, la empresa puede suscribir acuerdos con otras empresas del sector o con terceros que resulten relevantes, de forma bipartita, colectiva o gremial, para lo cual definirán los criterios pertinentes.

16.3 Mediante norma de carácter general, la Superintendencia puede establecer requerimientos específicos para que se incorporen en el intercambio de información de ciberseguridad.

Subcapítulo III.- Autenticación

Artículo 17. Implementación de los procesos autenticación

17.1 La empresa debe implementar procesos de autenticación, conforme a la definición establecida en este Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales, previo a lo cual debe evaluar formalmente y tomar medidas sobre:

a) El o los factores de autenticación que serán requeridos.

b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.

c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.

d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.

e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

17.2 Los procesos de autenticación deben ser reevaluados siempre que la tecnología utilizada para su implementación deje de contar con el soporte del fabricante, o tras el descubrimiento de nuevas vulnerabilidades que pueden exponerlos.

17.3 La empresa debe mantener y proteger los registros detallados de lo actuado en cada enrolamiento de usuario, intento de autenticación y cada operación que requiera de autenticación previa.

17.4 La empresa debe contar con herramientas y procedimientos para implementar el monitoreo de transacciones que permita tomar medidas de reducción de la posibilidad de operaciones fraudulentas, que incorpore los escenarios de fraude ya conocidos, y el robo o compromiso de los elementos utilizados para la autenticación.

Artículo 18. Enrolamiento del usuario en servicios provistos por canal digital

18.1 El enrolamiento de un usuario en un canal digital requiere por lo menos:

a) Verificar la identidad del usuario y tomar las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que incluye el uso de dos factores independientes de categorías diferentes, según el literal j) del artículo 2 de este Reglamento.

b) Generar las credenciales y asignarlas al usuario.

18.2 La empresa debe gestionar el ciclo de vida de las credenciales que genere y asigne a sus usuarios, para lo cual debe prever los procedimientos para su activación, suspensión, reemplazo, renovación y revocación; así también, cuando corresponda, asegurar su confidencialidad e integridad.

Artículo 19. autenticación reforzada para operaciones por canal digital

Se requiere de autenticación reforzada para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente, como las operaciones a través de un canal digital que impliquen pagos o transferencia de fondos a terceros, registro de un beneficiario de confianza, modificación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, modificación de límites y condiciones, para lo cual se requiere:

a) Utilizar una combinación de factores de autenticación, según el literal j) del artículo 2 del presente Reglamento que, por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro.

b) Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez.

c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.

Artículo 20. Exenciones de autenticación reforzada para operaciones por canal digital

20.1 Están exentas del requisito de autenticación reforzada indicado en el artículo 19 del presente Reglamento, las siguientes operaciones realizadas por canal digital:

a) Las operaciones de pago, pagos periódicos o transferencia hacia un beneficiario registrado previamente por el usuario como beneficiario de confianza, como destinatario usual de dichas operaciones.

b) Las operaciones de pago, pagos periódicos o transferencias a cuentas en las que el cliente y el beneficiario sean la misma persona, sea natural o jurídica, y siempre que dichas cuentas se mantengan en la empresa.

20.2 Las operaciones de pago que presenten un nivel de riesgo de fraude bajo, como resultado de un análisis del riesgo en línea por operación, están exentas de la autenticación reforzada, siempre que la empresa cumpla con:

i. Implementar alguno de los estándares de la industria de pagos, EMV 3DS y tokenización de pagos EMV, en sus versiones más recientes.

ii. Definir el monto de umbral por operación por debajo del cual aplicará la exención por el citado análisis de riesgos.

iii. Medir periódicamente el ratio de fraude de las operaciones de pago por canal y tipo de operación.

iv. Actualizar periódicamente las reglas aplicables en el análisis de riesgo en función al indicador de riesgo de fraude.

v. Utilizar los datos que estén disponibles por cada tipo de operación, que incluye, pero no se limita a, los asociados al comportamiento del usuario, al medio utilizado y los que de este se pueda obtener para fines del análisis de riesgo.

20.3 Las operaciones no reconocidas por los clientes que hayan sido efectuadas en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales, son responsabilidad de la empresa, para lo cual deben implementar mecanismos que ante el repudio de la operación por parte del usuario garanticen su aplicación inmediata.

Artículo 21. Uso de API para la provisión de servicios en línea

21.1 El uso de interfaces de programación de aplicaciones, para proveer servicios para realizar operaciones, a través de servicios de terceros, requiere que se implementen las siguientes medidas:

a) Análisis de riesgos asociados e implementar las medidas de mitigación.

b) La autenticación mutua de los sistemas y la de los usuarios.

c) La autorización de las operaciones por parte de los usuarios.

d) El cifrado de datos en almacenamiento o transmisión.

e) Prácticas de desarrollo seguro de API y revisión de prácticas de codificación segura.

f) Análisis de vulnerabilidades y pruebas de penetración.

g) La seguridad de la infraestructura tecnológica que lo soporta.

h) Los mecanismos de tolerancia ante fallos y de contingencia.

i) Control de accesos en el entorno de datos, sistemas e infraestructura.

j) Monitoreo de eventos de seguridad de la información y gestión de estos cuando se constituyan en incidentes.

21.2 La empresa debe tomar como referencia estándares y marcos de referencia internacionales, y cuando sea factible adoptarlos en el marco de acuerdos gremiales o sectoriales, para la implementación del intercambio y encriptación de datos, así como la autenticación y la autorización de operaciones, sin que ello sea una lista restrictiva.

21.3 Las especificaciones técnicas de las API utilizadas deben encontrarse documentadas de forma que facilite su auditoría y la implementación necesaria para su uso.

21.4 Las empresas deben implementar las medidas necesarias para garantizar que el tercero autorizado por el usuario, acceda únicamente a la información indicada por este último.

Subcapítulo IV.- Provisión de Servicios por terceros

Artículo 22. Servicios provistos por terceros

En el caso de servicios provistos por terceros en aspectos referidos a gestión de tecnología de la información, a gestión de seguridad de la información o a procesamiento de datos, la empresa, además de cumplir con los requerimientos establecidos en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y el Reglamento para la Gestión de Riesgo Operacional debe:

a) Evaluar las amenazas y vulnerabilidades de seguridad de la información en la provisión de bienes y servicios e implementar medidas de tratamiento.

b) Asegurar que el arreglo contractual con el proveedor y su implementación le permiten cumplir con las obligaciones establecidas en el presente Reglamento.

c) Establecer los roles y responsabilidades que el proveedor asume contractualmente sobre la seguridad de la información y asegurar que la empresa efectúe las implementaciones complementarias correspondientes para la atención de los requerimientos del presente Reglamento.

Artículo 23. Uso de servicios en nube Para hacer uso de los servicios en nube, la empresa debe implementar políticas y procedimientos de seguridad de la información que sean de aplicación específica, que tome en cuenta un marco de buenas prácticas internacionales para el uso de estos servicios, y que además de los requerimientos del artículo 22 del Reglamento, incluya los siguientes aspectos:

a) Requerimientos de seguridad de la información que los servicios de nube deben cumplir y procedimientos para asegurar la implementación antes de su uso.

b) Lineamientos para segregación de redes que permita el aislamiento de la información de la empresa respecto a la de terceros en el entorno compartido del servicio en nube.

c) Evaluación de la disponibilidad de registro de eventos (log) que el proveedor de servicio en nube ofrece y atención de la necesidad de registros adicionales para el monitoreo de seguridad de la información.

d) Previsión de plan de capacitación para los niveles gerenciales, administradores de estos servicios, personal a cargo de su implementación y quienes hacen uso de ellos, sobre aquello necesario para el manejo de la seguridad de la información en estos.

Artículo 24. Servicios significativos de procesamiento de datos

24.1 La contratación de un servicio significativo provisto por terceros para el procesamiento de datos, incluido los servicios en nube, debe ser considerado como un cambio importante en el ambiente informático, siendo aplicable la definición de servicio significativo establecida en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y la normativa vigente asociada a nuevos productos y cambios importantes.

24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio significativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda:

a) Asegurar el acceso adecuado a la información, en tiempos razonables y a solo requerimiento, por parte de la Superintendencia, Auditoría Interna y la Sociedad de Auditoría Externa, en condiciones normales de operación y en regímenes especiales.

b) Gestionar los incidentes de seguridad de la información, conforme al numeral 6 del artículo 12 y de desarrollar las actividades planificadas previstas en el artículo 13 del presente Reglamento, en lo aplicable al servicio significativo de procesamiento de datos del que se trate.

c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor, de acuerdo a los tiempos objetivos de recuperación definidos por la empresa para dichos servicios. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor.

d) Mantener un inventario de los servicios que el proveedor, a su vez, contrata con terceros (contratación en cadena) y que se encuentren relacionados a los servicios contratados por la empresa.

e) Asegurar que la información de carácter confidencial en custodia del proveedor sea eliminada definitivamente ante la resolución del acuerdo contractual.

f) Verificar anualmente que el proveedor de servicios de procesamiento de datos cuenta con controles de seguridad de la información, conforme a la normativa vigente sobre seguridad de la información, en lo aplicable al servicio provisto. Ello puede ser sustentado mediante informes independientes y reportes de auditoría que incluyen en su alcance la verificación de

dichos controles.

g) Cuando se trate de servicios en nube, para cumplir con lo requerido en el literal previo, la empresa debe evidenciar anualmente que el proveedor mantiene vigente las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018, y que cuenta con un reporte SOC 2 tipo 2 u otros equivalentes, relevantes al servicio provisto y a la zona o región desde donde se provee el servicio.

24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) o h), del párrafo anterior; por lo menos treinta (30) días calendario antes de iniciar la provisión del procesamiento de datos.

Artículo 25. autorización para la contratación de servicio significativo de procesamiento de datos provisto por terceros desde el exterior

25.1 La empresa debe solicitar autorización de la Superintendencia, previo a la contratación de un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, en caso dicho servicio presente limitaciones para cumplir con los requerimientos establecidos en el párrafo 24.2 del artículo 24 del presente Reglamento, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles. Para solicitar dicha autorización las empresas deben presentar junto con su solicitud, un informe con los sustentos legales de las limitaciones identificadas y una propuesta de plan de implementación de las medidas compensatorias.

25.2 La autorización que conceda esta Superintendencia es específica al proveedor del servicio y, al país y ciudad desde el que se recibe, así como a las condiciones generales que fueron objeto de la autorización, por lo que de existir modificaciones en ellas y, de mantenerse la limitación citada en el párrafo previo, se requiere de un nuevo procedimiento de autorización ante la Superintendencia.

Subcapítulo V.- Régimen Simplificado del SGSI-C

Artículo 26. Sistema simplificado de gestión de seguridad de la información

26.1 El régimen simplificado de gestión de seguridad de la información requiere la planificación y ejecución de las siguientes actividades mínimas, cuya periodicidad por lo menos debe ser anual:

a) Identificar con las unidades de negocio y de apoyo, cuál es la información de mayor importancia, por las obligaciones normativas o contractuales existentes, y por la necesidad de operar.

b) Identificar los dispositivos que se conectan a la red interna y todo software que se encuentre instalado en la infraestructura tecnológica, y asegurar que se encuentren acorde a una configuración segura previamente establecida.

c) Identificar las cuentas de usuario con permisos de acceso habilitados y en particular las que poseen privilegios administrativos con posibilidad de adicionar software a la infraestructura, y mantener el principio de mínimos privilegios otorgados.

d) Implementar y mantener una línea base de seguridad en sistemas operativos y aplicaciones utilizadas, incluidos los correspondientes a dispositivos móviles, estaciones de trabajo, servidores y dispositivos de comunicaciones. Identificar y evaluar la habilitación de las funciones de seguridad integradas en los sistemas operativos.

e) Priorizar y gestionar las vulnerabilidades de seguridad identificadas, para cuya identificación oportuna debe contar con los servicios de información necesarios.

f) Desarrollar una campaña de orientación para la adopción de prácticas seguras dirigida a los empleados, plana gerencial y de dirección.

26.2 En caso la empresa provea alguna de las operaciones indicadas en el artículo 19 del presente Reglamento por canal digital, en lo que corresponda a su implementación, debe cumplir con las disposiciones establecidas en el Subcapítulo III del Capítulo II del presente Reglamento.

26.3 En caso utilice servicios significativos provistos por terceros, en lo que corresponda a su implementación, la empresa debe cumplir con las disposiciones establecidas en el Subcapítulo IV del Capítulo II del presente Reglamento.

26.4 La empresa debe mantener un programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento, con un alcance que por lo menos incluya los servicios indicados en los párrafos 26.2 y 26.3 del artículo 26 del presente Reglamento.

Subcapítulo VI.- Régimen reforzado del SGSI-C

Artículo 27. Requerimientos adicionales para empresa con concentración de mercado

27.1 El directorio debe designar a un director como responsable de velar por la efectividad del sistema de gestión de seguridad de la información, lo que incluye el desarrollo del plan estratégico del SGSI-C.

27.2 La empresa debe someter periódicamente a una evaluación independiente del alcance y la efectividad del SGSI-C; dicha evaluación podrá ser realizada por la unidad de auditoría interna u otro equipo que cumpla el requisito de independencia, siempre que posea experiencia previa y certificaciones internacionales que demuestren la preparación técnica necesaria.

Disposiciones Complementarias finales

Primera

La empresa puede contar con un marco para la gestión de los riesgos asociados a la seguridad de la información, que debe ser integrado en lo que corresponda en la gestión del riesgo operacional, conforme a los lineamientos establecidos en el artículo 22° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

Segunda

Los informes a los que se refieren los literales g) y h) del artículo 12°, y el artículo 27° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos deben incluir la evaluación de los riesgos asociados a la seguridad de la información.

Tercera

En caso de eventos que afecten la continuidad operativa y que tengan como causa probable un incidente de seguridad de la información, es aplicable lo señalado en el artículo 15 del Reglamento para la Gestión de la Continuidad del Negocio, aprobado por la Resolución SBS nº 877-2020, sobre reporte de eventos de interrupción significativa.

Cuarta

La aplicación del presente Reglamento se extiende a las empresas corredoras de seguros del segmento 1, según segmentación establecida en el artículo 36 del Reglamento para la Supervisión y Control de los Corredores y Auxiliares de Seguros aprobado por la Resolución SBS nº 809-2019, a dichas empresas les es exigible el párrafo 26.1 del artículo 26, Subcapítulo V, Capítulo II, del presente Reglamento.

Artículo segundo

Modificar el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus modificatorias, conforme a lo siguiente:

En el Anexo “Actividades Programadas”, sustituir el numeral 3 de la Sección I, el numeral 1 de la Sección II, el numeral 1 de la Sección III, el numeral 2 de la Sección IV, el numeral 3 de la Sección V y el numeral 1 de la Sección VI, conforme a los siguientes textos:

“I. Empresas señaladas en los literales A, B y C del artículo 16º de la Ley General (Excepto las empresas afianzadoras y de garantías), Banco de la Nación, Banco Agropecuario, Fondo Mivivienda y Corporación financiera de desarrollo (COFIDE).

(….)

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(….)”

“II. Empresas de seguros y/o de reaseguros

1) Evaluación de la gestión de los riesgos distintos a los riegos técnicos de seguros, que incluyen riesgo operacional, de mercado, de crédito, entre otros, y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(…)”

“III. Empresas de servicios complementarios y conexos

1) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad.

(…)”

“IV. Empresas Afianzadoras y de Garantías

(…)

2) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre seguridad de la información y Ciberseguridad.

(…)”

“V. Derramas y Cajas de Pensiones

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y Ciberseguridad;

(…)”

“VI. Administradoras privadas de Fondos de Pensiones (AFP)

1) Evaluación de la gestión del riesgo operacional y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio yd e seguridad de la información;

(…)”

Artículo Tercero

Modificar el literal b) del segundo párrafo del artículo 20° Informe sobre el sistema de control interno del Reglamento de Auditoría Externa, aprobado por Resolución SBS nº 17026-2010 y sus modificatorias, de acuerdo a lo siguiente al siguiente texto:

“Artículo 20°.- Informe sobre el sistema de control interno

(…)

b) Evaluación de los sistemas de información de la empresa en el ámbito de la auditoría externa, que incluye, entre otros, el flujo de información en los niveles internos de la empresa para su adecuada gestión, y la revisión selectiva de la validez de los datos contenidos en la información complementaria a los estados financieros (anexos y reportes) que presentan las empresas a esta Superintendencia, según las normas vigentes sobre la materia; donde deben precisarse los sistemas que fueron parte del alcance de dicha evaluación; ,y

(…)”

Artículo cuarto

Modificar el procedimiento nº 123 relativo a la “Autorización del Procesamiento Principal en el Exterior” por “Autorización para la contratación del servicio significativo de Procesamiento de Datos provisto por terceros desde el Exterior” e incorporar el procedimiento nº198 relativo a “Autorización para aplicar el Régimen Simplificado del Sistema de Gestión de la Seguridad de la Información y la Ciberseguridad” en el Texto Único de Procedimientos Administrativos de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, aprobado mediante Resolución nº 1678-2018, cuyo texto se anexa a la presente la presente resolución y se publica en el Portal Web institucional (www.sbs.gob.pe).

Artículo Quinto

Modificar el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 y sus modificatorias, de acuerdo a lo siguiente:

1. Incorporar en el Artículo 2 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 el siguiente texto:

“rr) Proveedor: tercero contratado para brindar bienes y/o servicios a una empresa, incluso bajo la modalidad de subcontratación. Las empresas que forman parte del mismo grupo económico que la empresa contratante también son consideradas como terceros.”

2. Modificar en el Artículo 2 Definiciones y/o referencias, el literal jj) Subcontratación, de acuerdo a lo siguiente:

“jj) Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.”

3. Sustituir el Capítulo IV, así como su referencia en el Índice de dicho Reglamento por “Bienes y/o Servicios Provistos por Terceros”, con el siguiente texto:

“Capítulo IV.- Bienes y/o Servicios Provistos por Terceros

Artículo 35.- Aspectos generales

35.1. Los bienes y/o servicios provistos por terceros son aquellos entregados a la empresa por parte de un proveedor.

35.2. En caso se trate de un bien y/o servicio que pudiera ser desarrollado por la empresa pero decide solicitarlo a través de un tercero, se configura la modalidad de subcontratación.

35.3. Los bienes y/o servicios significativos provistos por terceros son aquellos que, en caso de falla o suspensión, pueden poner en riesgo importante a la empresa al afectar sus ingresos, solvencia, continuidad operativa o reputación. En caso de que algún bien y/o servicio significativo sea provisto por un tercero bajo la modalidad de subcontratación, la subcontratación se considera significativa.

35.4. Un proveedor es considerado significativo cuando provee servicios significativos, se encuentre o no, bajo la modalidad de subcontratación.

Artículo 36.- Bienes y/o servicios provistos por terceros

36.1 Los riesgos asociados a la entrega de bien y/o servicios provistos por terceros deben ser gestionados como parte del marco de gestión integral de riesgos de la empresa.

36.2 La empresa es responsable de los resultados de los bienes y/o servicios provistos por terceros bajo la modalidad de subcontratación.

36.3 La empresa debe realizar una evaluación de los riesgos asociados a los servicios significativos provistos por terceros, ya sea que se encuentren o no bajo la modalidad de subcontratación. Dicha evaluación debe ser presentada al directorio para su aprobación.

36.4 En el caso de subcontratación significativa se debe contar con cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la unidad de auditoría interna, de la sociedad de auditoría externa, así como por parte de la Superintendencia o las personas que esta designe, en los contratos suscritos con los proveedores.

36.5 La subcontratación de las funciones de la gestión de riesgos es considerada como significativa para fines de este Reglamento.

36.6 Esta Superintendencia puede definir requisitos adicionales para algunos bienes y/o servicios específicos provistos por terceros.

artículo 37°.- Autorización para la contratación de bienes y/o servicios significativos provistos por terceros

La contratación de los siguientes bienes y/o servicios significativos requiere autorización previa de esta Superintendencia y debe sujetarse a lo establecido en las normas reglamentarias específicas:

a) La subcontratación significativa de auditoría interna, de acuerdo con lo establecido en el Reglamento de Auditoría Interna o norma que lo sustituya;

b) Otros que indique la Superintendencia mediante norma general.”

Artículo sexto

Modificar el Reglamento de Riesgo Operacional, aprobado por Resolución SBS nº 2116-2009, según se indica a continuación:

1. Sustituir el literal i del artículo 2 y el artículo 14, de acuerdo con el siguiente texto:

“Artículo 2.- Definiciones

(…)

i. Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.

(…)

2. Sustituir el artículo 14 de acuerdo con el siguiente texto:

“Artículo 14.- Bienes y/o servicios provistos por terceros

La empresa debe contar con políticas y procedimientos apropiados para gestionar los riesgos asociados a los servicios provistos por terceros, y contar con un registro de estos.

La empresa debe implementar un procedimiento para la identificación de aquellos proveedores significativos precisando los casos en los que se encuentren bajo la modalidad de subcontratación.

En los casos de servicios significativos, se encuentren o no bajo la modalidad de subcontratación, y de servicios subcontratados la empresa debe considerar los siguientes aspectos:

a) Implementar un proceso de selección del proveedor del servicio.

b) Contar con un contrato, el cual debe incluir acuerdos de niveles de servicio; establecer claramente las responsabilidades del proveedor y de la empresa; establecer la jurisdicción que prevalecerá en caso de conflicto entre las partes; e incorporar los niveles de seguridad de información requeridos.

c) Gestionar y monitorear los riesgos asociados a estos servicios.

d) Mantener un registro que debe contener como mínimo:

i) Nombre del proveedor

ii) Giro o actividad principal de negocio del proveedor

iii) Descripción o listado de los servicios provistos

iv) Países, regiones y/o zonas geográficas desde donde se provee el servicio a contratar

v) Niveles de servicio acordados para su provisión

vi) Si la subcontratación es o no considerada significativa por la empresa

vii) Fecha de inicio del servicio

viii) Fecha de última renovación, si corresponde

ix) Fecha de vencimiento del servicio o la próxima fecha de renovación del contrato, según corresponda”

Artículo Séptimo

Modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS nº 6523-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir los artículos 6 y 12, de acuerdo con el siguiente texto:

“Artículo 6.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito

Las tarjetas de crédito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de crédito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

En el caso de las tarjetas con soporte físico se debe incluir el nombre del usuario de la tarjeta de crédito; información de la que se puede prescindir siempre que la empresa cumpla con el Subcapítulo III del Capítulo II del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por Resolución SBS nº 504-2021.

El plazo de vigencia de las tarjetas de crédito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 12.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito

Las tarjetas de débito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de débito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.”

Artículo octavo

Modificar el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir el artículo 4, de acuerdo con el siguiente texto:

“Artículo 4.- Soportes para uso de dinero electrónico

Los soportes mediante los cuales se puede hacer uso del dinero electrónico pueden ser los siguientes:

a) Teléfonos móviles.

b) Tarjetas prepago.

c) Cualquier otro equipo o dispositivo electrónico, que cumpla los fines establecidos en la Ley

Estos dispositivos deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite el soporte mediante el cual se hace uso del dinero electrónico.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta (marca) al que pertenece, de ser el caso.

Dicha información debe ser mostrada en un espacio visible y de fácil acceso para el usuario.

Un mismo soporte puede ser utilizado y/o asociado para realizar transacciones con más de una cuenta de dinero electrónico.”

Artículo Noveno.- Plazos y Plan de adecuación

1. En un plazo que no debe exceder de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas deben presentar a la Superintendencia, un plan de adecuación al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución, previamente aprobado por el directorio, en el cual incluya:

a) un diagnóstico preliminar de la situación existente en la empresa;

b) las acciones previstas para la total adecuación al Reglamento;

c) los funcionarios responsables del cumplimiento de dicho plan; y

d) un cronograma de adecuación.

2. Las disposiciones señaladas en el Subcapítulo III del Capítulo II y la Tercera Disposición Complementaria Final del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución tienen un plazo de adecuación hasta el 1 de julio de 2022.

3. En un plazo no mayor a treinta (30) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas que cuenten con un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, cuyo marco legal aplicable impida o limite el cumplimiento de las medidas definidas en el párrafo 24.2 del artículo 24 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado en el Artículo Primero de la presente Resolución, deben remitir un informe que contenga:

i) las limitaciones presentadas, dicho informe debe contar con el sustento legal del impedimento de su aplicación y

ii) las medidas compensatorias.

Artículo Décimo.- Vigencia

La presente Resolución entra en vigencia el 1 de julio de 2021, fecha en la que se deroga la Circular G 140-2009, con excepción de lo siguiente:

a. Los párrafos 25.1 y 25.2 del artículo 25 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por el Artículo Primero, que entran en vigencia al día siguiente de publicada la presente Resolución, fecha en la cual se deroga el artículo 7A de la Circular G 140-2009.

b. El Artículo Segundo de la presente Resolución entra en vigencia a partir de la auditoría correspondiente al ejercicio 2022.

c. Los Artículos Séptimo, Octavo y Noveno de la presente Resolución, entran en vigencia al día siguiente de la publicación de la presente Resolución, con excepción de lo indicado en el inciso d. del presente Artículo.

d. El requerimiento asociado a la inclusión conjunta de la información sobre la denominación social de la empresa emisora y el nombre comercial que la empresa asigne al producto de tarjeta de crédito y/o débito, señalado en el Artículo Séptimo de la presente Resolución, así como el requerimiento asociado a la inclusión de la dicha información en los dispositivos de soporte al dinero electrónico, señalado en el artículo Octavo de la presente Resolución; entran en vigencia el 1 de enero de 2022.

Regístrese, comuníquese y publíquese.

SOCORRO HEYSEN ZEGARRA, Superintendenta de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones