“Previo a la contratación de una nube, las agencias de información deben verificar que se debe cumplir la confidencialidad de la información y cómo debe ser administrada”, expresó Daniel Deras, gerente de Regulación Financiera del BCR, en la Comisión de Tecnología, Turismo e Inversión de la Asamblea Legislativa.
Detalló que las directrices y una adecuada gestión de ciberseguridad son requisitos para los servicios de almacenamiento de datos en la nube que deben observar.
“La tercerización no limita a que este servicio no tenga que cumplir con todo lo que tiene que ver con ciberseguridad, respaldo y sobre todo, lo más importante, que es la protección de los datos de los usuarios”, aclaró, al referirse a la contratación de un tercero para almacenar los datos que podrá hacer una agencia de información de datos en El Salvador.
En El Salvador operan tres agencias de información de datos o "burós de crédito": Equifax, TransUnion e Infored, desde el año 2014.
La Comisión estudia una reforma a la "Ley de regulación de servicios de información sobre el historial crediticio" para permitir que estas agencias de información puedan contratar servicios de nube para guardar la información crediticia de los clientes y, en segundo lugar, aprobar este uso de la nube como una excepción en la prohibición regulada en el artículo 19 a que las agencias usen, transfieran, compartan y comercialicen la información de personas sin el consentimiento expreso de los titulares.
La superintendente adjunta de bancos, aseguradoras y otras entidades financieras de la SSF, Daysi Mineros, quien también asistió a la Comisión, reiteró que "va a ser importante" que se fortalezcan las capacidad de ciberseguridad" y que las plataformas cuenten con doble autenticación, así como mecanismos para que la información no sea "alterada ni conocida en ningún momento por alguna persona no autorizada".
Detalló que los contratos de servicios de la nube deben detallar "todas las responsabilidades de las partes" y asegurar la confidencialidad de los datos a guardarse en la nube.
Es parte de la supervisión (de la SSF) verificar que, ante esa tercerización de servicios, se preserve la confidencialidad, la integridad y la seguridad de la información de los datos que las agencias de información recopilan de los agentes económicos".
Daysi Mineros, superintendente adjunta de bancos.
Según la SSF, los contratos que realizarían las agencias de información para usar la nube con el fin de guardar la información financiera de salvadoreños deben tener "establecer la obligación de dar acceso al regulador y al supervisor –BCR y SSF– para poder verificar" el cumplimiento del marco legal. Para Mineros, estos cambios en la infraestructura de datos deberían transparentarse al usuario.
“Debería ser transparente al usuario porque los cambios son a nivel de infraestructura, que está detrás de la operación de los reportes de historial crediticio, debería ser transparente al usuario. Más allá de eso, podrían crear otros productos o mecanismos para ofrecer estos servicios, más ágilmente”, sugirió.
Luego de escuchar a los representantes de la SSF y BCR, la Comisión, presidida por la diputada Dania González, de Nuevas Ideas, cerró la comisión sin aprobar el dictamen de la reforma.