Norma Legal Oficial del día 28 de febrero del año 2020 (28/02/2020)

Si desea descargar el documento entero como pdf click aquí.

TEXTO DE LA PÁGINA 92

92

NORMAS LEGALES

Viernes 28 de febrero de 2020 /

El Peruano

a) Conformación de un comité de crisis, criterios para su activación y definición de lineamientos para la toma de decisiones en situación de crisis; b) Procedimientos y recursos para recuperar la entrega de los productos y servicios priorizados; c) Procedimientos y recursos para recuperar los servicios de TI; y, d) Procedimientos para gestionar situaciones de emergencia. 4. Plan de pruebas.- La empresa debe ejecutar pruebas anuales de sus planes. Dichas pruebas deben asegurar la validación de la totalidad de estrategias de continuidad del negocio en un periodo no mayor a dos años. 5. Capacitación y cultura organizacional.- La empresa debe asegurar que su personal tenga los conocimientos suficientes para cumplir con los roles asignados como parte de la gestión de la continuidad del negocio. 6. Revisión y actualización.- La empresa debe revisar periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático, su gestión de la continuidad del negocio. SUBCAPÍTULO III DISPOSICIONES ADICIONALES APLICABLES A EMPRESAS CON CONCENTRACIÓN DE MERCADO Artículo 14. Empresa con concentración de mercado De manera complementaria a las disposiciones contenidas en los subcapítulos I o II, la empresa sujeta a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo a lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado mediante Resolución SBS Nº 8425-2011, debe cumplir las siguientes disposiciones como parte de su gestión de la continuidad del negocio: a) Considerar para el diseño de las estrategias de continuidad, el cumplimiento de los objetivos de recuperación de negocio y los PORs, además de los TORs; b) Incorporar como parte de los productos y servicios priorizados, aquellos cuya indisponibilidad afectaría a otras empresas del sistema financiero, del sistema de seguros o del sistema privado de administración de fondos de pensiones; c) Asegurar que al menos uno de los centros de procesamiento alterno de datos permita la recuperación de todos los productos y servicios priorizados, con el fin de cumplir los objetivos de recuperación de negocio, los TORs y los PORs; d) Asegurar la recuperación de aquellas oficinas y/o agencias previamente identificadas como prioritarias; e) Identificar el tiempo máximo de operación en situación de contingencia luego de una interrupción; f) Sustentar, mediante una evaluación de riesgos, que al menos una de las instalaciones destinadas a la recuperación de los productos y servicios priorizados se encontraría disponible ante la ocurrencia de un evento; g) Implementar estrategias alternativas para la identificación de clientes, que permitan entregar los productos y servicios priorizados ante situaciones de fuerza mayor que impida contar con documentos de identificación empleados en operación normal; h) Designar a los miembros principales y alternos para el comité de crisis, buscando maximizar la probabilidad de contar con al menos uno de ellos; i) Implementar un medio de comunicación alternativo a la comunicación tradicional, a fin de asegurar la comunicación con el personal crítico y aquellos que pueden verse afectados por la interrupción de las actividades de la empresas, en caso dicha comunicación falle; j) Implementar protocolos para la comunicación a través del medio de comunicación alternativo, los cuales deben contemplar la comunicación interna, así como con autoridades, proveedores y todos aquellos que pueden verse afectados por la interrupción de las actividades de la empresa;

k) Realizar capacitaciones periódicas sobre los protocolos de comunicación en crisis y el uso de los mecanismos de comunicación alterna; l) Implementar redes de comunicaciones de datos redundantes, buscando mitigar los puntos únicos de falla; y, m) Procesar la información asociada a los productos y servicios priorizados desde más de un centro de procesamiento de datos a la vez (es decir, en modalidad activo-activo o con carga balanceada), asegurando que cada uno de ellos puedan asumir de manera independiente dicho procesamiento ante la ocurrencia de un evento. SUBCAPÍTULO IV REPORTES DE INTERRUPCIÓN DE OPERACIONES Artículo 15. Reporte de eventos de interrupción significativa de operaciones 15.1 La empresa debe informar a la Superintendencia la ocurrencia de un evento de interrupción significativa de operaciones, en cuanto tome conocimiento y dentro de un plazo máximo de un (01) día hábil. Para tal efecto, se entiende como evento de interrupción significativa de operaciones un evento que implique cualquiera de las siguientes situaciones: a) La suspensión en la entrega de los productos y servicios priorizados por un tiempo mayor a los respectivos TOR; o, b) La activación del plan de gestión de crisis al que hace referencia el párrafo 9.2 del Artículo 9. 15.2 Adicionalmente y sin perjuicio de lo anterior, las empresas bancarias, las empresas financieras, las CMAC, la CMCP, las CRAC y el Banco de la Nación, deben reportar a la Superintendencia, en cuanto tomen conocimiento, y dentro de un plazo máximo de un (01) día hábil, la ocurrencia de las siguientes situaciones: a) La suspensión en la entrega de los productos y servicios priorizados por un tiempo mayor a cuatro (04) horas, incluso si el TOR asociado fuera mayor a dicho tiempo; y, b) La indisponibilidad del 25% o más de un canal de atención en una determinada región geográfica o a nivel nacional, por un periodo mayor a cuatro (04) horas o al TOR definido por la empresa, el que sea menor. 15.3 Las empresas con concentración de mercado, según lo descrito en el Artículo 14, deben reportar a la Superintendencia en cuanto tomen conocimiento, y dentro de un plazo máximo de cuatro (04) horas, cualquier interrupción, degradación u otro tipo de alteración operativa que se mantenga por un periodo mayor a una hora en cualquier canal de atención. 15.4 La información a remitir debe incluir una descripción general del evento ocurrido y debe ser realizada al correo electrónico: continuidad@sbs.gob.pe o, en caso la empresa no tuviera acceso a dicho correo debido a la ocurrencia del evento de interrupción, se debe buscar medios alternativos de comunicación en la medida de lo posible. 15.5 Dentro de los diez (10) días hábiles siguientes a la ocurrencia del evento de interrupción informado a la Superintendencia, la empresa debe remitir un informe detallado en que se explique las razones de la falla, la duración, las líneas de negocio, productos y servicios afectados, según sea el caso, las medidas tomadas para superar el evento, y la situación existente a la fecha de reporte. Artículo 16. Indicadores de la gestión de la continuidad del negocio 16.1 La empresa debe implementar indicadores para monitorear la gestión de la continuidad del negocio. 16.2 La empresa debe reportar trimestralmente a la Superintendencia los indicadores señalados el Anexo 1 de la presente norma. Los reportes deben ser remitidos a través del "Sub módulo de Captura y Validación Externa" (SUCAVE), dentro de los quince (15) días calendario

Deseo borrar mis datos personales que aparecen en esta página.