Superfinanciera fija instrucciones para prestar servicios a través de ‘call center’ en áreas no exclusivas
22 de Octubre de 2021
Atendiendo las ventajas derivadas del uso de las tecnologías de la información en la prestación de servicios financieros y con el fin de ampliar la cobertura y continuidad de su prestación en condiciones de seguridad y calidad para asegurar la adecuada protección a los consumidores financieros, la Superintendencia Financiera estableció los requisitos que minimicen los riesgos asociados a la prestación de servicios a través de los centros de atención telefónica en áreas no exclusivas de las entidades vigiladas y de los operadores de información de la PILA.
Así es que adiciona el subnumeral 2.3.4.7.6 al Capítulo I del Título II de la Parte I de la Circular Básica Jurídica “Canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros” para incorporar los requerimientos en materia de operación de los centros de atención telefónica (call center, contact center) de las entidades vigiladas en áreas no exclusivas.
Entonces, las entidades podrán prestar dicho servicio a través de colaboradores ubicados por fuera de las instalaciones exclusivas, previo análisis de riesgo y la implementación de las medidas de control para:
a. Preservar la confidencialidad, integridad y disponibilidad de la información.
b. Mitigar el riesgo de: i) extracción, almacenamiento o copia de la información manejada y ii) uso de dispositivos o medios de comunicación que no sean suministrados por la entidad para la prestación del servicio.
c. Impedir: i) el uso o conexión a redes distintas a las autorizadas para la prestación del servicio y ii) que se destinen los dispositivos y medios de comunicación para actividades distintas a la prestación de los servicios por este canal.
d. Fortalecer el monitoreo sobre las operaciones realizadas con productos cuya información haya sido gestionada en estas áreas.
En aquellos eventos en que los equipos de cómputo permitan el envío o recepción de correo electrónico, mensajería instantánea o cualquier otro servicio que permita el intercambio de información, las entidades deben contar con un sistema de registro de la información enviada y recibida, y conservar dichos registros por un periodo mínimo de seis meses.
En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja o forme parte de un proceso judicial o una actuación extrajudicial, se deberá conservar hasta el momento en que la reclamación o queja se resuelva, o el proceso o actuación finalice.
Las entidades tendrán un término de dos meses para ajustarse a las nuevas instrucciones.
Opina, Comenta