Del Aguila | 1

Aprueban el Reglamento para la Gestión de la Seguridad de la

Información y la Ciberseguridad, modifican el Reglamento de
Auditoría Interna, el Reglamento de Auditoría Externa, el
TUPA de la SBS, el Reglamento de Gobierno Corporativo y de
la Gestión Integral de Riesgos, el Reglamento de Riesgo
Operacional, el Reglamento de Tarjetas de Crédito y Débito y
el Reglamento de Operaciones con Dinero Electrónico

RESOLUCIÓN SBS Nº 504-2021

Lima, 19 de febrero de 2021

LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE

PENSIONES CONSIDERANDO:

Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado

mediante la Resolución SBS N° 272-2017, incorpora disposiciones que tienen por finalidad que
las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo
adecuados;
Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la
Resolución SBS N° 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la
gestión efectiva del riesgo operacional;

Que, esta Superintendencia emitió la Circular G-140-2009 con la finalidad de establecer

criterios mínimos para una adecuada gestión de la seguridad de la información;
 Del Aguila | 2

Que, resulta necesario actualizar la proyecto de resolución sobre la materia en

normativa sobre gestión de seguridad de la el portal electrónico de la
información vía la aprobación de un Superintendencia, al amparo de lo
reglamento, complementario al dispuesto en el Decreto Supremo Nº 001-
Reglamento para la Gestión del Riesgo 2009-JUS;
Operacional, tomando en cuenta los
estándares y buenas prácticas
Con el visto bueno de las
internacionales sobre seguridad de la
información, entre los que se encuentran Superintendencias Adjuntas
los publicados por el National Institute of de Banca y Microfinanzas,
Standards and Technology y la familia de de Administradoras
estándares ISO/IEC; Privadas de Fondos

Que, la creciente interconectividad y mayor

adopción de canales digitales para la ARTICULOS
provisión de los servicios, así como la
virtualización de algunos productos, del
sistema financiero, de seguros y privado de Artículo Primero.- Aprobar el Reglamento
pensiones, hace necesario que las para la Gestión de la Seguridad de la
empresas de dichos sistemas supervisados Información y la Ciberseguridad, según se
fortalezcan sus capacidades de indica a continuación:
ciberseguridad y procesos de
autenticación; Artículo 1. Alcance
1.1. El presente Reglamento es de
aplicación a las empresas señaladas en los
Que, asimismo, es necesario modificar el artículos 16 y 17 de la Ley General, así
Reglamento de Tarjetas de Crédito y como a las Administradoras Privadas de
Débito, aprobado por la Resolución SBS Nº Fondos de Pensiones (AFP), en adelante
6523-2013 y normas sus modificatorias; el empresas, al igual que las referidas en los
Reglamento de Operaciones con Dinero párrafos 1.2 y
Electrónico aprobado por Resolución SBS
N° 6283-2013 y sus normas modificatorias;
el Reglamento de Auditoría Interna, 1.2. También es de aplicación al Banco de
aprobado por la Resolución SBS Nº 11699- la Nación, al Banco Agropecuario, a la
2008 y sus normas modificatorias; así como Corporación Financiera de Desarrollo
el Reglamento de Auditoría Externa, (COFIDE), al Fondo MIVIVIENDA S.A., y a las
aprobado por la Resolución SBS Nº 17026- Derramas y Cajas de Beneficios bajo
2010 y sus normas modificatorias; control de la Superintendencia, en tanto no
se contrapongan con las normativas
específicas que regulen el accionar de
Que, para recoger las opiniones del dichas instituciones.
público, se dispuso la prepublicación del
 Del Aguila | 3

1.3. Es de aplicación a las personas, dispositivos y l) Incidente: Evento que

empresas corredoras de sistemas informáticos. se ha determinado que
seguros de acuerdo con lo f) Credencial: Conjunto de tiene un impacto adverso
dispuesto en la Cuarta datos que es generado y sobre la organización y
Disposición asignado a una entidad o que requiere de acciones
Complementaria Final del un usuario para fines de de respuesta y
presente Reglamento. autenticación. recuperación.
g) Directorio: Directorio u m) Información: Datos
órgano equivalente. que pueden ser
Artículo 2. Definiciones h) Entidad: Usuario, procesados, distribuidos,
Para efectos de la dispositivo o sistema almacenados y
aplicación del presente informático que tiene una representados en
Reglamento deben identidad en un sistema, cualquier medio
considerarse las lo cual la hace separada y electrónico, digital,
siguientes definiciones: distinta de cualquier otra óptico, magnético,
d) Canal digital: Medio en dicho sistema.
empleado por las i) Evento: Un suceso o
empresas para proveer serie de sucesos que
servicios cuyo puede ser interno o
almacenamiento, externo a la empresa,
procesamiento y originado por la misma impreso u otros, que son
transmisión se realiza causa, que ocurre durante el elemento fundamental
mediante la el mismo periodo de de los activos de
representación de datos tiempo, según lo definido información.
en bits. en el Reglamento de n) Interfaz de
e) Ciberseguridad: Protec Gobierno Corporativo y programación de
ción de los activos de Gestión Integral de aplicaciones: Colección de
información mediante la Riesgos. métodos de invocación y
prevención, detección, j) Factores de parámetros asociados que
respuesta y recuperación autenticación de puede utilizar un software
ante incidentes que usuario: Aquellos factores para solicitar acciones de
afecten su disponibilidad, empleados para verificar otro software, lo que
confidencialidad o la identidad de un define los términos en
integridad en el usuario, que pueden que estos intercambian
ciberespacio; el que corresponder a las datos. También conocido
consiste a su vez en un siguientes categorías: como API, por sus siglas
- Algo que solo el usuario en inglés.
conoce. o) Servicios en
- Algo que solo el usuario nube: Servicio de
posee. procesamiento de datos
provisto mediante una
- Algo que el usuario es, infraestructura
que incluye las tecnológica que permite
características el acceso de red a
biométricas. conveniencia y bajo
demanda, a un conjunto
k) Identidad: Una
sistema complejo que no compartido de recursos
colección de atributos
tiene existencia física, en informáticos
que definen de forma
el que interactúan configurables que se
exclusiva a una entidad.
pueden habilitar y
 Del Aguila | 4

suministrar rápidamente, gestión o interacción con los proveedores de

con mínimo esfuerzo de servicios.

p) Reglamento: Reglamento para la Gestión de la Seguridad de la Información y la

Ciberseguridad.
q) Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos: Reglamento de
Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por la Resolución SBS Nº
272-2017 y sus normas modificatorias.
r) Reglamento para la Gestión de Riesgo Operacional: Reglamento para la Gestión de Riesgo
Operacional, aprobado por la Resolución SBS Nº 2116-2009 y sus normas modificatorias.
s) Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de
Fondos de Pensiones.
t) Procesamiento de datos: El conjunto de procesos que consiste en la recolección, registro,
organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso,
transferencia, difusión, borrado o destrucción de datos.
u) Usuario: persona natural o jurídica que utiliza o puede utilizar los productos ofrecidos por
las empresas.
v) Vulnerabilidad: Debilidad que expone a los activos de información ante amenazas que
pueden originar incidentes con afectación a los mismos activos de información, y a otros de los
que forma parte o con los que interactúa.
Artículo 3. Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C)
3.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el
conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para
identificar y proteger los activos de información, detectar eventos de seguridad, así como
prever la respuesta y recuperación ante incidentes de ciberseguridad.
3.2. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) implica,
cuando menos, los siguientes objetivos:
a) Confidencialidad: La información sólo es disponible para entidades o procesos autorizados,
incluyendo las medidas para proteger la información personal y la información propietaria;
b) Disponibilidad: Asegurar acceso y uso oportuno a la información; e,
c) Integridad: Asegurar el no repudio de la información y su autenticidad, y evitar su
modificación o destrucción indebida.
Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y
ciberseguridad (SGSI-C)
4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la
empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.
4.2. Las disposiciones descritas en el Capítulo II, Subcapítulos I, II, III y IV del presente
Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen General):
a) Empresa Bancaria;
b) Empresa Financiera;
c) Caja Municipal de Ahorro y Crédito - CMAC;
d) Caja Municipal de Crédito Popular - CMCP;
e) Caja Rural de Ahorro y Crédito - CRAC;
f) Empresa de Seguros y/o Reaseguros, conforme a lo dispuesto en el párrafo 4.4;
 Del Aguila | 5

g) Empresa de Transporte, Custodia y Administración de Numerario;

h) Administradora Privada de Fondos de Pensiones;
i) Empresa Emisora de Tarjetas de Crédito y/o de Débito;
j) Empresa Emisora de Dinero Electrónico; y
k) El Banco de la Nación.
4.3. Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de
aplicación obligatoria a las siguientes empresas (Régimen Simplificado):
a) Banco de Inversión;
b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4;
c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;
d) Empresa de Transferencia de Fondos;
e) Derrama y Caja de Beneficios bajo control de la Superintendencia;
f) La Corporación Financiera de Desarrollo –COFIDE;
g) El Fondo MIVIVIENDA S.A.;
h) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI;
i) El Banco Agropecuario; y,
j) Almacenes Generales.

a) Activo de información: Información o b) Amenaza: Evento que puede afectar

soporte en que ella reside, que es adversamente la operación de las
gestionado de acuerdo con las necesidades empresas y sus activos de información,
de negocios y los requerimientos legales, mediante el aprovechamiento de una
de manera que puede ser entendida, vulnerabilidad.
compartida y usada. Es de valor para la c) Autenticación: Para fines de esta norma,
empresa y tiene un ciclo de vida. es el proceso que permite verificar que una
entidad es quien dice ser, para lo cual hace
uso de las credenciales que se le asignan.
La autenticación puede usar uno, dos o más
factores de autenticación independientes,
de modo que el uso sin autorización de uno
de ellos no compromete la fiabilidad o el
acceso a los otros factores.

4.4. Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los
últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el
Régimen General del presente Reglamento.
4.5. Las empresas señaladas en el Artículo 1, no listadas en los párrafos 4.2 o 4.3 anteriores del
presente Reglamento, podrán establecer un sistema de gestión de seguridad de la información
y ciberseguridad (SGSI-C) conforme a las disposiciones de este Reglamento.
 Del Aguila | 6

4.6. En caso las empresas del Sistema Financiero listadas en el párrafo 4.2 encuentren
limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización
para la aplicación del Régimen Simplificado del presente Reglamento, para lo cual deben
presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la
naturaleza

Artículo 7. Funciones del comité de riesgos

7.1 Adicionalmente a las funciones que se han dispuesto que el Comité de Riesgos de las
empresas asuman por parte de la normativa de la Superintendencia, se encuentran las
siguientes vinculadas a la seguridad de la información y ciberseguridad:
a) Aprobar el plan estratégico del SGSI-C y recomendar acciones a seguir.
b) Aprobar el plan de capacitación a fin de garantizar que el personal, la plana gerencial y el
directorio cuenten con competencias necesarias en seguridad de la información y
Ciberseguridad.
c) Fomentar la cultura de riesgo y conciencia de la necesidad de medidas apropiadas para
su prevención.
7.2. Para el cumplimiento de las funciones indicadas en el párrafo 7.1, la empresa puede
constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC).
Para las empresas comprendidas en el régimen simplificado, que no cuenten con un Comité de
Riesgos o un CSIC, las funciones antes indicadas son asignadas a la Gerencia General.
Artículo 8. Función de Seguridad de Información y Ciberseguridad
8.1. Son responsabilidades de la función de seguridad de la información y ciberseguridad:
a) Informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC,
según los lineamientos que este establezca, y a las entidades gubernamentales que lo
requieran de acuerdo con la normativa vigente.
b) Evaluar las amenazas de seguridad en las estrategias de continuidad del negocio que la
empresa defina y proponer medidas de mitigación de riesgos, así como informar al Comité de
Riesgos o CSIC.
8.2. Las empresas deben implementar la función de seguridad de la información y
ciberseguridad. Además deben contar con un equipo de trabajo multidisciplinario de manejo
de incidentes de ciberseguridad, el cual debe estar capacitado para implementar el plan y los
procedimientos para gestionarlos, conformado por representantes de las áreas que permitan
prever en ellos los aspectos legales, técnicos y organizacionales, de forma consistente con los
requerimientos del programa de ciberseguridad establecidos en este Reglamento.
8.3. Las empresas comprendidas en el régimen simplificado, deben contar con una función
de seguridad de la información y ciberseguridad, que cumpla por lo menos con los literales a),
e), f) y g) del párrafo 8.1 del presente artículo.
 Del Aguila | 7

o
lm
ip
r
en
sz
E
Ió
C
fR
td
aéP
-),j
G
S
v
ti
.y
u
g
b
c
q

REFERENCIAS

Belling, M. A. (2021, 24 febrero). Reglamento para la Gestión de la Seguridad de la

Información y la Ciberseguridad (Resolución SBS N o 504–2021). [Link].

[Link]

informacion-y-la-ciberseguridad-resolucion-sbs-no-504-2021/

Carmona, E. (2021, 24 marzo). Resolución No 504–2021. SBS emite un reglamento para

la Gestión de la Seguridad de la Información y la Ciberseguridad. Calidar.

[Link]