CAPÍTULO 13

ARCHIVO Y MICROFILMACIÓN DE DOCUMENTOS

CONSERVACIÓN DE ARCHIVOS Y DOCUMENTOS

Estatuto Financiero

[2–0747] Art. 96. Conservación de archivos y documentos. Modificado por la Ley 795 de 2003, art. 22.

Los libros y papeles de las instituciones vigiladas por la Superintendencia Bancaria deberán conservarse por un período no menor de cinco años (5) años, desde la fecha del respectivo asiento, sin perjuicio de los términos establecidos en normas especiales. Vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

Parágrafo. La administración y conservación de los archivos de las entidades financieras públicas en liquidación, se someterá a lo previsto para las entidades financieras en liquidación por el Estatuto Orgánico del Sistema Financiero y demás normas que lo modifiquen o adicionen. Una vez transcurridos cinco años se deberá realizar la reproducción correspondiente, a través de cualquier medio técnico adecuado y transferirse al Archivo General de la Nación.

Las historias laborales de los ex funcionarios de las entidades financieras públicas en liquidación, deberán ser transferidas a la entidad a la cual estaban vinculadas o adscritas una vez finalice el proceso de liquidación correspondiente.

DOCUMENTOS QUE PUEDEN MICROFILMARSE

Decreto ley 2527 de 1950

[2–0748] Art. 2. Sustituido por el Decreto 3354 de 1954, art. único. Podrán microfilmarse los documentos y expedientes que han sido sometidas al trámite, por su importancia merezcan un especial cuidado en la conservación y autenticidad; pero no podrán ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la  costumbre aconsejan en cada caso, de acuerdo con su naturaleza.

Al someter a micro filmación cualquier documento, debe tenerse el cuidado de que quede copiado en la cinta íntegramente y con absoluta fidelidad, de modo tal que queda prohibido hacerles recortes, dobleces, enmendaduras o cualquier adulteración, con pena de perder su valor probatorio.

El procedimiento de microfilm, deberá aplicarse en los archivos oficiales de la administración nacional, departamental y municipal, y en los de las instituciones de crédito y demás entidades sometidas a la vigilancia del estado, cumpliendo las disposiciones de este decreto y las que para cada establezca la correspondiente autoridad, sea ministerio, gobernación, comando de fuerza o arma, departamento administrativo, alcaldía, superintendencia o junta directiva.

ANOTACIONES AL COMIENZO DE CADA ROLLO

Decreto Ley 2527 de 1950

[2–0749] Art. 3. Al comienzo de cada rollo de película en que se vayan a microfilmar documentos, o material de un archivo, deben hacerse las siguientes anotaciones: 1. Número de orden del rollo y fecha en que se comienza; 2. Nombre de la entidad o persona a quien pertenezca el archivo; 3. La determinación del material que se va a copiar en él, y  4. El nombre y la firma de la persona bajo cuya responsabilidad se va a hacer la respectiva microfilmación.

ANOTACIONES AL FINAL DE CADA ROLLO

Decreto Ley 2527 de 1950

[2–0750] Art. 4. Los documentos o el material que se ha microfilmado y que haya quedado  correctamente copiado en la cinta, podrá ser destruido después de eso, preferentemente por incineración.

Al final del rollo, inmediatamente después del último documento que contenga, se copiará un acta en que conste: 1. La fecha en que se terminó de filmar el respectivo rollo o cinta; 2. El número de orden del rollo y la cantidad de documentos que contiene, a ser posible con una lista o detalle de ellos; 3. El estado en que haya quedado filmada la cinta, expresando los vicios que tenga, los espacios en blanco que hayan quedado, las correlaciones o recortes que se le haya hecho, etc. 4. El nombre y la firma de la persona bajo cuya responsabilidad se hizo la micro filmación del respectivo rollo, y 5. La certificación jurada de que todo el material que aparece en el rollo fue destruido, con la expresión de la forma y la fecha en que se hizo, firmada por el que la haya hecho y por dos testigos.

VALOR PROBATORIO DE COPIAS DE DOCUMENTOS MICROFILMADOS

Decreto Ley 2527 de 1950

[2–0751] Art. 5. La copia de un documento o de cualquier pieza de un archivo que haya sido microfilmado, tendrá el mismo valor probatorio que la ley le otorga al original así copiado, siempre que la microfilmación se haya hecho de acuerdo con las normas de este decreto y las disposiciones  especiales que para cada archivo haya establecido el correspondiente Ministerio, Gobernación, Alcaldía, Superintendencia, Junta directiva o autoridad administrativa competente, y siempre que la respectiva copia sea autenticada de acuerdo con los artículos siguientes.

AUTENTICACIÓN EN CASO DE ARCHIVOS PARTICULARES

Decreto Ley 2527 de 1950

[2–0752] Art. 7. Las copias de documentos microfilmados pertenecientes a archivos particulares, de personas naturales o jurídicas o de entidades no oficiales ni sometidas a la Supervigilancia del Estado, deberán ser autenticadas por la persona que las expida, y si fuere necesario para fines judiciales, por un Notario Público, previo examen y confrontación del respectivo rollo de donde se haya copiado.

ORIGINAL DE LAS ACTAS DE MICRO FILMACIÓN

Decreto Ley 2527 de 1950

[2–0753] Art. 8. El original de las actas a que se refiere el artículo 4o. de este decreto debe conservarse sin ser destruido, para que sirva de control del archivo  ya  microfilmado, y si es de personas o entidades no oficiales, deberá protocolizarse en  una Notaría.

NOTA DE FASECOLDA. Los Decretos 2527 de 1950 y 354 de 1954 fueron adoptados como legislación permanente por la Ley 141 de 1961.

MICRO FILMACIÓN DE ARCHIVOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0754] Art. 1. Todo comerciante podrá conservar sus archivos utilizando cualquier medio técnico adecuado que garantice la reproducción exacta de documentos, tales como la micro-filmación, la micro-grafía y los discos ópticos entre otros.

REPRODUCCIÓN DE ARCHIVOS MICROFILMADOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0755] Art. 2. Los jefes de registro mercantil o quienes hagan sus veces, deberán certificar la exactitud de las reproducciones que se realicen con base en el artículo anterior.

CONSTANCIA SOBRE ARCHIVOS MICROFILMADOS DEL COMERCIANTE

Decreto Reglamentario 2620 de 1993

[2–0756] Art. 3. Los comerciantes para utilizar cualquiera de los medios técnicos a los que se refiere el artículo primero de este Decreto, deberán contar, al momento de la reproducción, con la presencia de un funcionario de la Cámara de Comercio de su domicilio, con el fin de que mediante acta se haga constar la relación de los documentos reproducidos, así como la exactitud de los mismos.

Parágrafo. La Superintendencia de Industria y Comercio impartirá instrucciones a las Cámaras de Comercio para cumplir las funciones que en este Decreto se les asignan.

CONSERVACIÓN DE DOCUMENTOS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0757] PARTE I, TIT IV, CAP I, NUM 4. Conservación

4.1. Conservación

De acuerdo con el art. 96 del EOSF, las entidades vigiladas por la SFC deben conservar sus libros y papeles por un período no menor a 5 años desde la fecha del último asiento, documento o comprobante, sin perjuicio de lo que exijan disposiciones especiales. En tal sentido, vencido este lapso, pueden ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

No obstante, esta obligación tratándose de las entidades a las que se refiere el parágrafo 3 del art.75 de la Ley 964 de 2005, se rige por lo dispuesto en el art. 28 de la Ley 962 de 2005, es decir que el tiempo de conservación es equivalente a 10 años. contados a partir de la fecha del último asiento, documento o comprobante, pudiendo utilizar para el efecto, su conservación en papel o en cualquier medio técnico, magnético o electrónico que garantice su reproducción exacta.

4.2. Conservación en forma de mensajes de datos

El art. 56 del C. Cio. en concordancia con la Ley 527 de 1999 establece la posibilidad de llevar los libros de comercio en archivos electrónicos, siempre que se garantice en forma ordenada, la inalterabilidad, integridad y seguridad de la información, así como su conservación, de conformidad con las normas contables vigentes y aplicables al diligenciamiento de los libros de contabilidad.

Por tanto, los libros y papeles del comerciante conservados a través de medios electrónicos, en tanto asumen la condición de mensaje de datos, tienen efectos jurídicos, siempre que cumplan con las condiciones señaladas en el art. 56 del C. Cio.,  el art. 12 de la precitada Ley 527 y el Decreto 805 de 2013

En concordancia con lo antes señalado, las entidades vigiladas pueden mantener los soportes de las actividades propias del desarrollo de su objeto social en cualquier medio electrónico, óptico o similar, en tanto cumplan las condiciones señaladas por las disposiciones citadas, incluida la micro filmación realizada acorde con los Decretos 2527 de 1950 y 3354 de 1954 y concordantes -Decreto 2620 de 1993-.

Pueden, en consecuencia, microfilmarse o conservarse los documentos y expedientes que han sido sometidos al trámite normal y los que encontrándose en trámite, por su importancia, merezcan un especial cuidado en la conservación y autenticidad. Sin embargo, en este caso no pueden ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la costumbre aconsejen en cada caso, según su naturaleza.

CONSERVACIÓN Y MICRO FILMACIÓN DE DOCUMENTOS

[2–0758] Oficio 400–049452  de 1989 de la Superintendencia Bancaria

En atención a su consulta contenida  en las comunicaciones citadas en la referencia, esta Superintendencia se permite efectuar los siguientes planteamientos.

1.- Marco legal de la conservación y micro filmación de documentos.

a. Con la expedición de los decretos 2527 de 1950 y 3354 de 1954, adoptados como legislación permanente por la ley 141 de 1961, se reguló lo atinente al procedimiento de micro filmación tanto en los archivos particulares como oficiales.

El artículo único del decreto 3354, sustitutivo del artículo 2 del decreto 2537 de 1950, establece que “podrán microfilmarse los documentos y expedientes que han sido sometidas al trámite, por su importancia merezcan un especial cuidado en la conservación y autenticidad; pero no podrán ser destruidos sus originales hasta cuando haya transcurrido el tiempo que la prudencia y la  costumbre aconsejan en cada caso, de acuerdo con su naturaleza”.

b. Con posterioridad, al expedirse el decreto 410 de 1971, contentivo del actual Código de Comercio, el artículo 60 de este estatuto adicionó los decretos atrás citados en lo relativo a los libros y papeles de comercio, estableciendo que deberán ser conservados cuando menos por diez años, contados desde el cierre de aquellos o a la fecha del último asiento, documento o comprobante. Transcurrido este lapso, podrán ser destruidos por el comerciante, siempre, que por cualquier medio técnico adecuado garantice su reproducción exacta.”

No resulta pertinente afirmar que este artículo derogó en manera alguna las previsiones contenidas en los decretos  2527 de 1951 y 3354 de 1954, sino que simplemente adoptó una regulación de mayor especificidad y concreción con respecto a cierto tipo de documentos: los papeles de comercio. Las dos disposiciones no son antagónicas, sino que aquella complementa a estas y se deben interpretar armónicamente. Así lo entendió el Consejo de Estado, en providencia de agosto 19 de 1981 de la Sala de Consulta y Servicio Civil, cuyo ponente fue el Doctor Oswaldo Abello Noguera al decir:

“En esta forma el artículo 60 del Código de Comercio adiciona el decreto 2127 de 1950 en relación con los libros y papeles del comerciante si para reproducirlos se utilizare el procedimiento  de micro filmación. (..). De lo expuesto se concluye que las normas del Código de Comercio no han derogado ni modificado las que regulan el sistema general de micro filmación, pero los artículos 48 y 60 del Código de Comercio regulan en forma especial la conservación y la reproducción de los libros y papeles de los comerciantes el valor probatorio de originales y copias”.

c. Adicionalmente, como es de su conocimiento, el artículo 99 de la ley 45 de 1923 dispuso que “todo establecimiento bancario debe conservar las constancias de sus asientos definitivos y sus tiquetes de depósito, por un período no menor de seis (6) años desde la fecha del último asiento”, disposición que debe entenderse modificada por las previsiones de los decretos legislativos 2527 de 1950 y 3354 de 1954 que, en cuanto adoptados como legislación permanente por la ley 141 de 1961, constituyen norma vigente, más aún cuando por virtud del artículo 2033 del decreto 410 de 1971, los mencionados decretos legislativos continúan con vigencia al regular parte integrante del régimen de las sociedades sometidas al control permanente de la Superintendencia Bancaria.

Por tanto bajo este respecto y como conclusión de la interpretación integral de las diversas disposiciones en comento, se infiere, a nuestro juicio, que la referencia legislativa pertinente en materia de conservación de documentos, para las entidades sometidas al control permanente de la Superintendencia Bancaria, es el tiempo que la prudencia y la costumbre aconsejen.

2.- Interpretación de las normas con respecto al caso consultado.

De un análisis integral de las disposiciones antes referidas, surgen las siguientes conclusiones:

Está permitida la microfilmación de documentos a todas las instituciones, tanto públicas como privadas y a todas las personas naturales o jurídicas. Los documentos microfilmados o a microfilmarse no podrán ser destruidos hasta que haya transcurrido el término que la prudencia y la costumbre aconsejen en cada caso, pero para los libros y papeles de come rcio el plazo de destrucción se ha establecido en un término fijo de diez (10) años, siempre que se garantice su reproducción exacta por un medio técnico adecuado.

Finalmente las compañías de seguros, al no estar regidas por la citada ley 45 como quedó anotado precedentemente, deben regirse por las disposiciones generales consagradas en los tantas veces referidos decretos 2521 de 1951 y 3354 de 1954 y en el artículo 60 del Código de Comercio. En consecuencia, deben esperar el tiempo que la prudencia y la costumbre aconsejen para proceder a destruir los documentos originales que no tengan carácter contable. En este punto, debemos acudir entonces a los términos establecidos en el artículo 1081 del Código de Comercio para la prescripción de las acciones derivadas del contrato de seguro. En efecto, si se quieren destruir todos los documentos originales relativos a pólizas de seguro y planes de capitalización, lo más prudente y aconsejable es esperar el término de prescripción extraordinaria de acciones, que es de cinco (5) años, que se contarían a partir de la fecha de terminación de cada contrato, luego de los cuales se extingue el derecho de exigir cualquier obligación emanada de ellos, dejando de ser fundamental la conservación de los documentos originales correspondientes.

Ahora bien, los libros y papeles de comercio sí deben, por las razones expuestas, esperar el plazo de diez (10) años de que habla el Código de Comercio con anterioridad a su destrucción. Por ende, todos los documentos y recibos que conforman los asientos contables de las compañías de seguros deberán someterse a este plazo y luego ser reproducidos de manera adecuada.

Por último, existe un vacío en todas las normas en cuanto a la posibilidad de destruir documentos, v. gr. pólizas canceladas de más de cinco (5) o seis (6) años, sin proceder antes a su micro filmación. Ni los decretos sobre micro filmación ni el Código de Comercio se pronuncian al respecto, y  antes, por el contrario, su espíritu es el de preservar los documentos, ora mediante su conservación, ora mediante su adecuada reproducción. Es por ello que esta Superintendencia considera que no existe facultad legal que permita destruir documentos como pólizas ya caducadas, sin conservar, por cualquier medio técnico adecuado, que no necesariamente debe ser la micro filmación, una reproducción adecuada de los mismos.

En los anteriores términos hemos dado trámite a su solicitud, con el alcance a que se refiere el artículo 25 del Código Contencioso Administrativo.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – AMBITO DE APLICACIÓN

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0759] PARTE I, TIT I, CAP VI, NUM 1. ÁMBITO DE APLICACIÓN. Las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC) pueden soportar todos sus procesos y actividades en servicios computacionales en la nube. Cuando se trate de la operación de sus procesos misionales o de gestión contable y financiera deben cumplir las instrucciones de las que trata este Capítulo.

 

También pueden hacerlo los operadores de información de la Planilla Integrada de Liquidación de Aportes (PILA) respecto de la actividad del Operador de Información de la Planilla definida en el artículo 2° del Decreto 1465 de 2005 y los Institutos de Fomento y Desarrollo de las entidades territoriales.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – DEFINICIONES

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0760] PARTE I, TIT I, CAP VI, NUM 2. DEFINICIONES

Las siguientes definiciones se deben tener en cuenta para los fines del presente Capítulo.

 

2.1. Disponibilidad

Porcentaje de tiempo que el servicio tecnológico utilizado por la entidad está habilitado para la prestación del servicio.

 

2.2. Procesos misionales

Son aquellos procesos que contribuyen directamente al resultado previsto por la entidad en cumplimiento de su objeto social. Estos procesos están relacionados con la naturaleza, misión, objetivos y función de la entidad y no están asociados a actividades de apoyo o complementarias.

 

2.3. Servicios de computación en la nube

Tecnología que permite el acceso en condiciones de ubicuidad, configurable y por demanda, a un conjunto compartido de recursos computacionales, que se pueden aprovisionar, configurar y liberar rápidamente, con poco esfuerzo de gestión o de interacción con el proveedor de servicios. Dicha tecnología puede prestarse a través de los siguientes tipos de modelo de servicios y cuatro modelos de implementación:

 

2.3.1. Software como servicio (SaaS, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las aplicaciones que corren en la infraestructura de éste, bajo demanda y que pueden ser utilizadas de forma compartida con otros usuarios. La entidad no administra ni controla la infraestructura del proveedor.

 

2.3.2. Plataforma como servicio (PaaS, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad las plataformas en las cuales desarrollan y prueban distintas aplicaciones, mediante el uso de lenguajes y herramientas de programación que son gestionadas por el prestador de servicios. La entidad no administra ni controla la infraestructura del proveedor.

 

2.3.3. Infraestructura como servicio (IaaS, por su sigla en inglés). Modelo de servicio en el cual el proveedor de servicios de computación en la nube pone a disposición de una entidad la infraestructura que le permite ejecutar software de cualquier tipo, con el propósito de obtener la capacidad de procesamiento informático o de almacenamiento de información mediante servicios estandarizados.

 

2.4. Implementaciones de nube

Las siguientes son las implementaciones de nube consideradas para la aplicación de este Capítulo:

 

2.4.1. Nube pública. Servicios disponibles para ser utilizados por el público en general y que son suministrados por un proveedor que comercializa servicios por demanda.

 

2.4.2. Nube privada. Servicios disponibles que se proporcionan para uso exclusivo de una organización.

 

2.4.3. Nube comunitaria. Servicios disponibles para el uso exclusivo de una comunidad específica de organizaciones que tienen objetivos similares.

 

2.4.4. Nube híbrida. Servicios disponibles compuestos de dos o más implementaciones de nube.

 

2.5. Subcontratistas o partners

Terceros contratados por los proveedores de servicios de computación en la nube o de otra forma relacionado con ellos y cuyas actividades comprenden el desarrollo de una parte material de los servicios en la nube que usan las entidades vigiladas. Su actividad puede implicar el acceso a información y datos de la entidad y no está asociada a las actividades auxiliares de mantenimiento y soporte.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – OBLIGACIONES GENERALES DE LAS ENTIDADES

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera y modificada por la Circular Externa 029 de 2019 de la Superintendencia Financiera.

[2–0761] PARTE I, TIT I, CAP VI, NUM 3. OBLIGACIONES GENERALES DE LAS ENTIDADES

Las entidades que soporten la operación de sus procesos misionales o de gestión contable y financiera en servicios computacionales en la nube, deben:

 

3.1. Contemplar dentro de su Sistema de Administración de Riesgo Operativo (SARO) la gestión efectiva de los riesgos derivados de la utilización de servicios computacionales en la nube, considerando, entre otros factores, el tipo de nube contratada, los sitios de procesamiento, los servicios contratados, el tipo de información a procesar, los controles de seguridad para la protección de los datos en ambientes virtualizados y la protección de las aplicaciones de la entidad.

 

3.2. Establecer los criterios para seleccionar el proveedor de servicios de computación en la nube.

 

3.3. Evaluar la conveniencia de implementar en sus filiales y subsidiarias del exterior, en caso de que las tengan, las instrucciones de este Capítulo.

 

3.4. Verificar que el proveedor de servicios en la nube cuente y mantenga vigente, al menos, la certificación ISO 27001, y de observancia a los estándares o buenas prácticas, tales como ISO 27017 y 27018. El proveedor puede certificarse con estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores y debe disponer de informes de controles de organización de servicios (SOC1, SOC2, SOC3).

 

3.5. Verificar que el proveedor ofrezca una disponibilidad de al menos el 99.95% en los servicios prestados en la nube en los modelos Iaas y PaaS. Para aquellos proveedores del servicio de computación en la nube en el modelo Saas, la disponibilidad debe ser de al menos el 99.5%.

 

3.6. Gestionar los riesgos de las API o Servicios Web suministrados por el proveedor de servicios en la nube.

 

3.7. Verificar que las jurisdicciones en donde se procesará la información cuenten con normas equivalentes o superiores a las aplicables en Colombia, relacionadas con la protección de datos personales y penalización de actos que atenten contra la confidencialidad, integridad y disponibilidad de los datos y de los sistemas informáticos.

 

3.8. Establecer mecanismos que permitan contar con respaldo de la información que se procesa en la nube, la cual debe estar a disposición de la entidad cuando así lo requiera.

 

3.9. Garantizar la independencia de su información y de sus copias de respaldo de la información de las otras entidades que procesen en la nube. La independencia se puede dar a nivel lógico o físico.

 

3.10. Mantener cifrada la información clasificada como confidencial en tránsito o en reposo, usando estándares y algoritmos reconocidos internacionalmente que brinden al menos la seguridad ofrecida por AES, RSA o 3DES.

 

3.11. Tener bajo su control la administración de usuarios y de privilegios para el acceso a los servicios ofrecidos, así como a las plataformas, aplicaciones y bases de datos que operen en la nube, dependiendo del modelo de servicio contratado.

 

3.12. Monitorear los servicios contratados para detectar operaciones o cambios no deseados y/o adelantar las acciones preventivas o correctivas cuando se requiera.

 

3.13. Establecer procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube y sus subcontratistas o partners, cuando sean estos quienes prestan el servicio.

 

3.14. Contar con canales de comunicación con el proveedor de servicios en la nube cifrados de extremo a extremo y que en lo posible usen rutas diferentes.

 

3.15. Contemplar dentro de los criterios para seleccionar las firmas que tendrán a su cargo la auditoria interna o externa de la entidad, las competencias técnicas necesarias para evaluar servicios en la nube.

 

3.16. Establecer las medidas necesarias para garantizar que, en el evento de toma de posesión, la SFC, Fogafín, Fogacoop, o quienes éstas designen, puedan acceder a la información y a la administración de los sistemas de información que operan en la nube.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – ACUERDOS O CONTRATOS DE SERVICIOS

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0762] PARTE I, TIT I, CAP VI, NUM 4. ACUERDOS O CONTRATOS DE SERVICIOS

Los acuerdos o contratos que suscriban las entidades para la prestación de servicios de computación en la nube deben contemplar como mínimo los siguientes elementos:

 

4.1. Las condiciones referentes a capacidad, disponibilidad, tiempos de recuperación, la existencia de planes de continuidad, resolución de incidentes y horarios de atención del proveedor del servicio, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con las instrucciones señaladas en el numeral 3 de este Capítulo.

 

4.2. Las condiciones de seguridad de la información y ciberseguridad de los servicios en la nube y las condiciones establecidas para proteger la privacidad y confidencialidad de los datos de los clientes, las cuales deben prever niveles de servicio que permitan cumplir, cuando menos, con las instrucciones señaladas en el numeral 3 de este Capítulo sobre la información procesada en la nube.

 

4.3. La propiedad de la información que se procese en los servicios de computación en la nube, haciendo claridad que los datos son propiedad de la entidad vigilada y que no se pueden usar para ningún propósito diferente al establecido en el contrato.

 

4.4. Las condiciones y limitaciones bajo las cuales se puede subcontratar parte del servicio o realizar cambios a los acuerdos establecidos con sus subcontratistas o partners.

 

4.5. Las causales de terminación del contrato por parte de la entidad, incluyendo, el incumplimiento de los acuerdos o niveles de servicio o el cambio de las condiciones que generen impacto negativo al servicio contratado.

 

4.6. La entrega a la entidad vigilada de informes y certificaciones que demuestren la calidad, desempeño y efectividad en la gestión de los servicios contratados, así como la vigencia de las certificaciones enunciadas en el numeral 3.4 de este Capítulo.

 

4.7. La obligación del proveedor del servicio de informar, en cuanto le sea posible, a la entidad vigilada sobre cualquier evento o situación que pudiera afectar significativamente la prestación del servicio y, por ende, el cumplimiento por parte de la vigilada de sus obligaciones frente a los consumidores financieros, a la SFC y a otras entidades.

 

4.8. El borrado seguro de los datos existentes en los medios de almacenamiento cuando finalice el contrato, cuando lo solicite la entidad o cuando el proveedor de servicios en la nube elimine y/o reemplace dichos medios.

 

4.9. La corrección oportuna y eficaz de las vulnerabilidades informáticas detectadas.

 

4.10. La utilización de técnicas de múltiple factor de autenticación para el acceso a las consolas de administración por parte de la entidad vigilada.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0762-01] PARTE I, TIT I, CAP VI, NUM 5. ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO

Las entidades vigiladas deben considerar dentro del plan de continuidad del negocio la operación en la nube y realizar las pruebas que resulten necesarias para confirmar la efectividad de los procedimientos contingentes.

 

Asimismo, deben contar con la estrategia de migración a otra plataforma en caso de terminación del contrato por cualquiera de las partes, por la interrupción o la degradación en la prestación del servicio de parte del proveedor de servicios en la nube o por cualquier otro motivo que considere razonable la entidad vigilada.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – REMISIÓN DE INFORMACIÓN A LA SFC

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0762-02] PARTE I, TIT I, CAP VI, NUM 6. REMISIÓN DE INFORMACIÓN A LA SFC

Dentro de los 15 días anteriores al inicio del procesamiento de información en la nube, relacionada con procesos misionales o de gestión contable y financiera, las entidades deben remitir a la SFC la siguiente información:

 

6.1. El nombre del proveedor que prestará los servicios en la nube y de los subcontratistas o partners que le prestarán servicios asociados al objeto del contrato.

 

6.2. La relación de los procesos que serán manejados en la nube, incluyendo las aplicaciones, tipo de datos, productos y servicios asociados a éstos.

 

6.3. La ubicación física o región donde se procesarán y almacenarán los datos.

 

6.4. Las certificaciones otorgadas al proveedor del servicio y/o sitio de procesamiento.

 

6.5. La relación de auditorías a las que se somete el proveedor de servicios contratado.

 

6.6. La información sobre los niveles de servicio establecidos.

 

6.7. El diagrama con la plataforma tecnológica que soportará los servicios contratados.

REGLAS RELATIVAS AL USO DE SERVICIOS DE COMPUTACIÓN EN LA NUBE – DOCUMENTACIÓN

Circular Externa 029 de 2014 de la Superintendencia Financiera, adicionada por la Circular Externa 005 de 2019 de la Superintendencia Financiera

[2–0762-03] PARTE I, TIT I, CAP VI, NUM 7. DOCUMENTACIÓN

Las entidades deben mantener actualizada y a disposición permanente de la SFC, a través de los medios verificables que establezcan para el efecto,  la información que se relaciona a continuación:

 

7.1. La documentación completa de los procesos y procedimientos que se ejecutan en la nube.

 

7.2. La documentación de las aplicaciones que operan en la nube.

 

7.3. La documentación de los flujos de datos de los procesos misionales o de gestión contable y financiera que alimentan o consumen las aplicaciones dispuestas por el proveedor de servicios en la nube, cuando aplique.

 

7.4. Los diagramas de red que permitan identificar la plataforma que soporta el servicio contratado.

 

7.5. Los procedimientos para verificar el cumplimiento de los acuerdos y niveles de servicio establecidos con el proveedor de servicios en la nube.

 

7.6. Los reportes generales de auditoria, pruebas de vulnerabilidades y estado actual de los servicios contratados.