A continuación se resume cómo Athento ayuda a cumplir con cada numeral de la Circular 005:
3.4. Verificar que el proveedor de servicios en la nube cuente y mantenga vigente, al menos, la certificación ISO 27001, y de observancia a los estándares o buenas prácticas, tales como ISO 27017 y 27018. El proveedor puede certificarse con estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores y debe disponer de informes de controles de organización de servicios (SOC1, SOC2, SOC3).
Athento se encuentra certificado en la ISO 27001 y en el Esquema Nacional de Seguridad de España. Así mismo, cuenta con proveedores clave certificados en ISO 27001, como es el caso de OVH, Azure, etc.
3.5. Verificar que el proveedor ofrezca una disponibilidad de al menos el 99.95% en los servicios prestados en la nube.
Athento ofrece por contrato una disponibilidad del 99,95% con compensaciones en caso de una disponibilidad mensual menor.
3.6. Gestionar los riesgos de las API o Servicios Web suministrados por el proveedor de servicios en la nube.
Las APIs de Athento son parte interna del aplicativo por lo que cuentan con las medidas de seguridad y disponibilidad del resto de aplicación. Athento puede ofrecer APIs alternativas y las APIs son muy versátiles.
3.7. Verificar que las jurisdicciones en donde se procesará la información cuenten con normas equivalentes o superiores a las aplicables en Colombia, relacionadas con la protección de datos personales y penalización de actos que atenten contra la confidencialidad, integridad y disponibilidad de los datos y de los sistemas informáticos.
Athento ubica los procesos y datos en datacenters de Canadá o Francia, cuyas leyes de protección de datos son compatibles con las de Colombia.
3.8. Establecer mecanismos que permitan contar con respaldo de la información que se procesa en la nube, la cual debe estar a disposición de la entidad cuando así lo requiera.
Athento dispone de copias de seguridad a las que el cliente tendrá acceso si así lo solicita.
3.9. Garantizar la independencia de su información y de sus copias de respaldo de la información de las otras entidades que procesen en la nube. La independencia se puede dar a nivel lógico o físico.
Para entidades financieras, Athento se instala en servidores independientes, de forma que no se comparten recursos de disco o procesamiento con los de otros clientes.
3.10. Mantener cifrada la información clasificada como confidencial en tránsito o en reposo, usando estándares y algoritmos reconocidos internacionalmente que brinden al menos la seguridad ofrecida por AES, RSA o 3DES. 3.11. Tener bajo su control la administración de usuarios y de privilegios para el acceso a los servicios ofrecidos, así como a las plataformas, aplicaciones y bases de datos que operen en la nube, dependiendo del modelo de servicio contratado.
Athento utiliza siempre encriptado HTTPS para la información en tránsito y encriptado AES para la información en reposo.
3.12. Monitorear los servicios contratados para detectar operaciones o cambios no deseados y/o adelantar las acciones preventivas o correctivas cuando se requiera.
Athento utiliza varios proveedores externos para el monitoreo de su servicio. Concretamente: Site24x7, para la monitorización de servidores y servicios de alto nivel; Runscope, para monitorización de servicios API REST y Ghostinspector, para monitorización de interfaz de usuario web.
3.13. Establecer procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube y sus subcontratistas o partners, cuando sean estos quienes prestan el servicio.
Athento ofrece acceso a las herramientas de monitorización y uso del servicio para cumplir con este numeral.
3.14. Contar con canales de comunicación con el proveedor de servicios en la nube cifrados de extremo a extremo y que en lo posible usen rutas diferentes.
Athento sólo trabaja con herramientas con encriptado SSL de modo que se aseguren las comunicaciones con los clientes y usuarios.
4. ACUERDOS O CONTRATOS DE SERVICIOS
Los acuerdos o contratos que suscriban las entidades para la prestación de servicios de computación en la nube deben contemplar como mínimo los siguientes elementos:
4.1. Las condiciones referentes a capacidad, disponibilidad, tiempos de recuperación, la existencia de planes de continuidad, resolución de incidentes y horarios de atención del proveedor del servicio, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con las instrucciones señaladas en el numeral 3 de este Capítulo.
El contrato base de Athento cuenta con los detalles que requiere la Circular 005, por lo que será para el cliente un punto de fácil cumplimiento.
4.2. Las condiciones de seguridad de la información y ciberseguridad de los servicios en la nube y las condiciones establecidas para proteger la privacidad y confidencialidad de los datos de los clientes, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con las instrucciones señaladas en el numeral 3 de este Capítulo sobre la información procesada en la nube.
El contrato base de Athento trata de forma especial los aspectos de confidencialidad, seguridad, etc.
4.3. La propiedad de la información que se procese en los servicios de computación en la nube, haciendo claridad que los datos son propiedad de la entidad vigilada y que no se pueden usar para ningún propósito diferente al establecido en el contrato.
Athento cuenta en su contrato base con una cláusula en la que se especifica que los datos son propiedad del cliente.
4.4. Las condiciones y limitaciones bajo las cuales se puede subcontratar parte del servicio o realizar cambios a los acuerdos establecidos con sus subcontratistas o partners.
Athento especifica de forma transparente en su contrato cuáles son los servicios que se subcontratan y los provedores.
4.5. Las causales de terminación del contrato por parte de la entidad, incluyendo, el incumplimiento de los acuerdos o niveles de servicio o el cambio de las condiciones que generen impacto negativo al servicio contratado.
4.6. La entrega a la entidad vigilada de informes y certificaciones que demuestren la calidad, desempeño y efectividad en la gestión de los servicios contratados, así como la vigencia de las certificaciones enunciadas en el numeral 3.4 de este Capítulo.
4.7. La obligación del proveedor del servicio de informar, en cuanto le sea posible, a la entidad vigilada sobre cualquier evento o situación que pudiera afectar significativamente la prestación del servicio y, por ende, el cumplimiento por parte de la vigilada de sus obligaciones frente a los consumidores financieros, a la SFC y a otras entidades.
4.8. El borrado seguro de los datos existentes en los medios de almacenamiento cuando finalice el contrato, cuando lo solicite la entidad o cuando el proveedor de servicios en la nube elimine y/o reemplace dichos medios.
4.9. La corrección oportuna y eficaz de las vulnerabilidades informáticas detectadas.
4.10. La utilización de técnicas de múltiple factor de autenticación para el acceso a las consolas de administración por parte de la entidad vigilada.
5. ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO
Athento cuenta con un Plan de Continuidad del Negocio que puede poner a disposición de sus clientes para cumplir con este requisito de la Circular.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.