Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

JUNTA MONETARIA
RESOLUCIN JM-102-2011
Inserta en el Punto Cuarto del Acta 32-2011, correspondiente a la sesin celebrada por
la Junta Monetaria el 17 de agosto de 2011.

PUNTO CUARTO: Superintendencia de Bancos eleva a consideracin de la Junta

Monetaria el proyecto de Reglamento para la Administracin del Riesgo
Tecnolgico.

RESOLUCIN JM-102-2011. Conocido el Oficio No. 3881-2011 del Superintendente

de Bancos, del 10 de agosto de 2011, mediante el cual eleva a consideracin de esta
Junta el proyecto de Reglamento para la Administracin de Riesgo Tecnolgico.

LA JUNTA MONETARIA:

CONSIDERANDO: Que para el desarrollo normal de sus actividades, las entidades del
sistema financiero supervisado dependen en alto grado del uso de tecnologa de la
informacin por lo que se hace necesario gestionar adecuadamente el riesgo
tecnolgico para asegurar la integridad, disponibilidad, confidencialidad de la
informacin, as como la continuidad de la prestacin de sus servicios;
CONSIDERANDO: Que el artculo 55 de la Ley de Bancos y Grupos Financieros
establece que los bancos y las empresas que integran grupos financieros debern
contar con procesos integrales que incluyan, entre otros, la administracin del riesgo
operacional, del cual forma parte el riesgo tecnolgico, que contengan sistemas de
informacin y un comit de gestin de riesgos, todo ello con el propsito de identificar,
medir, monitorear, controlar y prevenir los riesgos; CONSIDERANDO: Que de
conformidad con buenas prcticas a nivel internacional es conveniente que los bancos,
las sociedades financieras, las entidades fuera de plaza o entidades off shore, as
como las empresas especializadas en servicios financieros que forman parte de
grupos financieros, cuenten con lineamientos mnimos que deben observar a fin de
llevar a cabo una adecuada administracin del riesgo tecnolgico, con el objetivo de
mitigar el riesgo de prdidas financieras ocasionadas por la materializacin de dicho
riesgo,

POR TANTO:

Con fundamento en lo dispuesto en los artculos 132 y 133 de la Constitucin Poltica

de la Repblica de Guatemala, 26, incisos l), de la Ley Orgnica del Banco de
Guatemala, 55, 56, 57, 113 y 129 de la Ley de Bancos y Grupos Financieros, as como
tomando en cuenta el Oficio No. 3881-2011 del Superintendente de Bancos, del 10 de
agosto de 2011,
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

RESUELVE:

1. Emitir, conforme anexo a la presente resolucin, el Reglamento para la

Administracin del Riesgo Tecnolgico.

2. Autorizar a la Secretara de esta Junta para que publique la presente resolucin

en el diario oficial y en otro peridico, la cual entrar en vigencia el 1 de
septiembre de 2011.

Armando Felipe Garca Salas Alvarado

Secretario
Junta Monetaria

Publicada en el Diario de Centro Amrica el 26 de agosto de 2011

 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

ANEXO A LA RESOLUCIN JM-102-2011

REGLAMENTO PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO

CAPTULO I
DISPOSICIONES GENERALES

Artculo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos
mnimos que los bancos, las sociedades financieras, las entidades fuera de plaza o
entidades off shore y las empresas especializadas en servicios financieros que forman
parte de un grupo financiero, debern cumplir para administrar el riesgo tecnolgico.

Artculo 2. Definiciones. Para los efectos de este reglamento se establecen las

definiciones siguientes:

Administracin del riesgo tecnolgico: es el proceso que consiste en identificar,

medir, monitorear, controlar, prevenir y mitigar el riesgo tecnolgico.

Certificado digital: es un identificador nico que garantiza la identidad del emisor y

del receptor de un mensaje o transaccin electrnica, la confidencialidad del contenido
del envo, la integridad de la transaccin, y el no repudio de los compromisos
adquiridos por va electrnica.

Criticidad de la informacin: se refiere a la clasificacin de la informacin en

diferentes niveles considerando la importancia que sta tiene para la operacin del
negocio.

Diagrama de relacin: es la representacin grfica que describe la distribucin de

datos almacenados en las bases de datos de la institucin y la relacin entre stos,
tales como los diagramas de entidad-relacin para el caso de bases de datos del tipo
relacional.

Diccionario de datos: es la documentacin relativa a las especificaciones de los

datos, tales como su identificacin, descripcin, atributos, el dominio de valores,
restricciones de integridad y ubicacin dentro de una base de datos.

Infraestructura de tecnologa de la informacin o infraestructura de TI: es el

hardware, software, redes, instalaciones y otros elementos que se requieren para
desarrollar, probar, entregar, monitorear, controlar o dar soporte a los servicios de
tecnologa de la informacin. La infraestructura de TI excluye al recurso humano, los
procesos y la documentacin.

Institucin o instituciones: se refiere a los bancos, las sociedades financieras, las

entidades fuera de plaza o entidades off shore y las empresas especializadas en
servicios financieros que forman parte de un grupo financiero.
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

Riesgo tecnolgico: es la contingencia de que la interrupcin, alteracin, o falla de la

infraestructura de TI, sistemas de informacin, bases de datos y procesos de TI,
provoque prdidas financieras a la institucin.

Sensibilidad de la informacin: clasificacin de la informacin segn el perjuicio que

ocasione a la institucin su alteracin, destruccin, prdida o divulgacin no
autorizada.

Sistemas de informacin: es el conjunto organizado de datos, procesos y personas

para obtener, procesar, almacenar, transmitir, comunicar y disponer de la informacin
en la institucin para un objetivo especfico.

Tecnologa de la informacin o TI: es el uso de la tecnologa para obtener, procesar,

almacenar, transmitir, comunicar y disponer de la informacin, para dar viabilidad a los
procesos del negocio.

CAPTULO II
ORGANIZACIN PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO

Artculo 3. Polticas y procedimientos. Las instituciones debern establecer e

implementar polticas y procedimientos que les permitan realizar permanentemente
una adecuada administracin del riesgo tecnolgico, de la institucin, considerando la
naturaleza, complejidad y volumen de sus operaciones.

Dichas polticas y procedimientos debern comprender, como mnimo, las

metodologas, herramientas o modelos de medicin del riesgo tecnolgico, as como
los aspectos que se detallan en los captulos del III al VI de este reglamento y
agruparse en los temas siguientes:

a) Infraestructura de TI, sistemas de informacin, bases de datos y servicios de TI;

b) Seguridad de tecnologa de la informacin;

c) Continuidad de operaciones de tecnologa de la informacin; y,

d) Procesamiento de informacin y tercerizacin.

En adicin a los aspectos indicados, las instituciones debern establecer polticas para
elaborar, implementar y actualizar el plan estratgico de TI a que se refiere el artculo 7
de este reglamento.

Artculo 4. Responsabilidad del Consejo de Administracin. El Consejo de

Administracin o quien haga sus veces, en lo sucesivo el Consejo, sin perjuicio de las
responsabilidades que le asignan otras disposiciones legales aplicables, es el
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

e) Revisar, al menos anualmente, las polticas y procedimientos y proponer la

actualizacin, cuando proceda;

f) Analizar los reportes que le remita la Unidad de Administracin de Riesgos, a que

se refiere el artculo 6 de este reglamento, sobre la exposicin del riesgo
tecnolgico de la institucin, los cambios sustanciales de tal exposicin y su
evolucin en el tiempo, as como adoptar las medidas correctivas
correspondientes;

g) Analizar la informacin que le remita la Unidad de Administracin de Riesgos

sobre el cumplimiento de las polticas y procedimientos aprobados, as como
evaluar las causas de los incumplimientos que hubieren, y proponer al Consejo
acciones a adoptar con relacin a dichos incumplimientos;

h) Reportar al Consejo, al menos semestralmente y cuando la situacin lo amerite,

sobre la exposicin al riesgo tecnolgico de la institucin, los cambios
sustanciales de tal exposicin, su evolucin en el tiempo, las principales medidas
correctivas adoptadas y el cumplimiento de las polticas y procedimientos
aprobados; e,

i) Otras funciones relacionadas que le asigne el Consejo.

Las sesiones y acuerdos del Comit debern constar en acta suscrita por quienes
intervinieron en la sesin.

El Consejo deber asegurarse que la estructura organizacional para administrar TI

permita asesorar al Comit en los aspectos relacionados con el riesgo tecnolgico.

Artculo 6. Unidad de Administracin de Riesgos. La Unidad de Administracin de

Riesgos, en lo sucesivo la Unidad, apoyar al Comit en la administracin del riesgo
tecnolgico, para lo cual tendr las funciones siguientes:

a) Proponer al Comit polticas y procedimientos para la administracin del riesgo

tecnolgico, as como el plan estratgico de TI, el plan de continuidad de
operaciones de TI a que se refiere el artculo 20 de este reglamento y su plan de
pruebas descrito en el artculo 21;

b) Revisar, al menos anualmente y cuando la situacin lo amerite, las polticas, los

procedimientos, el plan estratgico de TI, y para los procesos crticos, el plan de
continuidad de operaciones de TI y su plan de pruebas, y proponer su
actualizacin al Comit, atendiendo los cambios en la estrategia o situacin de la
institucin o cuando lo requiera la normativa;

c) Monitorear la exposicin al riesgo tecnolgico y mantener registros histricos

sobre dicho monitoreo, as como medir el riesgo tecnolgico;
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

d) Analizar el riesgo tecnolgico inherente de las innovaciones en TI que se

implementen en la institucin y el que se derive de los nuevos productos y
servicios propuestos por las unidades de negocios;

e) Reportar al Comit, al menos trimestralmente y cuando la situacin lo amerite,

sobre la exposicin al riesgo tecnolgico de la institucin, los cambios
sustanciales de tal exposicin y su evolucin en el tiempo, as como proponer al
Comit las medidas correctivas correspondientes;

f) Verificar e informar al Comit, al menos trimestralmente y cuando la situacin lo

amerite, sobre el nivel de cumplimiento de las polticas y procedimientos
aprobados;

g) Identificar las causas del incumplimiento de las polticas y procedimientos

aprobados, determinar si los mismos se presentan en forma reiterada e incluir sus
resultados en el informe indicado en el inciso f) anterior y proponer las medidas
correctivas, debiendo mantener registros histricos sobre tales incumplimientos; y,

h) Otras funciones relacionadas que le asigne el Comit.

El Consejo deber asegurarse que la estructura organizacional para administrar TI

permita apoyar a la Unidad en los aspectos relacionados con el riesgo tecnolgico.

Artculo 7. Plan estratgico de TI. Las instituciones, como parte de su plan

estratgico general, debern tener un plan estratgico de TI alineado con la estrategia
de negocios, para gestionar la infraestructura de TI, los sistemas de informacin, la
base de datos y al recurso humano de TI.

El plan estratgico de TI debe incluir, como mnimo, los aspectos siguientes:

a) Objetivos de TI alineados con la estrategia de negocios en funcin del anlisis e

impacto de factores internos y externos en esta materia, tales como
oportunidades, limitaciones y desempeo de la infraestructura de TI, los sistemas
de informacin, la base de datos y el recurso humano relacionado;

b) Estrategias de TI, para la consecucin de los objetivos;

c) Proyectos y actividades especficas; y,

d) El presupuesto financiero para su ejecucin.

Las instituciones debern poner a disposicin de la Superintendencia de Bancos el

plan estratgico de TI y sus modificaciones, cuando sta lo requiera.
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern

remitir una copia del plan estratgico de TI a que se refiere este artculo, a la
Superintendencia de Bancos, antes del inicio de sus operaciones.

Artculo 8. Organizacin de TI. Las instituciones debern contar con una estructura
organizacional de TI que est alineada con el plan estratgico, asegurndose que el
recurso humano de TI tenga las capacidades necesarias mediante programas de
entrenamiento y capacitacin, una adecuada separacin de funciones, delegacin de
autoridad, definicin de roles y asignacin de responsabilidades, todo esto soportado
con un marco de trabajo estructurado en procesos, los cuales debern estar
debidamente identificados.

Artculo 9. Manual de administracin del riesgo tecnolgico. Las polticas y

procedimientos a que se refiere el artculo 3 de este reglamento debern constar por
escrito en un manual de administracin del riesgo tecnolgico que ser aprobado por
el Consejo.

El Consejo conocer y resolver sobre las propuestas de actualizacin del manual de

administracin del riesgo tecnolgico y autorizar las modificaciones al mismo, las que
debern ser comunicadas a la Superintendencia de Bancos, dentro de los diez (10)
das hbiles siguientes a su aprobacin.

Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern

remitir una copia del manual a que se refiere este artculo a la Superintendencia de
Bancos antes del inicio de sus operaciones.

CAPTULO III
INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIN,
BASES DE DATOS Y SERVICIOS DE TI

Artculo 10. Esquema de la informacin del negocio. Las instituciones debern

contar con un esquema actualizado de la informacin del negocio que represente la
interrelacin entre la infraestructura de TI, los sistemas de informacin, los servicios de
TI y los procesos de las principales lneas de negocio.

Artculo 11. Inventarios de infraestructura de TI, sistemas de informacin y de

bases de datos. Las instituciones debern mantener inventarios actualizados de su
infraestructura de TI, de sus sistemas de informacin y de sus bases de datos que
incluyan, como mnimo, lo siguiente:

a) De infraestructura de TI:

1. Especificaciones tcnicas de sus elementos:

i. Tipo;
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

ii. Nombre;

iii. Funcin; y,

iv. Identificar si el mantenimiento es propio o realizado por terceros, en este

ltimo caso deber identificarse al proveedor.

2. Ubicacin fsica de sus elementos.

b) De sistemas de informacin:

1. Caractersticas de los sistemas de informacin:

i. Nombre;

ii. Funcin;

iii. Lenguaje de programacin;

iv. Versin;

v. Estructura del sistema y las relaciones entre sus componentes;

vi. Nombre y versin de los manejadores de bases de datos con las cuales
interactan;

vii. Nombre de las bases de datos con las cuales interactan;

viii. Identificar si es desarrollo propio o realizado por terceros, en este ltimo

caso deber identificarse al proveedor; y,

ix. Identificar si el mantenimiento es propio o realizado por terceros, en este

ltimo caso deber identificarse al proveedor.

2. Documentacin tcnica; y,

3. Documentacin para el usuario final.

c) De bases de datos:

1. Nombre;

2. Descripcin general de la informacin que contiene;

3. Manejador de base de datos o sistema de gestin de archivos, y su versin;

 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

4. Nombre de los servidores en los que reside;

5. Diccionario de datos;

6. Diagramas de relacin; y,

7. Nombre del administrador de la base de datos.

A la entrada en vigencia de este reglamento, los inventarios de infraestructura de TI,

sistemas de informacin y de bases de datos, a que se refiere este artculo, sern
obligatorios para las aplicaciones que soportan los procesos crticos del negocio,
especialmente las que permitan a los respectivos depositantes disponer de sus fondos.

Artculo 12. Administrador de base de datos. Las instituciones debern designar

uno o ms administradores de base de datos para gestionar los controles de accesos,
la integridad, disponibilidad y confidencialidad de los datos, as como los procesos de
creacin, actualizacin o eliminacin de estructuras en las bases de datos, entre otros.

Artculo 13. Monitoreo de la infraestructura de TI, sistemas de informacin y

bases de datos. Las instituciones debern realizar evaluaciones peridicas de la
capacidad y desempeo de la infraestructura de TI, de los sistemas de informacin y
de las bases de datos, con el objeto de determinar necesidades de ampliacin de
capacidades o actualizaciones.

Las instituciones debern documentar y llevar registro de las evaluaciones peridicas a

que se refiere este artculo y realizar anlisis de tendencias para determinar
capacidades futuras.

Artculo 14. Adquisicin, mantenimiento e implementacin de infraestructura de

TI, sistemas de informacin y bases de datos. Las instituciones debern contar con
procesos documentados y planes operativos para la adquisicin, mantenimiento e
implementacin de la infraestructura de TI, los sistemas de informacin y las bases de
datos. Dichos procesos debern incluir, como mnimo, los aspectos siguientes:

a) En lo referente a adquisicin y mantenimiento:

1. Seleccin de proveedores, considerando factibilidad tecnolgica y econmica;

y,

2. Contratacin, considerando la suscripcin y ejecucin.

b) En lo referente a implementacin:

1. Realizacin de pruebas; y,

2. Registro y monitoreo de la implementacin.

 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

Artculo 15. Gestin de servicios de TI. Las instituciones debern realizar una
adecuada gestin de los servicios de TI de acuerdo con las prioridades del negocio
estableciendo, como mnimo, los aspectos siguientes:

a) Un catlogo que comprenda la definicin de cada uno de los servicios de TI.

b) Acuerdos de niveles de servicio de TI establecidos entre las reas del negocio y

las reas de TI. Dichos acuerdos deben comprender:

1. Los compromisos de las reas de negocios;

2. Los compromisos de las reas de TI;

3. Los requerimientos de soporte para el servicio de TI;

4. Las condiciones del servicio de TI; y,

5. El registro, monitoreo y actualizacin para la mejora de los servicios de TI.

c) Procesos de gestin de incidentes y de problemas, los cuales deben comprender:

1. La clasificacin, registro, atencin, anlisis de tendencias y monitoreo de los

incidentes presentados por los usuarios;

2. El escalamiento de incidentes para su atencin y resolucin, cuando aplique; y,

3. La identificacin, anlisis, registro y monitoreo de la causa raz de los

problemas y su posterior resolucin.

d) Procesos de gestin de cambios en infraestructura de TI, sistemas de informacin

y bases de datos, los cuales deben comprender:

1. La evaluacin del impacto, priorizacin y autorizacin del cambio;

2. Los cambios de emergencia; y,

3. Realizacin de pruebas, registro y monitoreo del cambio.

Artculo 16. Ciclo de vida de los sistemas de informacin. Las instituciones

debern implementar metodologas adecuadamente documentadas para el anlisis,
diseo, desarrollo, pruebas, puesta en produccin, mantenimiento, control de
versiones y control de calidad de los sistemas de informacin.

Las actividades de desarrollo y produccin debern realizarse en ambientes distintos.

 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

CAPTULO IV
SEGURIDAD DE TECNOLOGA DE LA INFORMACIN

Artculo 17. Gestin de la seguridad de la informacin. Las instituciones debern

gestionar la seguridad de su informacin con el objeto de garantizar la
confidencialidad, integridad y disponibilidad de los datos, as como mitigar los riesgos
de prdida, extraccin indebida y corrupcin de la informacin, debiendo considerar,
como mnimo, los aspectos siguientes:

a) Identificacin y clasificacin de la informacin de acuerdo a criterios de

sensibilidad y criticidad;

b) Roles y responsabilidades para la gestin de la seguridad de la informacin;

c) Monitoreo de la seguridad de la informacin;

d) Seguridad fsica que incluya controles y medidas de prevencin para resguardar

adecuadamente la infraestructura de TI de acuerdo a la importancia definida por
la institucin conforme al riesgo a que est expuesta, considerando:

1. Ubicacin fsica y sus controles de acceso;

2. Acondicionamiento del espacio fsico que considere factores tales como

temperatura, humedad y prevencin de incendios;

3. Vigilancia, que incluya factores tales como personal de seguridad, sistemas de

video y sensores;

4. Suministro ininterrumpido de energa elctrica; y,

5. Adecuado manejo del cableado de red y de energa elctrica.

e) Seguridad lgica que incluya controles y medidas de prevencin para resguardar

la integridad y seguridad de los sistemas de informacin y de los datos,
considerando:

1. Administracin de los permisos a los sistemas de informacin, datos y

elementos de la infraestructura de TI, que incluya registro y bitcoras del
proceso y revisiones peridicas de los permisos;

2. Revisin del uso de permisos para detectar actividades no autorizadas;

3. Bitcoras de las transacciones realizadas en los sistemas de informacin

crticos; y,
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

4. Pruebas peridicas para detectar vulnerabilidades en la infraestructura de TI,

los sistemas de informacin y las bases de datos.

Artculo 18. Copias de respaldo. Las instituciones debern tener copias de la

informacin de la infraestructura de TI, sistemas de informacin y bases de datos, para
lo cual debern considerar, como mnimo, los aspectos siguientes:

a) Informacin a respaldar, periodicidad y validacin de las copias de respaldo;

b) Procedimientos de restauracin de las copias de respaldo;

c) Congruencia con la estrategia institucional para la continuidad de operaciones; y,

d) Ubicacin de las copias de respaldo y de la documentacin de los procedimientos

de restauracin.

Artculo 19. Operaciones y servicios financieros a travs de canales electrnicos.

Las instituciones que realicen operaciones y presten servicios financieros a travs de
canales electrnicos debern implementar, como mnimo, lo siguiente:

a) Mecanismos para la proteccin y control de la infraestructura de TI, los sistemas

de informacin y las bases de datos;

b) Medidas de seguridad en el intercambio de informacin a travs de los canales

electrnicos. Cualquier intercambio de informacin sensible debe estar
respaldado por un certificado digital, cifrado de datos u otro mecanismo que
permita garantizar la transferencia de informacin;

c) Programas de educacin y divulgacin de informacin para clientes; y,

d) Registro y bitcoras de las transacciones efectuadas.

CAPTULO V
CONTINUIDAD DE OPERACIONES DE TECNOLOGA DE LA INFORMACIN

Artculo 20. Plan de continuidad de operaciones de TI. Las instituciones debern

contar con un plan de continuidad de operaciones de TI, que est alineado a las
necesidades de la institucin, para recuperar los procesos crticos de las principales
lneas de negocio soportados por TI, as como la informacin asociada en caso de una
interrupcin.

El plan de continuidad de operaciones de TI deber incluir, como mnimo, los aspectos

siguientes:

a) Objetivo y alcance del plan;

 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

b) Identificacin de los procesos crticos de las principales lneas de negocio;

c) Identificacin de los procesos de TI que son necesarios para soportar los

procesos identificados en el inciso b) anterior;

d) Procedimientos y canales de comunicacin;

e) Procedimientos de recuperacin y restauracin de operaciones y procesos

crticos;

f) Identificacin y descripcin de responsabilidades del personal clave para la

continuidad de operaciones de TI y listado de proveedores;

g) Recursos necesarios para la recuperacin;

h) Convenios documentados con terceros; e,

i) Identificacin de factores de dependencia interna y externa de la institucin, tales

como proveedores, personal de la entidad u otros, y las acciones para mitigar el
riesgo de dicha dependencia.

Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern

remitir una copia del plan de continuidad de operaciones de TI a que se refiere este
artculo a la Superintendencia de Bancos antes del inicio de sus operaciones.

Las modificaciones al plan de continuidad de operaciones de TI debern ser

comunicadas a la Superintendencia de Bancos dentro de los diez (10) das hbiles
siguientes a su aprobacin.

Artculo 21. Pruebas al plan de continuidad de operaciones de TI. Las instituciones

debern elaborar como parte del plan de continuidad de TI un plan de pruebas que
incluya, como mnimo: alcance, escenarios y periodicidad.

Los resultados de las pruebas realizadas debern documentarse y, cuando

corresponda, adecuar el plan de continuidad de operaciones de TI en funcin de los
resultados obtenidos.

Artculo 22. Capacitacin del personal clave para la continuidad de operaciones

de TI. Las instituciones debern mantener capacitado al personal clave, a que se
refiere el inciso f) del artculo 20 de este reglamento, para activar o probar el plan de
continuidad de operaciones de TI y sus modificaciones.

Artculo 23. Centro de cmputo alterno. Las instituciones debern contar con un
centro de cmputo alterno con las caractersticas fsicas y lgicas necesarias para dar
continuidad a las operaciones y los procesos crticos de negocios, cumpliendo con los
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

requisitos establecidos en este reglamento referentes a seguridad de tecnologa de la

informacin, infraestructura de TI, sistemas de informacin y bases de datos.

El centro de cmputo alterno deber estar en una ubicacin distinta del centro de
cmputo principal, de tal forma que no se vean expuestos a un mismo nivel de riesgo
ante la ocurrencia de un mismo desastre. Se entender por desastre todo evento que
interrumpa las operaciones normales de un negocio.

En caso el centro de cmputo alterno est ubicado fuera del territorio nacional, las
instituciones debern permitir a la Superintendencia de Bancos el libre acceso a su
infraestructura de TI, sistemas de informacin y bases de datos, y proporcionar a sta
la informacin que les requiera.

CAPTULO VI
PROCESAMIENTO DE INFORMACIN Y TERCERIZACIN

Artculo 24. Procesamiento de la informacin. Las instituciones podrn procesar su

informacin dentro o fuera del territorio nacional debiendo contar para el efecto con la
infraestructura de TI, sistemas de informacin, bases de datos y personal tcnico
capacitado con el propsito de asegurar la disponibilidad, integridad, confidencialidad y
accesibilidad de la informacin.

En el caso de procesamiento fuera del territorio nacional, previamente debern contar

con autorizacin de la Superintendencia de Bancos y cumplir con los requisitos
siguientes:

a) Contar con un centro de cmputo alterno, conforme lo establecido en el artculo

anterior, ubicado en el territorio nacional;

b) Disponer de personal tcnico y uno o ms administradores de bases de datos, en

el territorio nacional, capacitados para operar el centro de cmputo alterno;

c) Replicacin en tiempo real hacia servidores locales de su informacin procesada

fuera del territorio nacional; y,

d) Permitir a la Superintendencia de Bancos el libre acceso a su infraestructura de

TI, sistemas de informacin, bases de datos e instalaciones ubicadas fuera del
territorio nacional, y proporcionar a sta la informacin que le requiera.

Asimismo las instituciones debern contar con la autorizacin previa de la

Superintendencia de Bancos para cambiar el sitio donde se procesa la informacin
hacia otro pas.

Artculo 25. Tercerizacin. Cuando se contraten servicios de terceros para el

procesamiento de su informacin, las instituciones sern las responsables de cumplir
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

con lo establecido en este reglamento. En los contratos que se suscriban debern

incluir, como mnimo, lo siguiente:

a) Que la Superintendencia de Bancos tendr libre acceso a las instalaciones de los

contratados, infraestructura de TI, sistemas de informacin y bases de datos,
relacionadas con el servicio contratado por la institucin;

b) Que el contratado tiene obligacin de proporcionarle a la Superintendencia de

Bancos, cuando sta se lo requiera, toda la informacin y/o documentos
relacionados con las operaciones y servicios de tercerizacin prestados a la
institucin por el contratado;

c) Que el contratado guardar la confidencialidad de las operaciones y servicios que

realizare y dems informacin a que tenga acceso con motivo de su relacin con
la institucin contratante;

d) Que el contratado se compromete a cumplir con la institucin lo establecido en

este reglamento, relativo a la infraestructura de TI, sistemas de informacin,
bases de datos, servicios de TI, seguridad de tecnologa de la informacin y
continuidad de operaciones de tecnologa de la informacin; y,

e) Acuerdos de niveles de servicio.

Lo establecido en este artculo, es sin perjuicio del cumplimiento de lo indicado en los

artculos 23 y 24 de este reglamento.

CAPTULO VII
DISPOSICIONES TRANSITORIAS Y FINALES

Artculo 26. Transitorio. Las instituciones que al momento del inicio de vigencia de
este reglamento se encuentren operando, debern presentar a la Superintendencia de
Bancos un plan de implementacin aprobado por el Consejo, para ajustarse a las
disposiciones de esta normativa, dentro de los seis (6) meses siguientes a la fecha en
que cobre vigencia el mismo.

La ejecucin del plan indicado en el prrafo anterior, no deber exceder de veinticuatro

(24) meses contados a partir de vencido el plazo para la entrega de dicho plan.

Artculo 27. Transitorio. Las instituciones debern enviar a la Superintendencia de

Bancos el manual de administracin del riesgo tecnolgico y el plan de continuidad de
operaciones de TI, dentro de los cinco (5) das siguientes de vencido el plazo para la
ejecucin del plan indicado en el artculo 26.

Artculo 28. Envo de informacin a la Superintendencia de Bancos. Las

instituciones debern enviar a la Superintendencia de Bancos informacin relacionada
 Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011

con el riesgo tecnolgico conforme a las instrucciones generales que el rgano

supervisor les indique.

Artculo 29. Casos no previstos. Los casos no previstos en este reglamento sern
resueltos por la Junta Monetaria, previo informe de la Superintendencia de Bancos.