Cumplimiento de obligaciones en materia de Tercerización – Outsourcing

Recuerda y reitera las obligaciones de cumplimiento normativo de las entidades vigiladas en materia de tercerización u outsourcing, especialmente cuando: Se delegan procesos o actividades a terceros; Los terceros participan en la atención de canales o dispositivos; Los terceros tienen acceso a información confidencial de la entidad o de sus clientes, o se contratan servicios de computación en la nube. Obligaciones de cumplimiento normativo

• Identificar y analizar los riesgos de los procesos y actividades a tercerizar.
• Definir políticas específicas para gestionar los riesgos derivados de la tercerización.
• Determinar qué procesos y actividades son críticos.
• No delegar la profesionalidad propia de la entidad en terceros.
• Hacer seguimiento permanente al cumplimiento de obligaciones del tercero.
• Incorporar la tercerización en gestión integral de riesgos y evaluaciones de Auditoría Interna.

Procesos o actividades críticas tercerizadas Cuando el outsourcing sea crítico, deben además:

• Aplicar los requisitos reforzados del SIAR.
• Implementar controles adicionales de continuidad, seguridad y operación.
• Mantener mayor supervisión contractual y operativa del tercero.

Computación en la nube

• Cumplir el SIAR para servicios en la nube.
• Exigir cumplimiento regulatorio al proveedor de nube y a ubcontratistas o partners.
• Gestionar riesgos de seguridad de la información, ciberseguridad y continuidad del servicio.

Seguridad de la información y ciberseguridad

• Incluir cláusulas contractuales con terceros críticos sobre seguridad de la información y ciberseguridad.
• Garantizar confidencialidad, integridad y disponibilidad de la información.

Protección al consumidor financiero

• Cumplir el principio de debida diligencia.
• Garantizar que la tercerización no afecte la calidad del servicio y no reduzca la protección del consumidor.
• Asumir responsabilidad plena frente al consumidor, aun cuando exista outsourcing.