Las agencias de información de datos que contraten servicios para almacenar sus bases de datos en la nube, es decir, que los datos puedan archivarse en servidores que están conectados de manera remota, deberán garantizar la confidencialidad de los mismos, de acuerdo a las autoridades encargadas de la regulación de sus actividades.
La propuesta de reforma a la Ley de Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas plantea agregar a los deberes de las agencias de información de datos que puedan “utilizar el servicio de almacenamiento y procesamiento en tecnología de computación en la nube para la base de datos y su respaldo”.
También será permitido el almacenamiento en el territorio nacional, en ambos casos se dará “acceso irrestricto” al Banco Central de Reserva de El Salvador (BCR) y a la Superintendencia del Sistema Financiero (SSF).
Representantes de ambas instituciones fueron recibidos en la Comisión de Tecnología, Turismo e Inversión de la Asamblea Legislativa este viernes, donde expusieron las ventajas y la regulación enmarcada en esta reforma.
Daysi Mineros, superintendente adjunta de Bancos, Aseguradoras y otra Entidades Financieras de la SSF, expuso que la supervisión incluye la gestión de la seguridad de la información y fortalecer las capacidades de la ciberseguridad; así como medidas de seguridad de las plataformas electrónicas.
“Nuestra supervisión también alcanza el hecho de que los mecanismos o desarrollos tecnológicos que estas entidades implementen sean efectuados, sean implementados con garantías de que la información va a estar protegida, que se va a garantizar la confidencialidad de la misma y que también se va a resguardar en forma que se preserve la integridad de la misma, es decir, que la información no sea alterada ni conocida en ningún momento por una persona no autorizada”
Agregó que revisarán los contratos de servicios, en los que deben estar estipuladas las responsabilidades. “Para el uso de la nube existe una tercerización y es parte de la supervisión el verificar que ante esta tercerización de servicios se preserve la confidencialidad, la integridad y la seguridad de la información”, afirmó Mineros.
DE INTERES: Asamblea Legislativa aprobó Ley de Inteligencia Artificial
“Otro aspecto importante es los temas de ciberseguridad y la protección que debe de haber de la gestión de esos datos. También hay un control de acceso y privilegios mínimos para poder acceder a la nube”, Ana Guadalupe Escobar, gerente de estabilidad financiera y políticas públicas BCR.
La propuesta también propone una modificaría al literal h del artículo 19, que habla sobre la prohibición de utilizar, transferir, compartir y comercializar la información de las personas sin el consentimiento de su titular, agregando “salvo lo dispuesto en el artículo 17, literal n”.
La diputada Cesia Rivas, de Vamos, consultó si se refiere específicamente al acceso irrestricto para el BCR y la SSF.
Escobar respondió que la modificación es sobre el resguardo de la información en la nube y aprovechas las tecnologías. “Eso no quiere decir que esa información va a tener menores niveles de seguridad de los que deberían de tener por estar en la nube”, expresó.
Agregó que hay normativas del BCR sobre los niveles de protección y ciberseguridad.
La Comisión solo dio por recibido el expediente con la propuesta de reforma, por lo que estaría pendiente el dictamen para su aprobación.