Con el objetivo de que tanto las AFPs como la Administradora de Fondos de Cesantía (AFC) cuenten con esquemas de trabajo que les permitan optimizar los procesos y, a la vez, proteger la confidencialidad, integridad y disponibilidad de la información de sus usuarias y usuarios, la Superintendencia de Pensiones emitió una nueva norma de carácter general que establece una serie de disposiciones basadas en marcos de buenas prácticas en materia de gestión de seguridad y ciberseguridad.
La nueva norma busca principalmente resguardar aquellos datos de carácter personal y considerados como sensibles por parte de la legislación chilena y comenzará a regir el 1 de julio de 2021. Para esto, establece que tanto las AFPs como la AFC deberán implementar un Sistema de Gestión de Seguridad y Ciberseguridad que deberá involucrar a toda la organización.
Por esta razón, la norma también establece obligaciones para el directorio de cada entidad, el que debe aprobar y revisar anualmente la política de seguridad de la información y ciberseguridad.
Asimismo, el nuevo marco también contribuye a la gestión de riesgos de las AFPs y la AFC, considerando la seguridad de la información como un proceso transversal y cuyas actividades deben ser gestionadas, controladas y optimizadas de forma continua en todos sus niveles.
Para dar cumplimiento a la normativa, las administradoras deberán remitir trimestralmente un estado de avance respecto de la implementación de lo requerido por la Superintendencia.
Dado que la regulación de la Superintendencia de Pensiones establece estándares mínimos de buenas prácticas, es necesario que todos sus regulados complementen y mejoren el sistema de gestión con controles específicos que mitiguen los riesgos en materia de Ciberseguridad.
Con este fin se deberá establecer una estructura de procesos, considerando los objetivos, roles, infraestructura y tecnología de los niveles estratégico, táctico y operacional de la administradora
Las nuevas normas complementan la regulación sobre gestión de riesgo vigente establecida en los Compendios de Normas del Sistema de Pensiones y del Seguro de Cesantía, y en la Resolución N° 153, que contiene el Modelo de Supervisión Basada en Riesgo de la Superintendencia de Pensiones.
Si bien esta norma de carácter general regirá a contar del 1 de julio próximo, las instrucciones referidas a la gestión de incidentes de seguridad de la información y ciberseguridad, gestión del conocimiento y administración del Sistema de Gestión de Seguridad y Ciberseguridad, comenzarán a regir el 3 de enero de 2022.
Con esta propuesta, la Superintendencia de Pensiones espera continuar avanzando en perfeccionar y proponer mejoras al funcionamiento del sistema de pensiones y del seguro de cesantía, aumentando el estándar de exigencias de calidad para los servicios que entregan las AFPs y la AFC a sus afiliados y el público en general.