ARCHIVO Y MICROFILMACIÓN DE DOCUMENTOS

CONSERVACIÓN DE ARCHIVOS Y DOCUMENTOS

Estatuto Financiero

[2–0747] Art. 96. Conservación de archivos y documentos. Modificado por la Ley 795 de 2003, art. 22.

Los libros y papeles de las instituciones vigiladas por la Superintendencia Bancaria deberán conservarse por un período no menor de cinco años (5) años, desde la fecha del respectivo asiento, sin perjuicio de los términos establecidos en normas especiales. Vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

Parágrafo. La administración y conservación de los archivos de las entidades financieras públicas en liquidación, se someterá a lo previsto para las entidades financieras en liquidación por el Estatuto Orgánico del Sistema Financiero y demás normas que lo modifiquen o adicionen. Una vez transcurridos cinco años se deberá realizar la reproducción correspondiente, a través de cualquier medio técnico adecuado y transferirse al Archivo General de la Nación.

Las historias laborales de los ex funcionarios de las entidades financieras públicas en liquidación, deberán ser transferidas a la entidad a la cual estaban vinculadas o adscritas una vez finalice el proceso de liquidación correspondiente.

DOCUMENTOS QUE PUEDEN MICROFILMARSE

Decreto ley 2527 de 1950

[2–0748] Art. 2. Sustituido por el Decreto 3354 de 1954, art. único. Podrán microfilmarse los documentos y expedientes que han sido sometidas al trámite, por su importancia merezcan un especial cuidado en la conservación y autenticidad; pero no podrán ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la  costumbre aconsejan en cada caso, de acuerdo con su naturaleza.

Al someter a micro filmación cualquier documento, debe tenerse el cuidado de que quede copiado en la cinta íntegramente y con absoluta fidelidad, de modo tal que queda prohibido hacerles recortes, dobleces, enmendaduras o cualquier adulteración, con pena de perder su valor probatorio.

El procedimiento de microfilm, deberá aplicarse en los archivos oficiales de la administración nacional, departamental y municipal, y en los de las instituciones de crédito y demás entidades sometidas a la vigilancia del estado, cumpliendo las disposiciones de este decreto y las que para cada establezca la correspondiente autoridad, sea ministerio, gobernación, comando de fuerza o arma, departamento administrativo, alcaldía, superintendencia o junta directiva.

ANOTACIONES AL COMIENZO DE CADA ROLLO

Decreto Ley 2527 de 1950

[2–0749] Art. 3. Al comienzo de cada rollo de película en que se vayan a microfilmar documentos, o material de un archivo, deben hacerse las siguientes anotaciones: 1. Número de orden del rollo y fecha en que se comienza; 2. Nombre de la entidad o persona a quien pertenezca el archivo; 3. La determinación del material que se va a copiar en él, y  4. El nombre y la firma de la persona bajo cuya responsabilidad se va a hacer la respectiva microfilmación.

ANOTACIONES AL FINAL DE CADA ROLLO

Decreto Ley 2527 de 1950

[2–0750] Art. 4. Los documentos o el material que se ha microfilmado y que haya quedado  correctamente copiado en la cinta, podrá ser destruido después de eso, preferentemente por incineración.

Al final del rollo, inmediatamente después del último documento que contenga, se copiará un acta en que conste: 1. La fecha en que se terminó de filmar el respectivo rollo o cinta; 2. El número de orden del rollo y la cantidad de documentos que contiene, a ser posible con una lista o detalle de ellos; 3. El estado en que haya quedado filmada la cinta, expresando los vicios que tenga, los espacios en blanco que hayan quedado, las correlaciones o recortes que se le haya hecho, etc. 4. El nombre y la firma de la persona bajo cuya responsabilidad se hizo la micro filmación del respectivo rollo, y 5. La certificación jurada de que todo el material que aparece en el rollo fue destruido, con la expresión de la forma y la fecha en que se hizo, firmada por el que la haya hecho y por dos testigos.

VALOR PROBATORIO DE COPIAS DE DOCUMENTOS MICROFILMADOS

Decreto Ley 2527 de 1950

[2–0751] Art. 5. La copia de un documento o de cualquier pieza de un archivo que haya sido microfilmado, tendrá el mismo valor probatorio que la ley le otorga al original así copiado, siempre que la microfilmación se haya hecho de acuerdo con las normas de este decreto y las disposiciones  especiales que para cada archivo haya establecido el correspondiente Ministerio, Gobernación, Alcaldía, Superintendencia, Junta directiva o autoridad administrativa competente, y siempre que la respectiva copia sea autenticada de acuerdo con los artículos siguientes.

AUTENTICACIÓN EN CASO DE ARCHIVOS PARTICULARES

Decreto Ley 2527 de 1950

[2–0752] Art. 7. Las copias de documentos microfilmados pertenecientes a archivos particulares, de personas naturales o jurídicas o de entidades no oficiales ni sometidas a la Supervigilancia del Estado, deberán ser autenticadas por la persona que las expida, y si fuere necesario para fines judiciales, por un Notario Público, previo examen y confrontación del respectivo rollo de donde se haya copiado.

ORIGINAL DE LAS ACTAS DE MICRO FILMACIÓN

Decreto Ley 2527 de 1950

[2–0753] Art. 8. El original de las actas a que se refiere el artículo 4o. de este decreto debe conservarse sin ser destruido, para que sirva de control del archivo  ya  microfilmado, y si es de personas o entidades no oficiales, deberá protocolizarse en  una Notaría.

NOTA DE FASECOLDA. Los Decretos 2527 de 1950 y 354 de 1954 fueron adoptados como legislación permanente por la Ley 141 de 1961.

MICRO FILMACIÓN DE ARCHIVOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0754] Art. 1. Todo comerciante podrá conservar sus archivos utilizando cualquier medio técnico adecuado que garantice la reproducción exacta de documentos, tales como la micro-filmación, la micro-grafía y los discos ópticos entre otros.

REPRODUCCIÓN DE ARCHIVOS MICROFILMADOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0755] Art. 2. Los jefes de registro mercantil o quienes hagan sus veces, deberán certificar la exactitud de las reproducciones que se realicen con base en el artículo anterior.

CONSTANCIA SOBRE ARCHIVOS MICROFILMADOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0756] Art. 3. Los comerciantes para utilizar cualquiera de los medios técnicos a los que se refiere el artículo primero de este Decreto, deberán contar, al momento de la reproducción, con la presencia de un funcionario de la Cámara de Comercio de su domicilio, con el fin de que mediante acta se haga constar la relación de los documentos reproducidos, así como la exactitud de los mismos.

Parágrafo. La Superintendencia de Industria y Comercio impartirá instrucciones a las Cámaras de Comercio para cumplir las funciones que en este Decreto se les asignan.

CONSERVACIÓN DE DOCUMENTOS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0757] PARTE I, TIT IV, CAP I, NUM 4. Conservación

4.1. Conservación

De acuerdo con el art. 96 del EOSF, las entidades vigiladas por la SFC deben conservar sus libros y papeles por un período no menor a 5 años desde la fecha del último asiento, documento o comprobante, sin perjuicio de lo que exijan disposiciones especiales. En tal sentido, vencido este lapso, pueden ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

No obstante, esta obligación tratándose de las entidades a las que se refiere el parágrafo 3 del art.75 de la Ley 964 de 2005, se rige por lo dispuesto en el art. 28 de la Ley 962 de 2005, es decir que el tiempo de conservación es equivalente a 10 años. contados a partir de la fecha del último asiento, documento o comprobante, pudiendo utilizar para el efecto, su conservación en papel o en cualquier medio técnico, magnético o electrónico que garantice su reproducción exacta.

4.2. Conservación en forma de mensajes de datos

El art. 56 del C. Cio. en concordancia con la Ley 527 de 1999 establece la posibilidad de llevar los libros de comercio en archivos electrónicos, siempre que se garantice en forma ordenada, la inalterabilidad, integridad y seguridad de la información, así como su conservación, de conformidad con las normas contables vigentes y aplicables al diligenciamiento de los libros de contabilidad.

Por tanto, los libros y papeles del comerciante conservados a través de medios electrónicos, en tanto asumen la condición de mensaje de datos, tienen efectos jurídicos, siempre que cumplan con las condiciones señaladas en el art. 56 del C. Cio.,  el art. 12 de la precitada Ley 527 y el Decreto 805 de 2013

En concordancia con lo antes señalado, las entidades vigiladas pueden mantener los soportes de las actividades propias del desarrollo de su objeto social en cualquier medio electrónico, óptico o similar, en tanto cumplan las condiciones señaladas por las disposiciones citadas, incluida la micro filmación realizada acorde con los Decretos 2527 de 1950 y 3354 de 1954 y concordantes -Decreto 2620 de 1993-.

Pueden, en consecuencia, microfilmarse o conservarse los documentos y expedientes que han sido sometidos al trámite normal y los que encontrándose en trámite, por su importancia, merezcan un especial cuidado en la conservación y autenticidad. Sin embargo, en este caso no pueden ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la costumbre aconsejen en cada caso, según su naturaleza.

CONSERVACIÓN Y MICRO FILMACIÓN DE DOCUMENTOS

[2–0758] Oficio 400–049452  de 1989 de la Superintendencia Bancaria

En atención a su consulta contenida  en las comunicaciones citadas en la referencia, esta Superintendencia se permite efectuar los siguientes planteamientos.

1.- Marco legal de la conservación y micro filmación de documentos.

a. Con la expedición de los decretos 2527 de 1950 y 3354 de 1954, adoptados como legislación permanente por la ley 141 de 1961, se reguló lo atinente al procedimiento de micro filmación tanto en los archivos particulares como oficiales.

El artículo único del decreto 3354, sustitutivo del artículo 2 del decreto 2537 de 1950, establece que “podrán microfilmarse los documentos y expedientes que han sido sometidas al trámite, por su importancia merezcan un especial cuidado en la conservación y autenticidad; pero no podrán ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la  costumbre aconsejan en cada caso, de acuerdo con su naturaleza”.

b. Con posterioridad, al expedirse el decreto 410 de 1971, contentivo del actual Código de Comercio, el artículo 60 de este estatuto adicionó los decretos atrás citados en lo relativo a los libros y papeles de comercio, estableciendo que deberán ser conservados cuando menos por diez años, contados desde el cierre de aquellos o a la fecha del último asiento, documento o comprobante. Transcurrido este lapso, podrán ser destruidos por el comerciante, siempre, que por cualquier medio técnico adecuado garantice su reproducción exacta.”

No resulta pertinente afirmar que este artículo derogó en manera alguna las previsiones contenidas en los decretos  2527 de 1951 y 3354 de 1954, sino que simplemente adoptó una regulación de mayor especificidad y concreción con respecto a cierto tipo de documentos: los papeles de comercio. Las dos disposiciones no son antagónicas, sino que aquella complementa a estas y se deben interpretar armónicamente. Así lo entendió el Consejo de Estado, en providencia de agosto 19 de 1981 de la Sala de Consulta y Servicio Civil, cuyo ponente fue el Doctor Oswaldo Abello Noguera al decir:

“En esta forma el artículo 60 del Código de Comercio adiciona el decreto 2127 de 1950 en relación con los libros y papeles del comerciante si para reproducirlos se utilizare el procedimiento  de micro filmación. (..). De lo expuesto se concluye que las normas del Código de Comercio no han derogado ni modificado las que regulan el sistema general de micro filmación, pero los artículos 48 y 60 del Código de Comercio regulan en forma especial la conservación y la reproducción de los libros y papeles de los comerciantes el valor probatorio de originales y copias”.

c. Adicionalmente, como es de su conocimiento, el artículo 99 de la ley 45 de 1923 dispuso que “todo establecimiento bancario debe conservar las constancias de sus asientos definitivos y sus tiquetes de depósito, por un período no menor de seis (6) años desde la fecha del último asiento”, disposición que debe entenderse modificada por las previsiones de los decretos legislativos 2527 de 1950 y 3354 de 1954 que, en cuanto adoptados como legislación permanente por la ley 141 de 1961, constituyen norma vigente, más aún cuando por virtud del artículo 2033 del decreto 410 de 1971, los mencionados decretos legislativos continúan con vigencia al regular parte integrante del régimen de las sociedades sometidas al control permanente de la Superintendencia Bancaria.

Por tanto bajo este respecto y como conclusión de la interpretación integral de las diversas disposiciones en comento, se infiere, a nuestro juicio, que la referencia legislativa pertinente en materia de conservación de documentos, para las entidades sometidas al control permanente de la Superintendencia Bancaria, es el tiempo que la prudencia y la costumbre aconsejen.

2.- Interpretación de las normas con respecto al caso consultado.

De un análisis integral de las disposiciones antes referidas, surgen las siguientes conclusiones:

Está permitida la microfilmación de documentos a todas las instituciones, tanto públicas como privadas y a todas las personas naturales o jurídicas. Los documentos microfilmados o a microfilmarse no podrán ser destruidos hasta que haya transcurrido el término que la prudencia y la costumbre aconsejen en cada caso, pero para los libros y papeles de come rcio el plazo de destrucción se ha establecido en un término fijo de diez (10) años, siempre que se garantice su reproducción exacta por un medio técnico adecuado.

Finalmente las compañías de seguros, al no estar regidas por la citada ley 45 como quedó anotado precedentemente, deben regirse por las disposiciones generales consagradas en los tantas veces referidos decretos 2521 de 1951 y 3354 de 1954 y en el artículo 60 del Código de Comercio. En consecuencia, deben esperar el tiempo que la prudencia y la costumbre aconsejen para proceder a destruir los documentos originales que no tengan carácter contable. En este punto, debemos acudir entonces a los términos establecidos en el artículo 1081 del Código de Comercio para la prescripción de las acciones derivadas del contrato de seguro. En efecto, si se quieren destruir todos los documentos originales relativos a pólizas de seguro y planes de capitalización, lo más prudente y aconsejable es esperar el término de prescripción extraordinaria de acciones, que es de cinco (5) años, que se contarían a partir de la fecha de terminación de cada contrato, luego de los cuales se extingue el derecho de exigir cualquier obligación emanada de ellos, dejando de ser fundamental la conservación de los documentos originales correspondientes.

Ahora bien, los libros y papeles de comercio sí deben, por las razones expuestas, esperar el plazo de diez (10) años de que habla el Código de Comercio con anterioridad a su destrucción. Por ende, todos los documentos y recibos que conforman los asientos contables de las compañías de seguros deberán someterse a este plazo y luego ser reproducidos de manera adecuada.

Por último, existe un vacío en todas las normas en cuanto a la posibilidad de destruir documentos, v. gr. pólizas canceladas de más de cinco (5) o seis (6) años, sin proceder antes a su micro filmación. Ni los decretos sobre micro filmación ni el Código de Comercio se pronuncian al respecto, y  antes, por el contrario, su espíritu es el de preservar los documentos, ora mediante su conservación, ora mediante su adecuada reproducción. Es por ello que esta Superintendencia considera que no existe facultad legal que permita destruir documentos como pólizas ya caducadas, sin conservar, por cualquier medio técnico adecuado, que no necesariamente debe ser la micro filmación, una reproducción adecuada de los mismos.

En los anteriores términos hemos dado trámite a su solicitud, con el alcance a que se refiere el artículo 25 del Código Contencioso Administrativo.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – AMBITO DE APLICACIÓN

Circular Externa 006 de 2025 (reemplaza a la Circular Externa 029 de 2014 de la Superintendencia Financiera que había reemplazado a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0759] PARTE I, TIT I, CAP VI, NUM 1. ÁMBITO DE APLICACIÓN.

Las entidades sometidas a la inspección y vigilancia de la Superintendencia Fi- nanciera de Colombia (SFC) pueden soportar todos sus procesos y actividades en servicios computacionales en la nube. Cuando se trate de la operaciónde sus procesos misionales o de gestión contable y financiera deben cumplir las instruc- ciones de las que trata este Capítulo.

También pueden hacerlo los operadores de información de la Planilla Integrada de Liquidación de Aportes (PILA) respectode la actividad del Operador de Infor- mación de la Planilla definida en el artículo 2° del Decreto 1465 de 2005 y los Institutos de Fomento y Desarrollo de las entidades territoriales.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – DEFINICIONES

Circular Externa 006 de 2025 (reemplaza a la Circular Externa 029 de 2014 de la Superintendencia Financiera que había reemplazado a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0760] PARTE I, TIT I, CAP VI, NUM 2. DEFINICIONES

 

2. 3.3. Infraestructura como servicio (IaaS, por su sigla en inglés). Modelo de servicio en el cual el proveedor de serviciosde computación en la nube pone a disposición de una entidad la infraestructura que le permite ejecutar software de cualquier tipo, con el propósito de obtener la capacidad de procesamiento infor- mático o de almacenamiento de información mediante servicios estandarizados.

2.4.       Implementaciones de nube

Las siguientes son las implementaciones de nube consideradas para la aplicación de este Capítulo:

2. 4.1. Nube pública. Servicios disponibles para ser utilizados por el público en general y que son suministrados por unproveedor que comercializa servicios por demanda.

2. 4.2. Nube privada. Servicios disponibles que se proporcionan para uso exclu- sivo de una organización.

2. 4.3. Nube comunitaria. Servicios disponibles para el uso exclusivo de una co- munidad específica de organizaciones que tienen objetivos similares.

2. 4.4. Nube híbrida. Servicios disponibles compuestos de dos o más implemen- taciones de nube.

2.5.       Subcontratistas o partners

Terceros contratados por los proveedores de servicios de computación en la nube o de otra forma relacionado con ellos y cuyas actividades comprenden el desa- rrollo de una parte material de los servicios en la nube que usan las entidades vigiladas. Su actividad puede implicar el acceso a información y datos de la en- tidad y no está asociada a lasactividades auxiliares de mantenimiento y soporte.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – OBLIGACIONES GENERALES DE LAS ENTIDADES

Circular Externa 006 de 2025 (reemplaza a la Circular Externa 029 de 2014 de la Superintendencia Financiera que había reemplazado a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0761] PARTE I, TIT I, CAP VI, NUM 3. OBLIGACIONES GENERALES DE LAS ENTIDADES

Las entidades que soporten la operación de sus procesos misionales o de gestión contable y financiera en servicios computacionales en la nube, deben:

3. 1. Contemplar dentro de la gestión efectiva de los riesgos derivados de la uti- lización de servicios computacionalesen la nube, particularmente el riesgo ope- racional, considerando, entre otros factores, el tipo de nube contratada, lossitios de procesamiento, los servicios contratados, el tipo de información a procesar, los controles de seguridad para la protección de los datos en ambientes virtua- lizados y la protección de las aplicaciones de la entidad.Adicionalmente, las en- tidades deben dar cumplimiento a las disposiciones contenidas en el Capítulo XXXI«Sistema Integral de Administración de Riesgos (SIAR)» de la Circular Bá- sica Contable y Financiera (CBCF) olas normas que lo modifiquen o sustituyan, en lo relacionado con el proveedor de servicios de computación en la nube.

3. 2. Evaluar la conveniencia de implementar en sus filiales y subsidiarias del exterior, en caso de que las tengan, las instrucciones de este Capítulo.

3. 3. Verificar que el proveedor de servicios en la nube cuente y mantenga vi- gente, al menos, la certificación ISO 27001 y dé observancia a los estándares o buenas prácticas, tales como ISO 27017 y 27018. El proveedor puede certifi- carse con estándares o mejores prácticas que reemplacen, sustituyan o modifi- quen las anteriores y debe disponer de informes de controles de organización de servicios (SOC1, SOC2 y SOC3).

3.4. Verificar que el proveedor ofrezca una disponibilidad de al menos el 99.95% en los servicios prestados en la nube en los modelos Iaas y PaaS. Para aquellos proveedores del servicio de computación en la nube en el modelo Saas, la dis- ponibilidad debe ser de al menos el 99.5%.

3.5. Gestionar los riesgos de las API o Servicios Web suministrados por el pro- veedor de servicios en la nube.

3.6. Verificar que las jurisdicciones en donde se procesará la información ofrez- can un nivel adecuado de protección de datos, de conformidad con lo que esta- blezcan: (i) las normas que rigen la materia o, (ii) la Superintendencia de In- dustria y Comercio, o la entidad que haga sus veces.

3.7. Establecer mecanismos que permitan contar con respaldo de la información que se procesa en la nube, la cual debeestar a disposición de la entidad cuando así lo requiera.

3.8. Garantizar la independencia de su información y de sus copias de respaldo de la información de las otras entidades que procesen en la nube. La indepen- dencia se puede dar a nivel lógico o físico.

3.9. Mantener cifrada la información clasificada como confidencial, en tránsito o en reposo, usando estándares y algoritmos de cifrado fuerte reconocidos inter- nacionalmente y que se encuentren vigentes. En caso de que cualquiera de los formatos, marcos de referencia, estándares o protocolos establecidos en el pre- sente Capítulo, seadeclarado obsoleto por parte del organismo que lo estableceo soporta, la entidad vigilada deberá adoptar aquel quelo modifique, sustituya o adicione.

3.10. Tener bajo su control la administración de usuarios y de privilegios para el acceso a los servicios ofrecidos, asícomo a las plataformas, aplicaciones y bases de datos que operen en la nube, dependiendo del modelo de serviciocontratado.

3.11. Monitorear los servicios contratados para detectar operaciones o cambios no deseados y/o adelantar las acciones preventivas o correctivas cuando se re- quiera.

3.12. Establecer procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos conel proveedor de servicios en la nube y sus subcontratistas o partners, cuando sean estos quienes prestan el servicio, así como fijar con el tercero las condiciones bajo las cuales se puede subcontratar el servicio.

3.13. Contar con canales de comunicación con el proveedor de servicios en la nube cifrados de extremo a extremo yque, en lo posible, usen rutas diferentes.

3.14. Contemplar dentro de los criterios para seleccionar las firmas que tendrán a su cargo la auditoría interna oexterna de la entidad, las competencias técnicas necesarias para evaluar servicios en la nube.

3.15. Establecer las medidas necesarias para garantizar que, en el evento de toma de posesión, la SFC, Fogafín,Fogacoop, o quienes éstas designen, puedan acceder a la información y a la administración de los sistemas de información que operan en la nube.

3.16. Establecer que el proveedor de servicios en la nube únicamente utilice la información compartida para ejecutarlos servicios contratados y hacer claridad que los datos son propiedad de la entidad vigilada.

3.17. Verificar la calidad, desempeño y efectividad del proveedor de servicios en la nube en los servicios contratadospor medio de los informes y las certificacio- nes que determine para el efecto.

3.18. Establecer mecanismos para adelantar el borrado seguro de los datos exis- tentes en los medios de almacenamiento cuando se reemplacen dichos medios, se finalice el contrato o la entidad vigilada lo requiera.

3.19. Tener en cuenta la corrección de las vulnerabilidades informáticas detec- tadas de manera oportuna y eficaz.

3.20. Usar técnicas de múltiple factor de autenticación para el acceso a las con- solas de administración.

3.21. Considerar dentro del plan de continuidad del negocio los servicios de computación en la nube.

3.22. Contar con la estrategia de migración a otra plataforma en el evento en que se requiera, por ejemplo, por terminación del contrato por cualquiera de las partes, así como por la interrupción o la degradación en la prestación del servicio de parte del proveedor de servicios en la nube.

3.23. Establecer canales de comunicación con el proveedor con el objetivo de conocer cualquier evento o situación que pudiera afectar significativamente la prestación del servicio.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE –REMISIÓN DE INFORMACIÓN A LA SFC

Circular Externa 006 de 2025 (reemplaza a la Circular Externa 029 de 2014 de la Superintendencia Financiera que había reemplazado a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0762] PARTE I, TIT I, CAP VI, NUM 4.

Dentro de los 15 días anteriores al inicio del procesamiento de información en la nube, relacionada con procesos misionales o de gestión contable y financiera, las entidades deben remitir a la SFC la siguiente información:

4.1. El nombre del proveedor que prestará los servicios en la nube y de los subcontratistas o partners que le prestarán servicios asociados al objeto del contrato.

4.2. La relación de los procesos que serán manejados en la nube, incluyendo las aplicaciones, tipo de datos, productos y servicios asociados a éstos.

4.3. La ubicación física o región donde se procesarán y almacenarán los datos.

4.4. Las certificaciones otorgadas al proveedor del servicio y/o sitio de procesa-miento.

4.5. La relación de auditorías a las que se somete el proveedor de servicios contratado.

4.6. La información sobre los niveles de servicio establecidos.

4.7. El diagrama con la plataforma tecnológica que soportará los servicios contratados.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – DOCUMENTACIÓN

Circular Externa 006 de 2025 (reemplaza a la Circular Externa 029 de 2014 de la Superintendencia Financiera que había reemplazado a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0762-01] PARTE I, TIT I, CAP VI, NUM 5.