BCP Paraguay: ciberseguridad y cloud banking

  • Inicio
  • Blog
  • BCP Paraguay: ciberseguridad y cloud banking

Contenido

BCP Paraguay: ciberseguridad y cloud banking para entidades financieras

El Banco Central del Paraguay (BCP) ha establecido un marco regulatorio específico para la seguridad de la información y el uso de servicios en la nube por parte de las entidades financieras del país. Este marco obliga a los bancos y entidades supervisadas a implementar controles de ciberseguridad documentados, gestionar sus riesgos tecnológicos y notificar al regulador antes de migrar procesos críticos a infraestructura en la nube.

BCP Resolución Nº 12/2021 — Manual de Seguridad de Entidades Financieras

La Resolución Nº 12/2021 del BCP establece el Manual de Seguridad para las entidades financieras supervisadas por la Superintendencia Bancaria. Este instrumento normativo cubre dos áreas principales:

  • Ciberseguridad: define requisitos mínimos para proteger los sistemas de información de las entidades financieras, incluyendo controles de acceso, gestión de incidentes y continuidad operativa.
  • Delitos informáticos: establece obligaciones de reporte y respuesta ante incidentes que puedan constituir delitos informáticos, en coordinación con las autoridades competentes.

La resolución exige que las entidades financieras paraguayas cuenten con políticas formales de seguridad de la información, planes de respuesta ante incidentes y mecanismos de seguimiento continuo del estado de sus sistemas. Una gestión de vulnerabilidades estructurada es un componente clave para dar cumplimiento a estos requisitos.

BCP Regulación Nº 10, Acta Nº 43 (28-07-2022) — Cloud Computing

La Regulación Nº 10, aprobada mediante el Acta Nº 43 del 28 de julio de 2022, establece el marco específico para el uso de servicios de computación en la nube (cloud computing) por parte de las entidades financieras supervisadas por el BCP.

Los elementos más relevantes de esta regulación incluyen:

  • Directrices y obligaciones mínimas: define qué controles de seguridad, gobernanza y gestión de riesgos deben estar implementados antes de adoptar servicios en la nube.
  • Externalización de procesos computacionales: regula las condiciones bajo las cuales una entidad financiera puede externalizar procesos de TI a proveedores de nube, incluyendo requisitos de diligencia debida sobre el proveedor.
  • Notificación previa a la Superintendencia Bancaria: las entidades deben notificar formalmente a la Superintendencia Bancaria al menos 30 días antes de iniciar la migración de procesos críticos a infraestructura en la nube. Esta notificación debe describir los servicios a migrar, el proveedor seleccionado y los controles de seguridad implementados.

La detección de vulnerabilidades en entornos cloud es un componente técnico esencial para cumplir con las obligaciones de seguridad establecidas por esta regulación. Seguir el NIST Cybersecurity Framework facilita estructurar los controles requeridos.

Inversión en ciberseguridad — Datos y Sistema de Pagos (Sipap)

El ecosistema financiero paraguayo ha registrado inversiones significativas en ciberseguridad. Los datos disponibles indican que las inversiones en el sector financiero han superado los US$1.7 millones en el período inicial de implementación de los marcos regulatorios, alcanzando inversiones totales que exceden los US$11 millones a nivel de infraestructura del sector.

El Sistema de Pagos de Paraguay (Sipap) representa uno de los activos críticos bajo supervisión del BCP. La protección de este sistema requiere controles de seguridad continuos, incluyendo evaluaciones de pentest periódicas para identificar vulnerabilidades antes de que puedan ser explotadas.

Coordinación requerida con autoridades competentes

La regulación del BCP establece que las entidades financieras deben mantener canales de coordinación con las siguientes instituciones en caso de incidentes de ciberseguridad:

  • Autoridad de Supervisión Bancaria: responsable de la supervisión prudencial y el cumplimiento normativo de las entidades financieras.
  • Policía Nacional: para la investigación de delitos informáticos que afecten al sector financiero.
  • Ministerio Público: para la persecución penal de delitos cibernéticos relacionados con el sistema financiero.
  • Banco Central de Paraguay (BCP): como entidad reguladora y supervisora del sistema financiero nacional.
  • Ministerio de Tecnologías de la Información y Comunicaciones (MITIC): para la coordinación de respuesta ante incidentes de ciberseguridad a nivel nacional.

Esta estructura de coordinación refleja un enfoque multisectorial para la respuesta ante incidentes, donde la entidad financiera no opera de forma aislada sino como parte de un ecosistema de respuesta más amplio.

Qué deben hacer los bancos paraguayos

Para cumplir con las exigencias del BCP en materia de ciberseguridad y cloud computing, los bancos y entidades financieras en Paraguay deben implementar un programa estructurado que incluya:

  1. Política de seguridad de la información: documentar y aprobar formalmente las políticas de seguridad conforme a los requisitos de la Resolución Nº 12/2021.
  2. Gestión de riesgos tecnológicos: identificar y evaluar los riesgos asociados a los sistemas de información, incluyendo los entornos cloud.
  3. Evaluaciones de seguridad periódicas: realizar pruebas de penetración y análisis de vulnerabilidades de forma regular para mantener una postura de seguridad actualizada.
  4. Plan de respuesta ante incidentes: establecer procedimientos claros de detección, contención y notificación de incidentes de ciberseguridad.
  5. Due diligence de proveedores cloud: evaluar la seguridad y el cumplimiento normativo de los proveedores de nube antes de la contratación.
  6. Notificación previa al regulador: planificar las migraciones a nube con al menos 30 días de anticipación para cumplir con el requisito de notificación a la Superintendencia Bancaria.

Un programa de gestión de vulnerabilidades ágil y continuo permite a las entidades financieras paraguayas mantener una visión actualizada de su postura de seguridad y demostrar cumplimiento ante el BCP y la Superintendencia Bancaria.


¿Tu entidad financiera en Paraguay necesita implementar los controles exigidos por la Resolución Nº 12/2021 del BCP o prepararse para una migración a cloud conforme a la Regulación Nº 10? Contáctanos para conocer cómo podemos acompañarte en el proceso de cumplimiento regulatorio y fortalecimiento de la ciberseguridad.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU

CONASSIF 5-24: ciberseguridad en Costa Rica

El CONASSIF 5-24 regula gobernanza y ciberseguridad de entidades financieras en Costa Rica. Qué exige sobre resiliencia operacional, TI y alta dirección.

Leer: CONASSIF 5-24: ciberseguridad en Cost...

Ciberseguridad en República Dominicana

La Ley 133-21 y el Reglamento de Seguridad Cibernética de la Junta Monetaria exigen ISO 27001 y NIST a entidades financieras de República Dominicana.

Leer: Ciberseguridad en República Dominicana
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.