La Superintendencia de Instituciones del Sector Bancario (Sudeban), de Venezuela, emitió el pasado 29 de diciembre un nuevo marco regulatorio relacionado con el uso de servicios de Computación de Nube en la banca venezolana, señalando que, si bien representaba una tecnología con muchos beneficios, también representaba una entrada a potenciales riesgos cibernéticos que podrían vulnerar los principios básicos de información relativos a la seguridad, privacidad, confidencialidad y disponibilidad de los datos.

De acuerdo a lo informado por el portal Banca y Negocios, la Sudeban recordó, a través de una circular enviada a los entes regulados, la prohibición expresa de trasladar centros de cómputos y bases de datos «determinadas como principales» de los usuarios de los bancos fuera del territorio nacional.

En este sentido, también a través de la circular “Usos de servicios de computación en la nube”, expresaron que, en virtud a sus atribuciones y funciones conferidas como regulador, le instruye también a las instituciones bancarias que para la implementación de servicios de computación en la nube deberá prever que el proveedor de dicho servicio opere estrictamente dentro del territorio nacional, a la vez que da cumplimiento de una serie de 8 normas descritas por ellos en el mismo boletín, que incluye el contrato que debe darse con los proveedores de servicios bajo cláusulas establecidas, de las cuales destacan las siguientes:

  • Identificación completa de las partes.
  • Naturaleza y especificación del servicio contratado.
  • Acuerdos específicos de confidencialidad y no revelación de información.
  • Ubicación física de dónde se procesarán y almacenarán los datos.
  • Procedimientos de atención y solución de incidentes tecnológicos, así como políticas específicas de seguridad de la información.
  • La determinación de la responsabilidad que asume la empresa proveedora de "mantener políticas, normas, procedimientos que garanticen la seguridad informática; así como aquellas tendentes a prevenir pérdidas, atrasos o deterioro de los datos".
  • Niveles de servicio esperados y aceptables.
  • Cumplir requisitos legales en cuanto a derechos de propiedad intelectual y derechos de autor.

Por otro lado, la Sudeban señaló que, de manera estricta e independiente de los servicios contratados a un proveedor de servicios de computación en la nube, será la institución quien vele por la verificación de la eficiencia de los controles que establezca, y la protección de los datos de los clientes.

En último lugar aclaró que, en caso de que existiesen contratos que no cumpliesen con lo señalado en su circular, tal institución bancaria tendrá un plazo de veinte días hábiles bancarios para remitir a este ente superior un proyecto de adecuación correspondiente con las nuevas normas, puesto que el incumplimiento de las normas -señaló la circular- "será sancionado a lo previsto en el decreto con Rango, Valor y Fuerza de Ley de Instituciones del Sector Bancario”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.