El Open Finance ha revolucionado la industria financiera, sobre todo en la entrega de productos financieros. A diferencia de métodos tradicionales, como los buró de crédito, el Open Finance provee información contenida en fuentes gubernamentales o bancarias, siempre con el expreso consentimiento del dueño de los datos. En Chile, para poder hacer el traspaso de esos datos (desde la fuente hasta donde el usuario quiere enviarlos), es necesaria la autenticación de los usuarios con alguna credencial privada (como la clave bancaria o tributaria), para que con su autorización, las empresas puedan obtener los datos financieros y personales de la persona a evaluar o identificar.
Por lo tanto, en este entorno de intercambio de información sensible, la seguridad y la protección de los datos se vuelven fundamentales. Y aquí viene algo que para muchas empresas, aún es una sorpresa: para intercambiar información sensible, es un requisito fundamental contar con certificaciones de ciberseguridad de alto estándar, como lo es la certificación ISO 27001. Y no lo decimos nosotros, así se puede ver en decretos y resoluciones que especifican los requisitos específicos que deben cumplir los Órganos del Estado al efecto.
Si estás pensando hacer uso de los beneficios del Open Finance y estás analizando proveedores, esto es lo que tienes que saber.
Primero, ¿qué es la certificación ISO 27001?
La certificación ISO 27001 es un estándar internacional de gestión de seguridad de la información que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) en una organización. Esta norma es parte de la serie ISO/IEC 27000, que proporciona directrices y mejores prácticas para la seguridad de la información.
ISO 27001 se basa en un enfoque de gestión de riesgos, lo que significa que las organizaciones deben identificar y evaluar los riesgos relacionados con la seguridad de la información y luego implementar controles adecuados para mitigar esos riesgos. El objetivo final es garantizar la confidencialidad, integridad y disponibilidad de la información dentro de la organización.
Esta certificación se obtiene a través de una auditoría realizada por una entidad de certificación independiente y acreditada. Durante la auditoría, se evalúa si la organización cumple con todos los requisitos establecidos en la norma. Una vez que se ha verificado el cumplimiento, la organización recibe la certificación ISO 27001, que tiene una validez determinada y requiere auditorías de seguimiento periódicas para mantenerla.
La certificación ISO 27001 no solo demuestra que una organización ha implementado medidas adecuadas de seguridad de la información, sino que también brinda confianza a los clientes, socios comerciales y otras partes interesadas. También ayuda a las organizaciones a cumplir con las regulaciones y requisitos legales relacionados con la seguridad de la información, y les proporciona un marco sólido para la mejora continua en la gestión de la seguridad de la información.
Pero no estamos hablando solo de recomendaciones en ciberseguridad, sino que al menos para las empresas públicas, contar con la Certificación 27001 ya se ha vuelto un estándar mínimo exigido por ley, dando las directrices para el sector privado.
Vamos a la ley en Chile
El 12 de enero de 2005 se publicó en Chile el Decreto 83, una norma técnica que establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documentos electrónicos de los órganos de la Administración del Estado, para su uso, almacenamiento, acceso (por entidades privadas), y distribución.
Para salvaguardar que el uso de la información intercambiada sea de manera segura y confiable, se menciona la necesidad de contar con niveles avanzados de seguridad para los documentos electrónicos, y hace referencia al cumplimiento de la norma ISO 27002, que proporciona directrices detalladas sobre los controles de seguridad de la información que deben ser implementados para cumplir con los requisitos de la norma ISO 27001. Juntas, estas normas ayudan a las organizaciones a establecer y mantener un SGSI eficaz para proteger su información de manera integral.
Por otra parte, el Congreso Nacional de Chile publicó la Resolución Exenta 301, que permite que los órganos del Estado puedan celebrar convenios con entidades privadas, con el objeto de proporcionar información contenida en los registros públicos del Servicio de Clave Única, siempre y cuando contemple las mismas limitaciones en seguridad y confidencialidad de los datos de un documento electrónico. Es decir, si la Certificación ISO 27001 es un estándar mínimo de ciberseguridad para el gobierno, lo lógico sería también que las empresas privadas deban seguir estándares de seguridad del mismo nivel, y cumplir con al menos los mismos requisitos normativos.
¿Y en el resto de Latinoamérica?
Los diferentes países han ido avanzando en políticas y normativas de ciberseguridad para el tratamiento de datos personales. Recientemente, en Colombia, la Superintendencia Financiera de Colombia publicó dos nuevos artículos sobre “Instrucciones relativas a las finanzas abiertas” y “comercialización de tecnología e infraestructura digital”, que tratan de requisitos y obligaciones para el ecosistema Fintech. Uno de los aspectos tecnológicos y de seguridad más importantes que mencionan, es que las Fintech de Open Finance deben cumplir normas relacionadas con el tratamiento seguro de datos, pidiendo como requisito también contar con la Certificación ISO 27001, para garantizar que la información que procesan sea encriptada y segura.
Es así como en el contexto del Open Finance, la certificación ISO 27001 desempeña un papel crucial en la protección de datos de los usuarios finales, el cumplimiento normativo, la gestión de riesgos y el fortalecimiento de la confianza del cliente. Las organizaciones que buscan operar en este nuevo panorama financiero deben obtener esta certificación para garantizar la seguridad y confidencialidad de la información. Solo de esta forma, podrán operar en el mercado y construir relaciones comerciales sólidas basadas en la confianza y la seguridad de los datos.
Cómo lo hacemos en Floid
Floid ya implementó esta norma y se certificó en ISO 27001 durante el 2022, contemplando su renovación todos los años que siguen. Al implementar los controles adecuados, como la gestión de accesos, el cifrado de datos y la gestión de incidentes, Floid asegura que los datos estén protegidos contra amenazas internas y externas. De esta forma, fomenta una gestión proactiva de riesgos al identificar y evaluar las posibles amenazas, e implementar medidas para mitigar esos riesgos. Esto garantiza que se realicen evaluaciones periódicas de seguridad y se tomen medidas anticipadas para abordar los riesgos de seguridad emergentes. Así, nuestros clientes pueden tener la tranquilidad de que sus datos están protegidos y de que se han implementado los más altos estándares de seguridad.
Como ya hemos mencionado en otras oportunidades, el Open Finance implica el intercambio de datos financieros y personales entre múltiples entidades, como bancos, fuentes gubernamentales, fintechs y proveedores de servicios. Estos datos incluyen información confidencial como números de cuenta, historial de transacciones y datos personales. Así entonces, la certificación ISO 27001 establece un marco robusto de controles de seguridad de la información que garantiza la protección de estos datos sensibles.
