Reglamento para la Administración del Riesgo Tecnológico Reglamento

Res. No.
[Link]-104-2021
JM-104-2021

JUNTA MONETARIA
RESOLUCIÓN JM-104-2021

Inserta en el punto primero del acta 50-2021, correspondiente a la sesión

extraordinaria celebrada por la Junta Monetaria el 26 de noviembre de 2021.

PUNTO PRIMERO: Superintendencia de Bancos eleva a consideración de la

Junta Monetaria el proyecto de Reglamento para la Administración del Riesgo
Tecnológico.

RESOLUCIÓN JM-104-2021. Conocido el oficio número 10212-2021, del 3 de

noviembre de 2021, del Superintendente de Bancos, al que se adjunta dictamen
número 16-2021, de la Superintendencia de Bancos, por medio del cual se eleva a
consideración de esta junta el proyecto de Reglamento para la Administración del
Riesgo Tecnológico.

LA JUNTA MONETARIA:

CONSIDERANDO: Que el artículo 55 de la Ley de Bancos y Grupos Financieros

establece que los bancos y las empresas que integran grupos financieros deberán
contar con procesos integrales que incluyan, entre otros, la administración del
riesgo operacional, del cual forma parte el riesgo tecnológico, que contengan
sistemas de información y un comité de gestión de riesgos, todo ello con el
propósito de identificar, medir, monitorear, controlar y prevenir los riesgos;
CONSIDERANDO: Que esta junta mediante resolución JM-102-2011, del 17 de
agosto de 2011, emitió el Reglamento para la Administración del Riesgo
Tecnológico, a efecto de normar los aspectos que, como mínimo, deben observar
los bancos, las sociedades financieras, las entidades fuera de plaza o entidades off
shore y las empresas especializadas en servicios financieros que forman parte de
un grupo financiero para la administración del riesgo tecnológico, incluyendo el
establecimiento de políticas y procedimientos, las responsabilidades del Consejo
de Administración, del Comité de Gestión de Riesgos, de la Unidad de
Administración de Riesgos, aspectos sobre la infraestructura de tecnología de la
información, sistemas de información, bases de datos y servicios de tecnología de
la información, así como lo relativo al procesamiento de información;
CONSIDERANDO: Que el desarrollo a nivel mundial de la tecnología y las
telecomunicaciones ha generado mayor rapidez y facilidad para el tratamiento e
intercambio de datos, surgiendo nuevos tipos de servicios y modelos de
procesamiento y/o almacenamiento de información; lo cual, conlleva un incremento
del riesgo tecnológico por la existencia de amenazas cibernéticas que ponen en
riesgo los activos de la información; CONSIDERANDO: Que las entidades del
sistema financiero supervisado para la realización de sus actividades y prestación
de servicios dependen del uso de tecnologías de la información y
telecomunicaciones, por lo que se hace necesario gestionar el riesgo tecnológico
para asegurar la integridad, disponibilidad, confidencialidad de la información, así
como la continuidad de la prestación de sus servicios; CONSIDERANDO: Que
dada la evolución del mercado financiero guatemalteco, el surgimiento de nuevas
tecnologías, las mejores prácticas internacionales, así como la gestión del riesgo
por parte de las entidades, es conveniente adecuar la regulación relativa al
procesamiento y/o almacenamiento de información con el objeto que las
instituciones puedan utilizar nuevas tecnologías junto a una correcta mitigación del
riesgo; CONSIDERANDO: Que según se indica en el dictamen número 16-2021,
de la Superintendencia de Bancos, luego de la revisión del actual reglamento, del
análisis de los estándares internacionales, la normativa internacional y de las
mejores prácticas internacionales se concluye que es necesario y oportuno, por
certeza y seguridad jurídica, emitir un nuevo Reglamento para la Administración del
Riesgo Tecnológico, a efecto de fortalecer las políticas y procedimientos

1
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

relacionadas con el procesamiento y/o almacenamiento de la información,

incluyendo lo relativo a la contratación de servicios con terceros; contar con copias
de respaldo de la información crítica de la institución, en infraestructura dentro del
territorio nacional; robustecer lo relativo al plan de recuperación ante desastres,
especialmente en cuanto a los procesos y servicios críticos, enfatizando en estos
últimos cuando los mismos sean contratados con terceros; y, adecuar lo
concerniente al centro de cómputo alterno, adicionando aspectos referidos a la
información crítica, así como de los servicios críticos que procesen y/o almacenen
información fuera del territorio nacional o contratados con terceros,

POR TANTO:

Con base en lo considerado, y con fundamento en lo dispuesto en los artículos 26,

incisos l y m, y 64 de la Ley Orgánica del Banco de Guatemala; 55, 56, 57 y 129 de
la Ley de Bancos y Grupos Financieros; y tomando en cuenta el oficio número
10212-2021 y el dictamen número 16-2021, ambos de la Superintendencia de
Bancos,

RESUELVE:

1. Emitir, conforme anexo a la presente resolución, el Reglamento para la

Administración del Riesgo Tecnológico.

2. Derogar la resolución JM-102-2011.

3. Autorizar a la secretaría de esta junta para que publique la presente

resolución en el diario oficial y en otro periódico, la cual entrará en vigencia
el día de su publicación.

Romeo Augusto Archila Navarro

Secretario
Junta Monetaria

Publicada en el Diario de Centro América el 1 de diciembre de 2021

2
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

ANEXO A LA RESOLUCIÓN JM-104-2021

REGLAMENTO PARA LA ADMINISTRACIÓN DEL RIESGO TECNOLÓGICO

CAPÍTULO I
DISPOSICIONES GENERALES

Artículo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos
mínimos que los bancos, las sociedades financieras, las entidades fuera de plaza
o entidades off shore y las empresas especializadas en servicios financieros que
forman parte de un grupo financiero, deberán cumplir para administrar el riesgo
tecnológico.
Artículo 2. Definiciones. Para los efectos de este reglamento se establecen las
definiciones siguientes:
Activos en el ciberespacio: son los sistemas de información, infraestructura de
TI, bases de datos, redes, datos o elementos de la institución que están
interconectados a Internet o a otra red externa a la institución.
Administración del riesgo tecnológico: es el proceso que consiste en identificar,
medir, monitorear, controlar, prevenir y mitigar el riesgo tecnológico.
Almacenamiento de información: utilización de servicios de cómputo para
mantener, conservar y resguardar datos.
Certificado digital: es un identificador único que garantiza la identidad del emisor
y del receptor de un mensaje o transacción electrónica, la confidencialidad del
contenido del envío, la integridad de la transacción, y el no repudio de los
compromisos adquiridos por vía electrónica.
Ciberamenaza: es una circunstancia, situación, evento o acto con el potencial de
convertirse en un ciberataque.
Ciberataque: es un evento con la intención de causar daño en uno o varios activos
en el ciberespacio de la institución.
Ciberseguridad: políticas, estrategias, recursos, soluciones informáticas, prácticas
y competencias para preservar la confidencialidad, integridad y disponibilidad de
los activos en el ciberespacio.
Criticidad de la información: se refiere a la clasificación de la información en
diferentes niveles considerando la importancia que esta tiene para la operación del
negocio, de acuerdo con los manuales de administración de riesgos de la
institución.
Diagrama de relación: es la representación gráfica que describe la distribución de
datos almacenados en las bases de datos de la institución y la relación entre estos,
tales como los diagramas de entidad-relación para el caso de bases de datos del
tipo relacional.
Diccionario de datos: es la documentación relativa a las especificaciones de los
datos, tales como su identificación, descripción, atributos, el dominio de valores,
restricciones de integridad y ubicación dentro de una base de datos.
Incidente cibernético: es un ciberataque que vulneró de forma individual o
conjunta la confidencialidad, integridad y/o disponibilidad de la información.
Infraestructura de tecnología de la información o infraestructura de TI: es el
hardware, software, redes, instalaciones y otros elementos que se requieren para
desarrollar, probar, entregar, monitorear, controlar o dar soporte a los servicios de
tecnología de la información. La infraestructura de TI excluye al recurso humano,
los procesos y la documentación.

3
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

Institución o instituciones: se refiere a los bancos, las sociedades financieras,

las entidades fuera de plaza o entidades off shore y las empresas especializadas
en servicios financieros que forman parte de un grupo financiero.
Procesamiento de información: utilización de servicios de cómputo para el
tratamiento electrónico de datos.
Proveedor de servicios que procesan y/o almacenan información: entidad que
de forma directa presta servicios que procesan y/o almacenan información.
Pruebas de penetración: someter un sistema o red a ciberataques simulados o
reales que traten de detectar, identificar o explotar vulnerabilidades cibernéticas en
condiciones controladas.
Resiliencia cibernética: la capacidad de la institución para adaptarse a las
condiciones cambiantes y prepararse para resistir, responder y recuperarse
rápidamente de un ciberataque.
Riesgo tecnológico: es la contingencia de que la interrupción, alteración, o falla
de la infraestructura de TI, sistemas de información, bases de datos y procesos de
TI, provoquen pérdidas a la institución.
Sensibilidad de la información: clasificación de la información según el perjuicio
que ocasione a la institución su alteración, destrucción, pérdida o divulgación no
autorizada.
Sistemas de información: es el conjunto organizado de datos, procesos y
personas para obtener, procesar, almacenar, transmitir, comunicar y disponer de
la información en la institución para un objetivo específico.
Subcontratista de servicios que procesan y/o almacenan información: entidad
que es contratada por el proveedor o vendedor de servicios que procesan y/o
almacenan información, para ofrecer algún servicio o parte de servicio relacionada
a esta.
Tecnología de la información o TI: es el uso de la tecnología para obtener,
procesar, almacenar, transmitir, comunicar y disponer de la información, para dar
viabilidad a los procesos del negocio.
Vendedor de servicios que procesan y/o almacenan información: entidad que
realiza la comercialización de servicios que procesan y/o almacenan información
prestados por un tercero de forma directa.
Vulnerabilidad cibernética: debilidad de uno o varios activos en el ciberespacio o
control que puede ser explotado por una ciberamenaza.

CAPÍTULO II
ORGANIZACIÓN PARA LA ADMINISTRACIÓN DEL RIESGO TECNOLÓGICO

Artículo 3. Políticas y procedimientos. Las instituciones deberán establecer e

implementar políticas y procedimientos que les permitan realizar permanentemente
una adecuada administración del riesgo tecnológico de la institución, considerando
la naturaleza, complejidad y volumen de sus operaciones.
Dichas políticas y procedimientos deberán comprender, como mínimo, las
metodologías, herramientas o modelos de medición del riesgo tecnológico, así
como los aspectos que se detallan en los capítulos del III al VII de este reglamento
y agruparse en los temas siguientes:
a) Infraestructura de TI, sistemas de información, bases de datos y servicios de
TI;

4
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

b) Seguridad de tecnología de la información;

c) Ciberseguridad;
d) Plan de recuperación ante desastres; y,
e) Procesamiento y/o almacenamiento de información.
En adición a los aspectos indicados, las instituciones deberán establecer políticas
para elaborar, implementar y actualizar el plan estratégico de TI a que se refiere el
artículo 7 de este reglamento.
Artículo 4. Responsabilidad del Consejo de Administración. El Consejo de
Administración o quien haga sus veces, en lo sucesivo el Consejo, sin perjuicio de
las responsabilidades que le asignan otras disposiciones legales aplicables, es el
responsable de velar porque se implemente e instruir para que se mantenga en
adecuado funcionamiento y ejecución la administración del riesgo tecnológico.
Para cumplir con lo indicado en el párrafo anterior el Consejo como mínimo deberá:
a) Aprobar las políticas y procedimientos a que se refiere el artículo anterior, el
plan estratégico de TI, el plan de recuperación ante desastres, así como
conocer y resolver sobre las propuestas de actualización y autorizar las
modificaciones respectivas;
b) Conocer los reportes que le remita el Comité de Gestión de Riesgos sobre la
exposición al riesgo tecnológico, los cambios sustanciales de tal exposición y
su evolución en el tiempo, así como las medidas correctivas adoptadas;
c) Conocer los reportes sobre el nivel de cumplimiento de las políticas y
procedimientos aprobados, así como las propuestas sobre acciones a adoptar
con relación a los incumplimientos. Asimismo, en caso de incumplimiento el
Consejo deberá adoptar las medidas que correspondan, sin perjuicio de las
sanciones legales que el caso amerite; y,
d) Designar a un Oficial de Seguridad de la Información de la institución, quien
formará parte del Comité de Gestión de Riesgos o dependerá directamente de
este Consejo.
Lo indicado en este párrafo deberá hacerse constar en el acta respectiva.
Artículo 5. Comité de Gestión de Riesgos. El Comité de Gestión de Riesgos, en
lo sucesivo el Comité, estará integrado como mínimo por un miembro del Consejo
y por las autoridades y funcionarios que dicho Consejo designe. El Comité estará
a cargo de la dirección de la administración del riesgo tecnológico, entre otros
riesgos, para lo cual deberá encargarse de la implementación, adecuado
funcionamiento y ejecución de las políticas y procedimientos aprobados para dicho
propósito y tendrá las funciones siguientes:
a) Proponer al Consejo, para su aprobación, las políticas y procedimientos para
la administración del riesgo tecnológico, así como el plan estratégico de TI y
el plan de recuperación ante desastres;
b) Proponer al Consejo el manual de administración del riesgo tecnológico y sus
actualizaciones;
c) Analizar las propuestas sobre actualización de las políticas, procedimientos,
plan estratégico de TI, plan de recuperación ante desastres y su plan de
pruebas, y proponer al Consejo las actualizaciones que procedan;
d) Definir la estrategia para la implementación de las políticas y procedimientos
aprobados para la administración del riesgo tecnológico y su adecuado
cumplimiento;

5
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

e) Revisar, al menos anualmente, las políticas y procedimientos y proponer la

actualización, cuando proceda;
f) Analizar los reportes que le remita la Unidad de Administración de Riesgos, a
que se refiere el artículo 6 de este reglamento, sobre la exposición del riesgo
tecnológico de la institución, los cambios sustanciales de tal exposición y su
evolución en el tiempo, así como adoptar las medidas correctivas
correspondientes;
g) Analizar la información que le remita la Unidad de Administración de Riesgos
sobre el cumplimiento de las políticas y procedimientos aprobados, así como
evaluar las causas de los incumplimientos que hubieren, y proponer al
Consejo acciones a adoptar con relación a dichos incumplimientos;
h) Reportar al Consejo, al menos semestralmente y cuando la situación lo
amerite, sobre la exposición al riesgo tecnológico de la institución, los cambios
sustanciales de tal exposición, su evolución en el tiempo, las principales
medidas correctivas adoptadas y el cumplimiento de las políticas y
procedimientos aprobados; e,
i) Otras funciones relacionadas que le asigne el Consejo.
Las sesiones y acuerdos del Comité deberán constar en acta suscrita por quienes
intervinieron en la sesión.
El Consejo deberá asegurarse que la estructura organizacional para administrar TI
permita asesorar al Comité en los aspectos relacionados con el riesgo tecnológico.
Artículo 6. Unidad de Administración de Riesgos. La Unidad de Administración
de Riesgos, en lo sucesivo la Unidad, apoyará al Comité en la administración del
riesgo tecnológico, para lo cual tendrá las funciones siguientes:
a) Proponer al Comité políticas y procedimientos para la administración del
riesgo tecnológico, así como el plan estratégico de TI, el plan de recuperación
ante desastres y su plan de pruebas;
b) Revisar, al menos anualmente y cuando la situación lo amerite, las políticas,
los procedimientos, el plan estratégico de TI, y para los procesos críticos, el
plan de recuperación ante desastres y su plan de pruebas, y proponer su
actualización al Comité, atendiendo los cambios en la estrategia o situación
de la institución o cuando lo requiera la normativa;
c) Monitorear la exposición al riesgo tecnológico y mantener registros históricos
sobre dicho monitoreo, así como medir el riesgo tecnológico, considerando lo
establecido en este reglamento;
d) Analizar el riesgo tecnológico inherente de las innovaciones en TI que se
implementen en la institución y el que se derive de los nuevos productos y
servicios propuestos por las unidades de negocios;
e) Reportar al Comité, al menos trimestralmente y cuando la situación lo amerite,
sobre la exposición al riesgo tecnológico de la institución, los cambios
sustanciales de tal exposición y su evolución en el tiempo, así como proponer
al Comité las medidas correctivas correspondientes;
f) Verificar e informar al Comité, al menos trimestralmente y cuando la situación
lo amerite, sobre el nivel de cumplimiento de las políticas y procedimientos
aprobados;
g) Identificar las causas del incumplimiento de las políticas y procedimientos
aprobados, determinar si los mismos se presentan en forma reiterada e incluir
sus resultados en el informe indicado en el inciso f) anterior y proponer las

6
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

medidas correctivas, debiendo mantener registros históricos sobre tales

incumplimientos; y,
h) Otras funciones relacionadas que le asigne el Comité.
El Consejo deberá asegurarse que la estructura organizacional para administrar TI
permita apoyar a la Unidad en los aspectos relacionados con el riesgo tecnológico.
Artículo 7. Plan estratégico de TI. Las instituciones, como parte de su plan
estratégico general, deberán tener un plan estratégico de TI alineado con la
estrategia de negocios, para gestionar la infraestructura de TI, los sistemas de
información, la base de datos y al recurso humano de TI.
El plan estratégico de TI debe incluir, como mínimo, los aspectos siguientes:
a) Objetivos de TI alineados con la estrategia de negocios en función del análisis
e impacto de factores internos y externos en esta materia, tales como
oportunidades, limitaciones y desempeño de la infraestructura de TI, los
sistemas de información, la base de datos, el recurso humano relacionado y
los activos en el ciberespacio de la institución;
b) Estrategias de TI, para la consecución de los objetivos;
c) Proyectos y actividades específicas; y,
d) El presupuesto financiero para su ejecución.
Las instituciones deberán poner a disposición de la Superintendencia de Bancos el
plan estratégico de TI y sus modificaciones, cuando ésta lo requiera.
Las nuevas instituciones que se constituyan o se autorice su funcionamiento
deberán remitir una copia del plan estratégico de TI a que se refiere este artículo,
a la Superintendencia de Bancos, antes del inicio de sus operaciones.
Artículo 8. Organización de TI. Las instituciones deberán contar con una
estructura organizacional de TI que esté alineada con el plan estratégico,
asegurándose que el recurso humano de TI tenga las capacidades necesarias
mediante programas de entrenamiento y capacitación, una adecuada separación
de funciones, delegación de autoridad, definición de roles y asignación de
responsabilidades, todo esto soportado con un marco de trabajo estructurado en
procesos, los cuales deberán estar debidamente identificados.
Artículo 9. Manual de administración del riesgo tecnológico. Las políticas y
procedimientos a que se refiere el artículo 3 de este reglamento deberán constar
por escrito en un manual de administración del riesgo tecnológico que será
aprobado por el Consejo.
El Consejo conocerá y resolverá sobre las propuestas de actualización del manual
de administración del riesgo tecnológico y autorizará las modificaciones al mismo,
las que deberán ser comunicadas a la Superintendencia de Bancos, dentro de los
diez (10) días hábiles siguientes a su aprobación.
Las nuevas instituciones que se constituyan o se autorice su funcionamiento
deberán remitir una copia del manual a que se refiere este artículo a la
Superintendencia de Bancos antes del inicio de sus operaciones.

CAPÍTULO III
INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIÓN, BASES DE
DATOS Y SERVICIOS DE TI

Artículo 10. Esquema de la información del negocio. Las instituciones deberán

contar con un esquema actualizado de la información del negocio que represente

7
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

la interrelación entre la infraestructura de TI, los sistemas de información, los

servicios de TI y los procesos de las principales líneas de negocio.
Artículo 11. Inventarios. Las instituciones deberán mantener inventarios
actualizados de su infraestructura de TI, de sus sistemas de información y de sus
bases de datos que incluyan, como mínimo, lo siguiente:
a) De infraestructura de TI:
1. Especificaciones técnicas de sus elementos:
i. Tipo;
ii. Nombre;
iii. Función; y,
iv. Identificar si el mantenimiento es propio o realizado por terceros, en
este último caso deberá identificarse al proveedor.
2. Ubicación física de sus elementos.
b) De sistemas de información:
1. Características de los sistemas de información:
i. Nombre;
ii. Función;
iii. Lenguaje de programación;
iv. Versión;
v. Estructura del sistema y las relaciones entre sus componentes;
vi. Nombre y versión de los manejadores de bases de datos con las
cuales interactúan;
vii. Nombre de las bases de datos con las cuales interactúan;
viii. Identificar si es desarrollo propio o realizado por terceros, en este
último caso deberá identificarse al proveedor; y,
ix. Identificar si el mantenimiento es propio o realizado por terceros, en
este último caso deberá identificarse al proveedor.
2. Documentación técnica; y,
3. Documentación para el usuario final.
c) De bases de datos:
1. Nombre;
2. Descripción general de la información que contiene;
3. Manejador de base de datos o sistema de gestión de archivos, y su
versión;
4. Nombre de los servidores en los que reside;
5. Diccionario de datos;
6. Diagramas de relación; y,
7. Nombre del administrador de la base de datos.

8
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

A la entrada en vigencia de este reglamento, los inventarios de infraestructura de

TI, sistemas de información y de bases de datos, a que se refiere este artículo,
serán obligatorios para las aplicaciones que soportan los procesos críticos del
negocio, especialmente las que permitan a los respectivos depositantes disponer
de sus fondos.

Artículo 12. Administrador de base de datos. Las instituciones deberán designar

uno o más administradores de base de datos para gestionar los controles de
accesos, la integridad, disponibilidad y confidencialidad de los datos, así como los
procesos de creación, actualización o eliminación de estructuras en las bases de
datos, entre otros.

Artículo 13. Evaluación de capacidades y desempeño. Las instituciones

deberán realizar evaluaciones periódicas de la capacidad y desempeño de la
infraestructura de TI, de los sistemas de información y de las bases de datos, con
el objeto de determinar necesidades de ampliación de capacidades o
actualizaciones.

Las instituciones deberán documentar y llevar registro de las evaluaciones

periódicas a que se refiere este artículo y realizar análisis de tendencias para
determinar capacidades futuras.

Artículo 14. Adquisición, mantenimiento e implementación de infraestructura

de TI, sistemas de información y bases de datos. Las instituciones deberán
contar con procesos documentados y planes operativos para la adquisición,
mantenimiento e implementación de la infraestructura de TI, los sistemas de
información y las bases de datos. Dichos procesos deberán incluir, como mínimo,
los aspectos siguientes:

a) En lo referente a adquisición y mantenimiento:

1. Selección de proveedores, considerando factibilidad tecnológica y

económica;
2. Contratación, considerando la suscripción y ejecución; y,
3. Uso de herramientas controladas previamente certificadas por el
proveedor, así como verificadas y aprobadas por la institución.

b) En lo referente a implementación:

1. Realización de pruebas; y,
2. Registro y monitoreo de la implementación.

Artículo 15. Gestión de servicios de TI. Las instituciones deberán realizar una
adecuada gestión de los servicios de TI de acuerdo con las prioridades del negocio
estableciendo, como mínimo, los aspectos siguientes:

a) Un catálogo que comprenda la definición de cada uno de los servicios de TI.

b) Acuerdos de niveles de servicio de TI establecidos entre las áreas del negocio

y las áreas de TI. Dichos acuerdos deben comprender:

1. Los compromisos de las áreas de negocios;

2. Los compromisos de las áreas de TI;
3. Los requerimientos de soporte para el servicio de TI;
4. Las condiciones del servicio de TI; y,
5. El registro, monitoreo y actualización para la mejora de los servicios de
TI.

9
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

c) Procesos de gestión de incidentes y de problemas, los cuales deben

comprender:

1. La clasificación, registro, atención, análisis de tendencias y monitoreo de

los eventos reportados por los usuarios o por el Centro de Operaciones
de Seguridad Cibernética;
2. El escalamiento de incidentes para su atención y resolución, cuando
aplique; y,
3. La identificación, análisis, registro y monitoreo de la causa raíz de los
problemas y su posterior resolución.

d) Procesos de gestión de cambios en infraestructura de TI, sistemas de

información y bases de datos, los cuales deben comprender:

1. La evaluación del impacto, priorización y autorización del cambio;

2. Los cambios de emergencia; y,
3. Realización de pruebas, registro y monitoreo del cambio.

Artículo 16. Ciclo de vida de los sistemas de información. Las instituciones

deberán implementar metodologías adecuadamente documentadas para el
análisis, diseño, desarrollo, pruebas, puesta en producción, mantenimiento, control
de versiones y control de calidad de los sistemas de información.
Las actividades de desarrollo y producción deberán realizarse en ambientes
distintos.

CAPÍTULO IV
SEGURIDAD DE TECNOLOGÍA DE LA INFORMACIÓN

Artículo 17. Gestión de la seguridad de la información. Las instituciones

deberán gestionar la seguridad de su información con el objeto de garantizar la
confidencialidad, integridad y disponibilidad de los datos, así como mitigar los
riesgos de pérdida, extracción indebida y corrupción de la información, debiendo
considerar, como mínimo, los aspectos siguientes:

a) Identificación y clasificación de la información de acuerdo a criterios de

sensibilidad y criticidad;

b) Roles y responsabilidades para la gestión de la seguridad de la información;

c) Monitoreo de la seguridad de la información;

d) Seguridad física que incluya controles y medidas de prevención para

resguardar adecuadamente la infraestructura de TI de acuerdo a la
importancia definida por la institución conforme al riesgo a que esté expuesta,
considerando:

1. Ubicación física y sus controles de acceso;

2. Acondicionamiento del espacio físico que considere factores tales como
temperatura, humedad y prevención de incendios;
3. Vigilancia, que incluya factores tales como personal de seguridad,
sistemas de video y sensores;
4. Suministro ininterrumpido de energía eléctrica; y,
5. Adecuado manejo del cableado de red y de energía eléctrica.

e) Seguridad lógica que incluya controles y medidas de prevención para

resguardar la integridad y seguridad de la infraestructura de TI, los sistemas
de información y de las bases de datos, considerando:

10
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

1. Administración de los permisos a los sistemas de información, datos y

elementos de la infraestructura de TI, que incluya registro y bitácoras del
proceso y revisiones periódicas de los permisos;
2. Revisión del uso de permisos para detectar actividades no autorizadas;
3. Bitácoras de las transacciones realizadas en los sistemas de información
críticos; y,
4. Mecanismos y recursos técnicos para la identificación y detección de
vulnerabilidades a través de escaneo, evaluaciones y pruebas de
penetración, internas y externas, debiendo consignarse el resultado en
un informe técnico.
La frecuencia de las pruebas de penetración deberá realizarse, como
mínimo, de forma anual o en función de la exposición de riesgo
tecnológico de la institución, los cambios significativos en la institución,
infraestructura tecnológica, sistemas de información y bases de datos.

f) Lo establecido en el Capítulo V Ciberseguridad.

Artículo 18. Oficial de Seguridad de la Información. El Oficial de Seguridad de

la Información tendrá las siguientes funciones:

a) Coordinar el cumplimiento de las políticas, procedimientos y mecanismos de

seguridad de la información y ciberseguridad para preservar la
confidencialidad, integridad y disponibilidad de la información de la institución;

b) Convocar y dirigir el equipo de respuestas de incidentes cibernéticos; y,

c) Gestionar los incidentes de seguridad de la información considerando lo

establecido en este reglamento, en las políticas, procesos y procedimientos
de la institución, así como en el plan de recuperación ante desastres y el plan
de continuidad de negocio de la institución.

Artículo 19. Copias de respaldo. Las instituciones deberán tener copias de la

información de la infraestructura de TI, sistemas de información y bases de datos,
para lo cual deberán considerar, como mínimo, los aspectos siguientes:

a) Información a respaldar, periodicidad y validación de las copias de respaldo;

b) Procedimientos de restauración de las copias de respaldo;

c) Congruencia con el plan de continuidad del negocio y el plan de recuperación

ante desastres de la institución; y,

d) Ubicación de las copias de respaldo y de la documentación de los

procedimientos de restauración.

En caso de la información crítica, se deberá contar con copias de respaldo, como

mínimo, realizadas de forma diaria, debiendo considerar los aspectos señalados
en las anteriores literales de este artículo. Estas copias deberán encontrarse en
infraestructura dentro del territorio nacional y estar a disposición de la
Superintendencia de Bancos cuando le sea solicitada.

Artículo 20. Operaciones y servicios financieros a través de canales

electrónicos. Las instituciones que realicen operaciones y presten servicios
financieros a través de canales electrónicos deberán implementar, como mínimo,
lo siguiente:

11
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

a) Mecanismos para la protección y control de la infraestructura de TI, los

sistemas de información y las bases de datos considerando la gestión de la
ciberseguridad;

b) Medidas de seguridad en el intercambio de información, respaldadas por un

certificado digital, cifrado de datos u otro mecanismo que permita garantizar la
autenticidad, confidencialidad, integridad y disponibilidad de la información;

c) Programas de educación y divulgación de información para clientes; y,

d) Registro y bitácoras de las transacciones efectuadas.

Artículo 21. Capacitación y concientización. La institución deberá tener políticas

y procedimientos para promover una cultura de seguridad de la información,
incluyendo un programa continuo de capacitación a todo su recurso humano y
concientización a los usuarios de la institución, debiendo llevar un registro de la
realización de estos programas.

CAPÍTULO V
CIBERSEGURIDAD

Artículo 22. Gestión de la Ciberseguridad. Las instituciones deberán establecer

e implementar políticas y procedimientos para gestionar efectivamente la
ciberseguridad, debiendo considerar, como mínimo, las funciones siguientes:

a) Identificación;

b) Protección;

c) Detección;

d) Respuesta; y,

e) Recuperación.

Artículo 23. Identificación. Las instituciones deberán tomar en cuenta su contexto

tecnológico, los activos en el ciberespacio que soportan los servicios críticos de sus
operaciones y el riesgo tecnológico asociado, de conformidad con su Manual de
Administración de Riesgo Tecnológico, considerando como mínimo lo siguiente:

a) Gestión de activos en el ciberespacio: deberán ser identificados,

documentados y gestionados en forma consistente, en relación con los
objetivos y la estrategia de riesgo de la institución;

b) Evaluación: la institución deberá identificar, analizar, clasificar y documentar

sus vulnerabilidades cibernéticas, ciberamenazas, ciberataques, incidentes
cibernéticos y los efectos de estos, considerando:

1. El potencial impacto en la institución y la probabilidad de ocurrencia de

estas;
2. Priorizar las respuestas a las mismas; y,
3. Procedimientos para recibir información y alertas por parte de grupos y
fuentes especializadas externas.

Artículo 24. Protección. Las instituciones deberán desarrollar e implementar

políticas, procesos y procedimientos para proteger la confidencialidad, integridad y

12
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

disponibilidad de sus activos en el ciberespacio, con el objeto de prevenir, limitar o

contener el impacto de un ciberataque, considerando, como mínimo, lo siguiente:

a) Controles de seguridad para la adquisición, desarrollo y mantenimiento de

sistemas y aplicaciones;

b) Gestión de cambios en las configuraciones de los activos en el ciberespacio;

c) Gestión de control y autorización de acceso, implementando medidas para

emitir, registrar, administrar, verificar, revocar y auditar las identidades y
credenciales;

d) Prueba y mantenimiento de copias de respaldo de información;

e) Cumplimiento de regulaciones de la ubicación donde se encuentran los activos

en el ciberespacio;

f) Proceso de eliminación de datos y destrucción de dispositivos;

g) Protección por medio de encriptación o cifrado de datos;

h) Protección y restricción del uso de medios extraíbles y de dispositivos móviles;

e,

i) Documentación, implementación y revisión de los registros de auditoría de los

activos en el ciberespacio.

Artículo 25. Detección. Las instituciones deberán monitorear sus activos en el

ciberespacio, accesos, conexiones, las acciones que realizan los usuarios internos
o externos, aplicaciones y acciones de los proveedores de servicios externos en la
institución, para detectar vulnerabilidades cibernéticas, ciberamenazas,
ciberataques e incidentes cibernéticos a través de la implementación, de forma
interna o a través de la contratación, de un Centro de Operaciones de Seguridad
Cibernética (Security Operation Center) con el objeto de proporcionar una
visibilidad centralizada, monitoreo continuo y emisión de alertas.

Las instituciones deberán llevar un registro, de al menos los últimos doce meses,
de las vulnerabilidades cibernéticas, ciberamenazas, ciberataques e incidentes
cibernéticos detectados en ese período de tiempo.

Artículo 26. Respuesta. Las instituciones deberán contar con procesos y

procedimientos para garantizar una respuesta oportuna, durante y después de un
incidente cibernético, considerando, como mínimo, lo siguiente:

a) Mecanismos de convocatoria e integración del equipo de respuestas a

incidentes cibernéticos;

b) Mecanismos para analizar, documentar y atender las alertas recibidas de

fuentes internas y externas;

c) Metodología de evaluación del impacto del incidente cibernético para su

clasificación y categorización;

d) Actividades de mitigación de incidentes cibernéticos y sus efectos,

documentando las mismas; y,

13
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

e) Análisis forense digital de los incidentes cibernéticos, debiendo elaborarse un

informe técnico de los resultados obtenidos.

Artículo 27. Recuperación. Las instituciones deberán establecer y mantener

mecanismos para resistir, responder y recuperarse de un incidente cibernético, con
el objeto de restaurar cualquier activo en el ciberespacio o servicios relacionados a
este, que haya sido afectado debido a un incidente cibernético, de conformidad con
lo establecido en el plan de recuperación ante desastres.

Estos mecanismos, deberán estar integrados con el plan de recuperación del grupo
financiero.

Artículo 28. Equipo de Respuesta de Incidentes Cibernéticos. La institución

deberá organizar un equipo de respuesta de incidentes cibernéticos (Computer
Security Incident Response Team) que se reunirá de forma periódica y actuará ante
la existencia de un incidente cibernético, con el objeto de contener y mitigar el
impacto, así como promover los procesos de recuperación y resiliencia, el cual
actuará en línea con el plan de recuperación ante desastres y el plan de continuidad
del negocio de la institución.

El equipo de respuesta estará conformado por personal multidisciplinario de

distintas áreas de la institución y será dirigido por el Oficial de Seguridad de la
Información de la institución.

Artículo 29. Aspectos de ciberseguridad en contratación de proveedores.

Cuando la institución contrate operaciones o servicios de terceros que tengan
relación con sus activos en el ciberespacio, deberán incluir en el contrato a
suscribir, como mínimo, lo siguiente:

a) Obligación del proveedor de contar con políticas, procedimientos y

mecanismos para la gestión de su ciberseguridad;

b) Mecanismos específicos, durante el plazo del contrato, que garanticen la

protección de los activos en el ciberespacio, autorizando a la institución poder
realizar revisiones periódicas de dichos mecanismos o de los certificados de
seguridad de la información reconocidos internacionalmente extendidos al
proveedor;

c) Acuerdos de nivel de servicio que incluya la gestión de incidentes cibernéticos

que ponga en riesgo los activos en el ciberespacio, definiendo
responsabilidades de la institución y del proveedor, así como la obligación de
este último de informar a la institución de forma oportuna la ocurrencia de
dicho incidente cibernético; y,

d) Acuerdos de recuperación ante desastres y resiliencia cibernética que

garanticen la confidencialidad, integridad y disponibilidad de la información.

Artículo 30. Intercambio de información y comunicación. Las instituciones

podrán establecer mecanismos de intercambio de información y comunicación
entre ellas, con el objeto de que los incidentes cibernéticos sufridos sean
comunicados a las demás instituciones, con el fin exclusivo de que puedan
implementar los mecanismos que consideren pertinentes para gestionar su
ciberseguridad.

14
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

CAPÍTULO VI
PLAN DE RECUPERACIÓN ANTE DESASTRES

Artículo 31. Plan de recuperación ante desastres. Las instituciones deberán

contar con un plan de recuperación ante desastres, que esté alineado con el plan
de continuidad del negocio de la institución, con el objeto de recuperar los servicios
tecnológicos críticos que apoyan los procesos críticos de las principales líneas de
negocio, sus activos en el ciberespacio, así como la información asociada en caso
de una interrupción.

El plan de recuperación ante desastres deberá incluir, como mínimo, los aspectos
siguientes:

a) Objetivo y alcance del plan;

b) Identificación de los servicios tecnológicos críticos, procesos críticos y activos

en el ciberespacio de las principales líneas de negocio;

c) Identificación de los procesos que son necesarios para soportar los procesos
identificados en el inciso b) anterior;

d) Procedimientos y canales de comunicación, internos y externos;

e) Procedimientos y tiempos de recuperación y restauración de operaciones y

procesos críticos, así como de los activos en el ciberespacio posterior a un
incidente cibernético;

f) Identificación y descripción de roles, así como de responsabilidades del

personal clave para la recuperación y listado de proveedores críticos;

g) Recursos necesarios para la recuperación y restauración;

h) Convenios documentados con terceros y proveedores críticos;

i) Identificación de factores de dependencia interna y externa de la institución,

tales como proveedores, personal de la entidad u otros, y las acciones para
mitigar el riesgo de dicha dependencia, que incluya la contratación con
terceros de servicios críticos que procesen y/o almacenen información; y,

j) Identificación de prioridades de recuperación y restauración.

En caso de que la institución contrate con terceros servicios tecnológicos críticos

que procesen y/o almacenen información, deberá incluir dentro de su plan de
recuperación ante desastres, consideraciones específicas para recuperarse ante
eventos que afecten estos servicios. Asimismo, la institución deberá incluir
mecanismos de salida ante un incumplimiento de los términos y condiciones de los
servicios contratados, que considere el término anticipado de la relación contractual
y que permitan retomar la operación, ya sea por cuenta propia o mediante otro
proveedor de este tipo de servicios.

Las nuevas instituciones que se constituyan o se autorice su funcionamiento

deberán remitir una copia del plan de recuperación ante desastres a que se refiere
este artículo a la Superintendencia de Bancos antes del inicio de sus operaciones.
Las modificaciones al plan de recuperación ante desastres deberán ser
comunicadas a la Superintendencia de Bancos dentro de los diez (10) días hábiles
siguientes a su aprobación.

15
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

Artículo 32. Pruebas al plan de recuperación ante desastres. Las instituciones

deberán elaborar como parte del plan de recuperación ante desastres un plan de
pruebas que incluya, como mínimo: alcance, escenarios y periodicidad.

Los resultados de las pruebas realizadas deberán documentarse y, cuando

corresponda, adecuar el plan de recuperación ante desastres en función de los
resultados obtenidos.

Artículo 33. Capacitación del personal clave para la recuperación ante

desastres. Las instituciones deberán mantener capacitado al personal clave, a que
se refiere el inciso f) del artículo 31 de este reglamento, para activar o probar el
plan de recuperación ante desastres y sus modificaciones.

Artículo 34. Centro de cómputo alterno. Las instituciones deberán contar con un
centro de cómputo alterno con las características físicas y lógicas necesarias para
dar continuidad a las operaciones y los procesos críticos de negocios, cumpliendo
con los requisitos establecidos en este reglamento referentes a seguridad de
tecnología de la información, ciberseguridad, infraestructura de TI, sistemas de
información y bases de datos.

El centro de cómputo alterno deberá estar en una ubicación geográfica distinta del
centro de cómputo principal, de tal forma que no se vean expuestos a un mismo
nivel de riesgo ante la ocurrencia de un mismo evento, de acuerdo con los
manuales de administración de riesgo de la institución. Se entenderá por evento
toda situación que interrumpa las operaciones normales de un negocio.

Las instituciones deberán realizar réplica de toda la información crítica, de acuerdo

con su plan de continuidad de negocio y su plan de recuperación ante desastres,
al centro de cómputo alterno.

En caso de servicios críticos que procesen y/o almacenen información, fuera del
territorio nacional, el centro de cómputo principal y centro de cómputo alterno
deberán estar en países distintos. Asimismo, en el caso de servicios críticos, que
procesen y/o almacenen información, contratados con un tercero fuera del territorio
nacional, el servicio contingente de este deberá ubicarse en un país distinto.

En caso el centro de cómputo alterno esté ubicado fuera del territorio nacional, las
instituciones deberán permitir a la Superintendencia de Bancos el libre acceso a su
infraestructura de TI, sistemas de información y bases de datos, y proporcionar a
esta la información que les requiera.

En el caso que la institución tenga su centro de cómputo alterno contratado con un

proveedor de servicios de procesamiento y/o almacenamiento de información
deberá permitir que la Superintendencia de Bancos tenga libre acceso a los
sistemas de información, registros, bases de datos y todos los servicios
contratados, así como proporcionar a esta la información que les requiera.

CAPÍTULO VII
PROCESAMIENTO Y/O ALMACENAMIENTO DE INFORMACIÓN

Artículo 35. Procesamiento y/o almacenamiento de información. Las

instituciones podrán procesar y/o almacenar su información dentro o fuera del
territorio nacional debiendo disponer para el efecto con la infraestructura de TI,
sistemas de información, bases de datos y personal técnico con el propósito de
asegurar la disponibilidad, integridad, confidencialidad y accesibilidad de la
información.

16
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

Las instituciones, en caso de contratar con terceros servicios que procesen y/o
almacenen información, deberán establecer e implementar políticas y
procedimientos para la administración de los riesgos asociados, de conformidad a
lo indicado en el artículo 3 del presente reglamento, debiendo contar con, al menos,
las políticas siguientes:

a) Gobierno y gestión de la información;

b) Selección y contratación de proveedores de servicios que procesen y/o

almacenen información;

c) Disponibilidad y acuerdos de niveles de servicios a contratar; y,

d) Cifrado de la información.

Artículo 36. Obligaciones de la institución al procesar y/o almacenar su

información fuera del territorio nacional. Las instituciones, en caso de procesar
y/o almacenar información fuera del territorio nacional, deberán cumplir, como
mínimo, lo siguiente:

a) Que la infraestructura tecnológica y sistemas que se utilizarán para la

comunicación, procesamiento y/o almacenamiento de información cumplan
con aspectos de seguridad de la información y ciberseguridad para resguardar
la confidencialidad, integridad y disponibilidad de la información, con al menos,
lo establecido en este reglamento;

b) Contar con enlaces de comunicación cifrados de extremo a extremo,

asegurando la confidencialidad, integridad y disponibilidad de la información,
gestionando todas las medidas necesarias para la transmisión;

c) Cifrado de toda la información en tránsito y/o en reposo, usando estándares y

algoritmos reconocidos internacionalmente que garanticen la confidencialidad
e integridad de la información de la institución, manteniendo las llaves de
cifrado bajo control y administración de la institución;

d) Tener bajo su único control y responsabilidad la administración de usuarios y

privilegios de acceso;

e) Contar con controles de autenticidad y no repudio en el acceso, procesamiento

y transmisión de la información;

f) Que no existan limitantes legales para los accesos a la información, auditorías

y para las actividades de supervisión realizadas por la Superintendencia de
Bancos;

g) En caso de infraestructura propia, permitir a la Superintendencia de Bancos,

cuando esta lo requiera, el libre acceso a la infraestructura de TI, sistemas de
información, registros, bases de datos e instalaciones y proporcionar a esta la
información que le requiera;

h) Disponer en el territorio nacional de personal técnico y capacitado para

administrar la infraestructura, servicios, sistemas y bases de datos, teniendo
accesos y controles a estos; e,

i) Establecer las medidas administrativas necesarias para que, en caso de

suspensión de operaciones resuelta por Junta Monetaria de un banco o una
sociedad financiera, la Junta de Exclusión de Activos y Pasivos, así como el

17
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

Representante Legal de la institución suspendida, puedan tener acceso a la

información, servicios, sistemas y bases de datos en los servicios contratados.

Artículo 37. Obligaciones de la institución al contratar con terceros servicios

que procesen y/o almacenen información. Las instituciones, en caso de
contratar con terceros, dentro o fuera del territorio nacional, servicios que procesen
y/o almacenen información, adicionalmente a los requerimientos del artículo
anterior, deberán cumplir lo siguiente:

a) Verificar que el proveedor con el que se desee procesar y/o almacenar

información aplique políticas de seguridad de información y ciberseguridad,
considerando estándares internacionales y cumpliendo, como mínimo, con lo
establecido en este reglamento, asimismo, que el proveedor posea
certificaciones vigentes relacionadas con tecnología, seguridad de la
información, ciberseguridad, continuidad de negocio y/o gestión de servicios
tecnológicos;

b) Verificar, en el caso de servicios críticos que procesen y/o almacenen

información, los informes de auditorías independientes relacionadas con
tecnología, del último año, a las que se somete el proveedor del servicio, con
objeto de determinar la factibilidad técnica de contratación de dicho proveedor
de procesamiento y/o almacenamiento de información;

c) Establecer procedimientos para verificar el cumplimiento de los acuerdos de

niveles de servicio establecidos con el proveedor, vendedor, subcontratistas y
subcontratistas en cadena relacionados al servicio;

d) En caso de contratar servicios que procesen y/o almacenen información crítica

y/o confidencial, en una jurisdicción extranjera, dicha jurisdicción debe contar
con un marco normativo de protección y seguridad de datos personales;

e) Establecer los roles y responsabilidades de la institución, del proveedor, del

vendedor del servicio y subcontratistas de los servicios que procesen y/o
almacenen información;

f) Independencia lógica o física de su información con la de otros usuarios que

procesen y/o almacenen información con el mismo proveedor;

g) Aplicar métodos seguros de autenticación para acceder a los servicios

contratados; y,

h) Permitir a la Superintendencia de Bancos, cuando esta lo requiera, el libre

acceso a la información, registros, sistemas, bases de datos, servicios
contratados, y proporcionar a esta la información que le requiera.

Artículo 38. Obligaciones de la institución al contratar con terceros servicios

tecnológicos no críticos que procesan y/o almacenan información. Las
instituciones, en caso de contratar con terceros servicios tecnológicos no críticos y
que procesen y/o almacenen información considerada como no crítica y/o
confidencial deberán cumplir con lo establecido en los artículos 35, 36 y 37 de este
reglamento.

En caso de contratación de servicios tecnológicos no críticos pero que procesen

y/o almacenen información crítica y/o confidencial, adicional al cumplimiento de los
requisitos establecidos en el párrafo anterior, las instituciones deberán informar a
la Superintendencia de Bancos, con quince (15) días de antelación a la contratación
de los servicios, lo siguiente:

18
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

a) Autorización expresa, del Consejo de Administración o quien haga sus veces,

para procesar y/o almacenar su información a través de este tipo de servicios;

b) El nombre o razón social del vendedor y proveedor de los servicios;

c) Información sobre el modelo de servicio y tipo de implementación contratado;

d) Identificación y descripción del servicio contratado;

e) El esquema de los servicios contratados, incluyendo los enlaces de

comunicación para transferencia de información;

f) Las certificaciones vigentes del proveedor del servicio, relacionadas con

tecnología, seguridad de la información y ciberseguridad; y,

g) Copia del contrato a suscribir y de los acuerdos de niveles de servicio con el

vendedor y proveedor final de los servicios.

Artículo 39. Autorización para procesar y/o almacenar información fuera del
territorio nacional. En caso de servicios tecnológicos que procesen y/o almacenen
información, en infraestructura propia ubicada fuera del territorio nacional, la
institución, adicional al cumplimiento de lo establecido en los artículos 35 y 36 de
este reglamento, deberá solicitar autorización previa a la Superintendencia de
Bancos, remitiendo para el efecto la información siguiente:

a) Autorización expresa, del Consejo de Administración o quien haga sus veces,

para procesar y/o almacenar su información fuera del territorio nacional;

b) Identificación y descripción de la información a procesar y/o almacenar, así

como un plan de migración;

c) El país o países donde se procesará y/o almacenará la información; y,

d) Opinión legal de un abogado de la jurisdicción donde se procesará y/o

almacenará la información, respecto a la existencia de un marco normativo de
protección y seguridad de datos personales en dicha jurisdicción; el
mecanismo a que quedarán sujetas las contingencias legales que pudieran
surgir; y, la no existencia de limitaciones normativas para que la
Superintendencia de Bancos pueda tener acceso a la información, servicios,
sistemas y bases de datos procesadas y/o almacenadas.

La autorización de la Superintendencia de Bancos es sin perjuicio de la

responsabilidad de la institución de cumplir en forma integral con los aspectos
atinentes contenidos en el presente reglamento, a efecto que la decisión adoptada
por dicha institución respecto al procesamiento y/o almacenamiento de información
crítica y/o confidencial, fuera del territorio nacional, no comprometa la
confidencialidad, integridad y disponibilidad de la información, así como el plan de
recuperación ante desastres que garantice la continuidad de operaciones de esta.

Artículo 40. Autorización para contratar servicios que procesen y/o

almacenen información. En caso de contratar con terceros servicios tecnológicos
que procesen y/o almacenen información, con excepción de los servicios
tecnológicos no críticos, la institución deberá cumplir con los artículos 35, 36 y 37
de este reglamento, adicionalmente deberá solicitar autorización previa a la
Superintendencia de Bancos, remitiendo para el efecto la información requerida en
el artículo 39 y la siguiente:

19
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

a) El nombre o razón social del vendedor y proveedor de servicios que procesen

y/o almacenen información;

b) Las certificaciones vigentes del proveedor del servicio, relacionadas con

tecnología, seguridad de la información, ciberseguridad, continuidad de
negocio y/o gestión de servicios tecnológicos;

c) Informes de auditorías independientes relacionadas con tecnología, del último

año, a las que se somete el proveedor del servicio;

d) La información sobre el modelo de servicio y tipo de implementación a

contratar;

e) El esquema de los servicios contratados, incluyendo los enlaces de

comunicación para transferencia de información; y,

f) Proyecto del contrato a suscribir y proyecto de los acuerdos de niveles de

servicio con el vendedor y proveedor final de los servicios que procesen y/o
almacenen información.

La autorización de la Superintendencia de Bancos es sin perjuicio de la

responsabilidad de la institución de cumplir en forma integral con los aspectos
atinentes contenidos en el presente reglamento, a efecto que la decisión adoptada
por dicha institución respecto al procesamiento y/o almacenamiento de información
crítica y/o confidencial, contratado con terceros, no comprometa la
confidencialidad, integridad y disponibilidad de la información, así como el plan de
recuperación ante desastres que garantice la continuidad de operaciones de esta.

Artículo 41. Contratación con terceros de servicios que procesen y/o

almacenen información. Cuando se contrate con terceros servicios tecnológicos
críticos que procesen y/o almacenen información, así como servicios no críticos
que procesen y/o almacenen información crítica y/o confidencial, las instituciones
serán las responsables de cumplir con lo establecido en este reglamento. En los
contratos, así como en los términos y condiciones del servicio que se suscriban,
deberán incluir, como mínimo, lo siguiente:

a) Acuerdo de disponibilidad de al menos 99.90% en los servicios contratados;

b) Las condiciones referentes a capacidad, tiempos de recuperación y horarios

de atención del proveedor del servicio, estableciendo niveles de servicio que
permitan cumplir, cuando menos, con lo establecido en este reglamento;

c) Las condiciones de seguridad de la información y ciberseguridad de los

servicios contratados, documentación y descripción de su infraestructura y las
condiciones establecidas para proteger la confidencialidad de la información,
considerando cuando menos, con lo establecido en este reglamento;

d) Que la institución mantiene la propiedad de toda la información procesada y/o

almacenada y que esta conserva todos los derechos sobre la misma;

e) Prohibición al proveedor de utilizar la información para algún propósito

diferente al establecido en el contrato, durante la vigencia y posterior a la
terminación de este;

f) Confidencialidad de la información procesada y/o almacenada por el

proveedor durante la vigencia y posterior a la terminación del contrato,

20
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

estableciendo que el vendedor, proveedor o subcontratados en cadena

guardarán la confidencialidad de las operaciones y servicios que realizaren;

g) El borrado seguro de los datos existentes en los medios de almacenamiento

cuando finalice el contrato, o cuando el proveedor de servicios reemplace
dichos medios;

h) Acceso a informes y certificaciones anuales que demuestran la efectividad en

la gestión de los servicios contratados;

i) Las condiciones y limitaciones bajo las cuales el proveedor de servicios que

procesen y/o almacenen información puede subcontratar parte del servicio;

j) Que únicamente la institución podrá seleccionar en qué países y/o regiones

se podrá procesar y/o almacenar la información, estableciendo prohibición al
proveedor de transferir la información a otros países o regiones sin
autorización previa de la institución;

k) Los derechos y obligaciones de cada una de las partes en el contrato. En caso

de existir una empresa subcontratada en cadena y/o vendedor del servicio que
procesen y/o almacenen información, se sujetarán a las mismas condiciones
y obligaciones que el proveedor del servicio que procese y/o almacene
información;

l) La obligación del vendedor y/o proveedor del servicio que procesa y/o
almacena información de comunicar a la institución sobre cualquier evento o
situación que pudiera afectar la prestación del servicio y la afectación a los
servicios prestados por la institución, así como la corrección oportuna y eficaz
de las vulnerabilidades de seguridad de la información detectadas;

m) Las causales de terminación del contrato por parte de la institución, incluyendo

el incumplimiento de los acuerdos o niveles de servicio o el cambio de las
condiciones que generen impacto negativo al servicio contratado;

n) Que la Superintendencia de Bancos, cuando esta lo requiera, tendrá libre

acceso a la información, registros, sistemas, bases de datos y servicios
contratados; y,

o) Estipulación que, en caso de suspensión de operaciones resuelta por Junta

Monetaria, de un banco o una sociedad financiera, el proveedor de los
servicios contratados otorgará todos los accesos a los servicios, recursos,
información y componentes del servicio contratado a la Junta de Exclusión de
Activos y Pasivos y al Representante Legal de la institución suspendida, para
el cumplimiento de sus respectivas atribuciones legales y reglamentarias.

En caso de finalización del contrato por plazo o de forma anticipada, ante un cambio
o modificación, así como ante un cambio de proveedor, la institución deberá
proceder conforme lo establecido en los artículos 38 o 40 de este reglamento,
según la criticidad del servicio contratado.

CAPÍTULO VIII
DISPOSICIONES TRANSITORIAS Y FINALES

Artículo 42. Transitorio. Las instituciones deberán enviar a la Superintendencia

de Bancos el manual de administración del riesgo tecnológico actualizado y su plan
de recuperación ante desastres, dentro de los seis (6) meses siguientes a la
entrada en vigencia del presente reglamento.

21
 Reglamento para la Administración del Riesgo Tecnológico Reglamento
Res. No.
[Link]-104-2021
JM-104-2021

Artículo 43. Transitorio. Las instituciones que, a la entrada en vigencia de lo

establecido en este reglamento, tengan autorizado el procesamiento de su
información fuera del territorio guatemalteco y/o tengan contratados con un tercero
dentro del territorio guatemalteco, servicios que procesen y/o almacenen
información, deberán adecuarse, a más tardar el 30 de noviembre de 2022, en lo
referente a:

a) Las copias de respaldo, de forma diaria, conforme lo regulado en el último

párrafo del artículo 19 de este reglamento;

b) Que el centro de cómputo principal y centro de cómputo alterno deban estar

en países distintos; así como, en el caso de servicios críticos contratados con
un tercero fuera del territorio nacional, el requisito que su servicio contingente
deba ubicarse en un país distinto; ambos casos, regulados en el cuarto párrafo
del artículo 34 de este reglamento;

c) Las políticas requeridas en el artículo 35 de este reglamento;

d) Las obligaciones de la institución al procesar y/o almacenar su información

fuera del territorio nacional, indicadas en el artículo 36 de este reglamento;

e) Las obligaciones de la institución al contratar con terceros servicios que

procesen y/o almacenen información, establecidas en el artículo 37 de este
reglamento; y,

f) Las obligaciones al contratar con terceros servicios tecnológicos no críticos

que procesan y/o almacenan información, indicadas en el primer párrafo del
artículo 38 de este reglamento.

La Superintendencia de Bancos, a solicitud justificada de los interesados, podrá

prorrogar el plazo indicado hasta por seis (6) meses adicionales, por una sola vez.

Artículo 44. Transitorio. Las instituciones que, a la entrada en vigencia de este

reglamento, tengan autorizado contratar servicios de procesamiento de información
fuera del territorio guatemalteco conforme lo establecido en la resolución JM-102-
2011, y/o tengan servicios contratados con un tercero dentro del territorio
guatemalteco, al finalizar el plazo contractual o al realizar alguna modificación al
mismo, deberán adecuar sus contratos a lo establecido en este reglamento previo
a su renovación.

Artículo 45. Envío de información a la Superintendencia de Bancos. Las

instituciones deberán enviar a la Superintendencia de Bancos información
relacionada con el riesgo tecnológico conforme a las instrucciones generales que
el órgano supervisor les indique.

El envío de información establecido en el párrafo anterior no exime a la institución

de cumplir con otras disposiciones legales o normativas aplicables.

Artículo 46. Casos no previstos. Los casos no previstos en este reglamento serán
resueltos por la Junta Monetaria, previo informe de la Superintendencia de Bancos.

22