Infraestructuras del Mercado Financiero (IMF)

Guï¿½a de Supervisiï¿½n de Infraestructuras del Mercado Financiero (IMF)

De acuerdo con el Texto Ordenado (TO) ï¿½Principios para las Infraestructuras del Mercado Financieroï¿½, se define el alcance para Cï¿½mara de Alto Valor, Cï¿½mara de Bajo Valor, Redes de Cajeros Automï¿½ticos y toda otra Infraestructura de ï¿½ndole similar, agregada, modificada y/o complementaria.

Los procedimientos de supervisiï¿½n estarï¿½n destinados a determinar la implementaciï¿½n de los controles requeridos por el marco normativo vigente sobre el gobierno de la Tecnologï¿½a Informï¿½tica y los Sistemas de Informaciï¿½n de las Infraestructuras del Mercado Financiero argentino.

Son complementarios a aquellos procedimientos que pudieran aplicarse a las infraestructuras alcanzadas, la provisiï¿½n de servicios de tecnologï¿½a informï¿½tica tercerizados de las entidades financieras.

Asimismo, son complementarios a las obligaciones establecidas para las cï¿½maras electrï¿½nicas de compensaciï¿½n segï¿½n el marco normativo aplicable.

Entre otros aspectos, se evaluarï¿½n:

ï¿½ La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnologï¿½a y los sistemas de informaciï¿½n.
ï¿½ La definiciï¿½n de mecanismos de gobierno formalizados, claros y transparentes, que incluyan:

- La definiciï¿½n de objetivos vinculados con la seguridad de sus operaciones.
- La asignaciï¿½n clara de responsabilidades y obligaciones de rendiciï¿½n de cuentas.
- La definiciï¿½n formal de las funciones y responsabilidades del ï¿½rgano mï¿½ximo de administraciï¿½n (Directorio o autoridad equivalente), de la alta gerencia y de las Gerencias de lï¿½nea, respecto del gobierno y la gestiï¿½n de tecnologï¿½a y sistemas de informaciï¿½n.

ï¿½ La revisiï¿½n periï¿½dica de los procedimientos y el marco normativo.

ï¿½ La ejecuciï¿½n de un proceso establecido y formalizado de gestiï¿½n de riesgos, que incluya una polï¿½tica de tolerancia al riesgo claramente definida y aprobada, y contemple los riesgos operacionales vinculados con la gestiï¿½n de tecnologï¿½a y sistemas de informaciï¿½n.

ï¿½ La existencia de un Comitï¿½ de Tecnologï¿½a informï¿½tica que cumpla con las siguientes condiciones:

- Formalizaciï¿½n mediante un reglamento que describa sus responsabilidades, las cuales deberï¿½n encontrarse en consonancia con el TO vigente (ï¿½Principios para las Infraestructuras del Mercado Financieroï¿½).
- Frecuencia de reuniï¿½n mï¿½nima trimestral, formalizada mediante actas puestas en conocimiento del ï¿½rgano de administraciï¿½n.

ï¿½ La existencia de un marco para la gestiï¿½n integral que incluya a los riesgos operativos vinculados con la tecnologï¿½a informï¿½tica y los sistemas de informaciï¿½n.

ï¿½ La definiciï¿½n de polï¿½ticas, procedimientos y sistemas de gestiï¿½n de riesgos que le permitan identificar, medir, monitorear y gestionar la gama de riesgos que pudieran surgir en cada IMF o que sean asumidos por ella.

ï¿½ La ejecuciï¿½n de una revisiï¿½n periï¿½dica, al menos anual, de los marcos de gestiï¿½n de riesgos establecidos, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de la misma.

ï¿½ La realizaciï¿½n de revisiones periï¿½dicas de los riesgos importantes vinculados con la tecnologï¿½a y los sistemas de informaciï¿½n a los que estï¿½ expuesta por su relaciï¿½n con terceros, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de las mismas.

ï¿½ La implementaciï¿½n de un marco de control del grado de exposiciï¿½n a potenciales riesgos vinculados con los sistemas de informaciï¿½n, la tecnologï¿½a informï¿½tica y sus recursos asociados, considerando tambiï¿½n aspectos relacionados con ciberataques y ciberresiliencia, que incluyan:

- La existencia de documentaciï¿½n que constate los anï¿½lisis de riesgos formalmente realizados.
- La gestiï¿½n de la correcciï¿½n de las debilidades que expongan a la entidad a niveles de riesgo alto o inaceptable.
- La identificaciï¿½n, vigilancia y gestiï¿½n de los riesgos que los principales participantes, otras IMF y quienes provean servicios puedan representar para sus actividades.
- La identificaciï¿½n, control y gestiï¿½n de los riesgos que sus actividades puedan representar para otras IMF.
- La definiciï¿½n clara de las responsabilidades vinculadas con el riesgo operacional relacionado con la tecnologï¿½a informï¿½tica, los sistemas de informaciï¿½n y sus recursos asociados, y una efectiva comunicaciï¿½n de los resultados, de todos los aspectos previamente mencionados, a la superioridad.

ï¿½ La realizaciï¿½n de anï¿½lisis de la capacidad, que permita adecuarse a gestionar un aumento de los volï¿½menes de tensiï¿½n cumpliendo con sus objetivos de nivel de servicio.

ï¿½ La existencia de polï¿½ticas integrales de seguridad fï¿½sica y de la informaciï¿½n, revisadas, como mï¿½nimo, anualmente.

ï¿½ La existencia de procesos establecidos para el planeamiento, la implementaciï¿½n y el mejoramiento continuo de los procesos de administraciï¿½n y control de seguridad sobre la protecciï¿½n de los activos de informaciï¿½n.

ï¿½ La elaboraciï¿½n de planes operativos que contemplen los factores crï¿½ticos para un efectivo control de las aplicaciones, que deberï¿½n ser regularmente monitoreados, con el fin de verificar la existencia de posibles cambios que pudiesen afectarlos.

ï¿½ La inclusiï¿½n, en las etapas iniciales de los nuevos proyectos informï¿½ticos, de requerimientos a distintas ï¿½reas de la organizaciï¿½n (Auditorï¿½a Interna, Protecciï¿½n al Usuario de Servicios Financieros, etc.), que aseguren el diseï¿½o y la implementaciï¿½n de apropiados controles y registros de seguridad una vez implementados.

ï¿½ El establecimiento de un plan de continuidad del servicio, que cumpla las siguientes condiciones:

- Se base en los resultados de una evaluaciï¿½n de riesgos para determinar el impacto de distintos eventos, tanto en tï¿½rminos de magnitud de daï¿½o como del perï¿½odo de recuperaciï¿½n y la vuelta a la normalidad.
- Se establezca un sitio secundario para la provisiï¿½n de los servicios crï¿½ticos.
- Se recuperen los servicios crï¿½ticos en un plazo de dos horas a partir del incidente.
- Se complete la liquidaciï¿½n transaccional antes de finalizar la jornada, incluso ante circunstancias extremas.
- Se pruebe la soluciï¿½n adoptada, como mï¿½nimo, anualmente.
- Se incluya un plan de contingencia tecnolï¿½gica.

Guï¿½a de supervisiï¿½n especï¿½fica: Cï¿½maras Electrï¿½nicas de Compensaciï¿½n

Los procedimientos de supervisiï¿½n estarï¿½n destinados a determinar la implementaciï¿½n de los controles requeridos por el marco normativo vigente para las cï¿½maras de compensaciï¿½n:

ï¿½ La implementaciï¿½n de medidas que aseguren la alta disponibilidad y la resiliencia del servicio:

o el cumplimiento diario de los horarios de corte de procesos definidos en los documentos de Modelo y Diseï¿½o Conceptual de cada producto.
- La disponibilidad de los sistemas para que las entidades adheridas puedan intercambiar la totalidad de sus transacciones dentro de las ventanas de operaciï¿½n definidas.
- El procesamiento de todas las transacciones dentro de la ventana de operaciï¿½n diaria en un 99% de los dï¿½as del aï¿½o, y una demora no mayor a 2 (dos) horas ante fallas.
- La incorporaciï¿½n de medidas suficientes de redundancia en el diseï¿½o de cada estrato de su arquitectura. - La mediciï¿½n, planeamiento y actualizaciï¿½n de la capacidad de procesamiento, memoria y almacenamiento en funciï¿½n de las necesidades del mercado.

ï¿½ La aplicaciï¿½n de medidas de continuidad para el funcionamiento de las instalaciones y la infraestructura, que alcancen:
- La continuidad del servicio elï¿½ctrico y la existencia de sistemas para el monitoreo de equipos y de la provisiï¿½n de electricidad.
- El diseï¿½o de las redes de manera tal que permita la continuidad de las comunicaciones con el centro de procesamiento alternativo y quienes integran el sistema.

ï¿½ El establecimiento de servicios de mantenimiento de equipos y sistemas.

ï¿½ La existencia de procedimientos alternativos de comunicaciones para el caso de fallas en el medio de acceso principal.

ï¿½ La definiciï¿½n de adecuadas medidas de seguridad lï¿½gica de las cï¿½maras electrï¿½nicas que incluyan:

- La encripciï¿½n de la informaciï¿½n transmitida a travï¿½s de los enlaces que interconectan a las Cï¿½maras Electrï¿½nicas entre sï¿½ y con las entidades financieras, el uso de algoritmos adecuados y la definiciï¿½n de procesos especï¿½ficos para el intercambio de claves y la autenticaciï¿½n de la informaciï¿½n.
- La implementaciï¿½n de directivas de seguridad y mecanismos de control de acceso en los sistemas operativos, las bases de datos y las aplicaciones de las cï¿½maras.
- Registros de auditorï¿½a del uso de aplicaciones y/o utilitarios del sistema.
- La implementaciï¿½n de una separaciï¿½n de ambientes entre producciï¿½n y los ambientes de desarrollo, pruebas u otros.

ï¿½ La definiciï¿½n de adecuadas medidas de seguridad fï¿½sica en los centros de procesamiento (principal y alternativo), que incluya, como mï¿½nimo:

- Seguridad en general del edificio
- Control de acceso al ï¿½mbito de sistemas
- Sistema de detecciï¿½n, aviso y extinciï¿½n de fuego
- Sistemas de refrigeraciï¿½n

ï¿½ La existencia, aprobaciï¿½n formal y actualizaciï¿½n periï¿½dica de un plan de contingencias que permita restablecer el servicio desde su lugar habitual, o su sitio de operaciï¿½n alternativo, con una demora mï¿½xima de 2 (dos) horas respecto a la ventana de operaciï¿½n diaria.

ï¿½ La realizaciï¿½n de pruebas completas a la contingencia, por lo menos, dos veces por aï¿½o.

ï¿½ La formalizaciï¿½n de las relaciones contractuales con terceras partes que brinden servicios a la cï¿½mara, que incluya clï¿½usulas de rescisiï¿½n y mecanismos para la continuidad del servicio.

ï¿½ La implementaciï¿½n de un esquema de resguardo de datos que garantice como mï¿½nimo:

- Obtenciï¿½n de versiones respaldatorias de la informaciï¿½n procesada.
- Almacenamiento crï¿½tico adecuado.
- Testeos y recuperos periï¿½dicos en forma aleatoria para asegurar la calidad del contenido de los resguardos.
- La definiciï¿½n de 2 (dos) Comitï¿½s de Crisis que tendrï¿½n a su cargo el manejo de la situaciï¿½n de crï¿½tica vinculada con dificultades de los miembros para liquidar sus saldos. Adicionalmente, entre otros aspectos, se deberï¿½n considerar:

ï¿½ La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnologï¿½a y los sistemas de informaciï¿½n.

ï¿½ La generaciï¿½n de mecanismos de gobierno formalizados, claros y transparentes, que incluyan la definiciï¿½n formal de las funciones y responsabilidades del ï¿½rgano mï¿½ximo de administraciï¿½n (Directorio o autoridad equivalente), de la Alta gerencia y de las Gerencias de lï¿½nea, la definiciï¿½n de objetivos vinculados con la seguridad de sus operaciones, y la asignaciï¿½n clara de responsabilidades y obligaciones de rendiciï¿½n de cuentas.

Junio, 2020. Versiï¿½n inicial