Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 1 de 8
Versión: 1.1
Nube
Versión: Motivo de revisión Modificaciones realizadas
1.1 Se incluye el punto V. Ámbito de Aplicación
Fecha: Se incluyó párrafo aclarativo en el punto 5.
Saneamiento de los Datos
Actualización del documento. Se incluyó nuevo punto 6. Mantenimiento de
07/04/2022 los Sistemas
Se incluyó nuevo punto 7. Disponibilidad
(Acta de directorio 11/2022)

ELABORADO POR: REVISADO POR: REVISADO POR:

Puesto: Gerente de Transformación Gerente de Riesgo Integral Gerente de Tecnología de la Información
Fecha: 07/04/2022 07/04/2022 07/04/2022

Nombre
y firma

Mauricio Egüez F. Saulo Mostajo C. Vladimir Wayar S.

REVISADO POR: APROBADO POR:

Puesto: Gerente General Directorio
Fecha: 07/04/2022 07/04/2022

Nombre
y firma 11/2022
Ronald Gutiérrez L. Nro. De Acta
TP: RTC
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 2 de 8
Versión: 1.1
Nube

I. Introducción ..................................................................................................................... 4
II. Objetivo ............................................................................................................................ 4
III. Alcance ............................................................................................................................ 4
IV. Definiciones ..................................................................................................................... 4
V. Ámbito de aplicación ...................................................................................................... 5
VI. Lineamientos de seguridad ................................................................................................ 5
1. Régimen regulatorio y localización de los datos ............................................................. 5
2. Gestión de identidades y accesos ................................................................................... 5
3. Aislamiento de datos ....................................................................................................... 6
4. Respaldos o copias de seguridad ................................................................................... 6
5. Saneamiento de los datos ............................................................................................... 7
6. Mantenimiento de los sistemas ........................................................................................ 7
7. Disponibilidad ................................................................................................................... 8
VII. Sanciones............................................................................................................................ 8

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 3 de 8
Versión: 1.1
Nube

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 4 de 8
Versión: 1.1
Nube

I. Introducción

El presente documento describe los lineamientos de seguridad que garanticen el debido

tratamiento, protección y privacidad de datos personales cuando se utilicen servicios de
computación en la nube.

II. Objetivo

Definir los criterios que garanticen el debido tratamiento, protección y privacidad de datos
personales cuando se utilicen servicios de computación en la nube.

III. Alcance

La presente Norma aplica a cualquier servicio, proveedor de servicio, acuerdo de servicio o

modelo de despliegue de computación en la nube contratado por todas las Empresas Financieras
Integrantes del Grupo Financiero (EFIG) y la Sociedad Controladora Ganadero (SCG) de acuerdo
al convenio de los servicios compartidos y por las características de su funcionamiento incluyan
información sensible.

IV. Definiciones

a) Propietario de la información: Es el responsable formalmente designado para controlar la

producción, desarrollo, mantenimiento, uso y seguridad de los activos de información;

b) Modelos de servicio: El modelo de servicio al que se ajusta una nube cuenta con un alcance
y control de la organización sobre el entorno computacional. En la actualidad existen 3 tipos
de modelos de servicios más utilizados:

• Software as a service (SaaS): SaaS es un método de entrega de aplicaciones de

software a través de Internet donde los proveedores de servicios en la nube hospedan y
administran las aplicaciones, lo que facilita tener la misma aplicación en todos sus
dispositivos a la vez porque accede a ella en la nube.

• Platform as a service (PaaS): PaaS está diseñado para dar acceso a los usuarios a los
componentes que necesitan para desarrollar y utilizar con rapidez aplicaciones web o
móviles a través de Internet, sin preocuparse por configurar y administrar la
infraestructura de servidores, almacenamiento, redes y bases de datos subyacente.

• Infraestructure as a service (IaaS): Es la categoría más básica de los tipos de

informática en la nube y permite alquilar infraestructura de TI (servidores y máquinas
virtuales, almacenamiento, redes y sistemas operativos) de un proveedor de servicios en
la nube con el modelo de pago por uso.

c) Acuerdos de nivel de servicio (SLA): Acuerdo contractual entre la empresa proveedora y

el cliente donde se define y establece los compromisos de niveles de calidad.

d) Recovery Point Objective (RPO): Determina la cantidad máxima aceptable de pérdida de

datos (en minutos u horas) que la empresa puede permitir a raíz de un evento que afecte la
continuidad operativa.

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 5 de 8
Versión: 1.1
Nube

e) Recovery Time Objective (RTO): Determina la cantidad máxima de tiempo tolerable

necesario para que todos los sistemas críticos vuelvan a estar en línea.
V. Ámbito de aplicación

Los lineamientos establecidos en el presente documento deben ser aplicados en base al

modelo de servicio de computación en la nube contratado, considerando lo siguiente:

- Para los modelos de servicio nube donde los recursos se encuentren bajo la
administración del proveedor de nube (como pueden ser los modelos nube PaaS y
SaaS), el contratante debe hacer cumplir los lineamientos establecidos en la presente
Norma a través de cláusulas contractuales.

- Para los modelos de servicio nube donde los recursos se encuentren bajo la
administración del Banco (como puede ser el modelo nube IaaS), las áreas que
realicen las actividades operativas deben cumplir con los lineamientos establecidos
en la presente Norma a través de la elaboración de manuales de procedimientos.

VI. Lineamientos de seguridad

A continuación se desglosan los lineamientos de seguridad para la protección de datos en la

nube:

1. Régimen regulatorio y localización de los datos

Los proveedores de servicios en la nube deben estar comprometidos a garantizar que el

almacenamiento y procesamiento de datos en jurisdicciones específicas cumplan con los requisitos
de control para la seguridad y la privacidad de los datos. Asimismo, deben expresar el compromiso
de aceptar la responsabilidad, por medio de un acuerdo contractual de servicio, por la exposición no
autorizada de la información que pueda estar bajo control del proveedor.

Toda información que se transmita, procese o almacene en zonas o regiones fuera de la jurisdicción
del régimen regulatorio deben estar en conocimiento del propietario de la información designado con
el objetivo de identificar riesgos que pudieran comprometer la confidencialidad, integridad o
disponibilidad de la información del Banco.

2. Gestión de identidades y accesos

La sensibilidad y privacidad de la información debe ser protegida por el proveedor a través de

aspectos de verificación y autenticación sobre la identidad del usuario, con el objetivo de evitar el
acceso no autorizado a los recursos de información en la nube.

Los accesos a la información deberán ser autorizada por los propietarios de la información de
acuerdo a la necesidad mínima de hacer y conocer.

Las solicitudes de acceso a los recursos de información en la nube para personal externo, deben ser
aprobadas por el propietario de la información a fin de asumir cualquier riesgo identificado, indicando
el tiempo de vigencia y los motivos de la solicitud.

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 6 de 8
Versión: 1.1
Nube

Se implementarán procedimientos formales para las actividades de administración y control sobre

los accesos a los recursos en la nube.

a) Autenticación: Los usuarios administradores y los usuarios que tengan privilegios de acceder
a información sensible deberán contar con la combinación de un segundo factor de
autenticación (Algo que sé, Algo que tengo o Algo que soy)

b) Administración de accesos de usuarios: El custodio del activo o servicio de información en

la nube, es el responsable de asignar, modificar o retirar los accesos de los usuarios por medio
de las vías que ya se encuentran formalmente habilitadas para los sistemas.

El administrador de accesos de usuarios debe contar con un registro formal de las solicitudes
de acceso habilitadas en los servicios en la nube con la correspondiente autorización.

c) Administración de super usuarios: Los servicios en la nube que cuenten con usuarios
privilegiados del tipo Administrador, deberán ser administradas a través de la herramienta de
identidad y gestión de cuentas privilegiadas implementada por el Banco.

3. Aislamiento de datos

Los datos almacenados en una nube pública normalmente residen en un entorno compartido junto
con los datos de otros clientes. Por lo tanto, la información sensible en una nube pública debe tener
en cuenta los medios por los cuales se controla el acceso a los datos y se mantienen seguros.

a) Protección criptográfica: Al no contar con controles físicos para el acceso a la información

almacenada en los recursos del proveedor de la nube, la manera de asegurar que la información
se encuentre debidamente protegida es a través del control de encriptación.

La protección criptográfica debe aplicarse sobre la información considerada sensible durante su

transferencia, su uso y su acceso.

b) Gestión de llaves: La seguridad de los sistemas que emplean criptografía depende del control
adecuado sobre las llaves y los componentes de gestión de llaves.

La responsabilidad de la gestión de llaves criptográficas debe ser asumida por parte del Banco,
es responsabilidad del propietario del activo de información resguardar de manera segura estas
llaves.

4. Respaldos o copias de seguridad

El propietario de la información debe examinar cuidadosamente los acuerdos de nivel de servicios

relacionado a la retención de la información por parte del proveedor y las recomendaciones que
propone este para aplicar copias de seguridad independientes sobre la información almacenada en
los recursos tecnológicos del proveedor.

Se implementarán procedimientos que describan como realizar las copias de respaldo y cómo
restaurarlas.

El propietario de la información debe asegurarse que las copias de respaldo cuenten con un control

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 7 de 8
Versión: 1.1
Nube

de acceso restringido al personal autorizado. Para tal fin, realizará las verificaciones que considere
pertinentes en base a reportes de permisos y privilegios asignados.

a) Periodicidad de las copias de respaldo: Se debe mantener al menos diez (10) años de la
información considerada sensible o crítica.

El propietario de la información debe verificar que el acuerdo contractual con el proveedor

cuente con procedimientos para realizar copias de respaldos y recuperación que puedan cubrir
las necesidades del Banco con respecto a los requisitos de los planes de continuidad de negocio
y el plan de contingencia tecnológica.

b) Tipo de copias de respaldo: En base al punto objetivo de recuperación (RPO) se define el tipo
de copia de respaldo completa (Full Backup), en la que se copian todos los datos al medio de
respaldo elegido.

c) Medios de respaldo: Las copias de seguridad serán realizadas haciendo uso los mecanismos
proporcionados por el proveedor para realizar copias de seguridad independientes.

d) Ubicación de las copias de respaldo: En caso que las copias de respaldo sean realizadas en
la nube, es importante asegurarse que la copia se encuentra ubicada en una región o zona
distinta al servicio en producción.

e) Protección de los respaldos: Es importante realizar el etiquetado de todos los medios de

respaldo y mantener un inventario actualizado de los mismos.
Las copias de respaldo que contengan información considerada sensible debe estar protegida
por medio de cifrado.

f) Pruebas de copias de respaldo: Los medios de respaldo deben probarse mínimamente 1 vez
al año, a fin de garantizar la confiabilidad de los mismos con relación a su eventual uso en casos
de emergencia, dichas pruebas deben ser documentadas y efectuadas.

5. Saneamiento de los datos

Saneamiento es la eliminación de datos sensibles de un medio de almacenamiento cuando

éste deja de ser utilizado en el entorno o se quiere reutilizar en otro entorno o situación.

Su aplicación debe ser considerada en las copias de seguridad y a los datos residuales que
quedan cuando el servicio finaliza.

El contratante debe verificar que se cuente con cláusulas contractuales donde estipulen las medidas
suficientes que el proveedor toma para garantizar que el saneamiento de datos se realice de manera
adecuada durante todo el ciclo de vida del servicio.

6. Mantenimiento de los sistemas

Se deben definir procedimientos operativos para los mantenimientos y actualizaciones de los

servicios en la nube cuando el Banco sea responsable de su administración.

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.
 Norma Código: NE-SI-002

Lineamientos de Seguridad para

la Protección de Datos en la Página 8 de 8
Versión: 1.1
Nube

7. Disponibilidad

Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se
pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente.

a) Monitoreo: Se deben definir procedimientos de monitoreo de los componentes

tecnológicos, las líneas de comunicación y el consumo de recursos que consume el
servicio con el fin de poder identificar la perdida de disponibilidad del servicio de manera
temprana

b) Respuesta a incidentes: Se debe contar con clausulas de nivel de servicio (SLAs) a nivel
contractual con el proveedor donde se establezca los tiempos de respuestas para la
atención de incidentes.

Asimismo, se debe contar con procedimientos que establezcan las actividades de

escalamiento de incidencias en base a los SLAs acordados.

VII. Sanciones

El incumplimiento a la presente norma por parte del personal que configura, administra y controla los
recursos tecnológicos en la nube, será motivo de sanciones, las que estarán sujetas a lo estipulado
en el Reglamento Interno del Banco.

• Llamada de atención de manera verbal o escrita.

• Sanciones en los siguientes casos: poner en riesgo la integridad de la información o mal uso de
ella.
• Se aplicarán a los funcionarios de acuerdo a la gravedad de la falta.

Control de Ediciones

Versión: Motivo de revisión Modificaciones realizadas

1.0
Fecha: Todo el documento.
Creación del documento.
(Acta de Directorio N° 06/2022)
17/02/2022

Cualquier documento impreso diferente del original y cualquier archivo electrónico que se encuentre fuera de la Intranet del
Banco Ganadero S.A., será considerada COPIA NO CONTROLADA.