Ley Fintech Ecuador y ciberseguridad bancaria: qué exige la SB
La Ley Orgánica para el Desarrollo, Regulación y Control de los Servicios Financieros Tecnológicos de Ecuador, vigente desde diciembre de 2022, y las normas de la Superintendencia de Bancos (SB) basadas en ISO 27000 configuran el marco regulatorio de ciberseguridad más exigente del sector financiero ecuatoriano. Las entidades supervisadas deben demostrar controles técnicos documentados, auditorías externas anuales y gestión rigurosa de proveedores de tecnología.
La Ley Fintech de Ecuador (vigente 12-2022)
La Ley Fintech ecuatoriana regula la prestación de servicios financieros a través de medios digitales y tecnológicos. Entró en vigencia en diciembre de 2022 y establece el marco bajo el cual operan las empresas fintech en Ecuador.
La supervisión de estas entidades recae sobre el Banco Central de Ecuador y las Superintendencias competentes —la Superintendencia de Bancos (SB) y la Superintendencia de Economía Popular y Solidaria (SEPS)— según el tipo de servicio y la naturaleza jurídica de la entidad.
La ley reconoce la necesidad de fomentar la innovación financiera mientras se garantizan la estabilidad del sistema financiero, la protección del consumidor y la integridad de los datos. Esto se traduce en requisitos de seguridad de la información que las empresas fintech y las entidades financieras tradicionales que adoptan canales digitales deben cumplir.
Superintendencia de Bancos (SB) — Norma de Gestión de Seguridad de la Información
La Superintendencia de Bancos de Ecuador ha emitido una Norma de Gestión de Seguridad de la Información basada en el marco ISO 27000 que aplica a todas las entidades financieras bajo su supervisión. Esta norma tiene carácter obligatorio y exige el cumplimiento de un conjunto integral de controles de seguridad.
El eje de la norma es la gestión sistemática de la seguridad de la información, alineada con los principios de confidencialidad, integridad y disponibilidad. Las entidades deben demostrar que sus controles son efectivos, no solo que existen en papel.
Requisitos clave de la norma SB
Los requisitos principales que la norma de la SB impone a las entidades supervisadas son:
- Comité de Seguridad de la Información: órgano formal de gobierno con participación de la alta dirección para supervisar la estrategia y el cumplimiento de seguridad.
- Inventario de activos de información: registro completo de los activos de información de la organización, con su clasificación por criticidad y responsable asignado.
- Análisis periódico de riesgos: evaluación sistemática de los riesgos de seguridad que afectan a los activos de información, con revisión periódica.
- Evaluación de controles implementados: verificación de que los controles de seguridad son efectivos y proporcionales a los riesgos identificados.
- Auditorías de seguridad periódicas: revisiones internas y externas del sistema de gestión de seguridad de la información.
- Gestión de privilegios: control estricto de los accesos a sistemas y datos, con principio de mínimo privilegio y revisiones periódicas.
- Controles criptográficos: uso de cifrado para proteger datos en tránsito y en reposo según su clasificación.
- Protección de redes: controles de segmentación, monitoreo y protección de la infraestructura de red.
- Gestión de vulnerabilidades: proceso continuo de identificación, evaluación y remediación de vulnerabilidades en todos los activos tecnológicos.
- Programas de entrenamiento y conciencia: formación periódica al personal sobre seguridad de la información y sus responsabilidades.
La gestión de vulnerabilidades continua es uno de los controles centrales de la norma. Las entidades deben mantener un proceso documentado con evidencia de seguimiento y remediación.
Auditorías externas
La norma de la SB establece como mínimo la realización de una auditoría externa anual de seguridad de la información. Esta auditoría debe ser realizada por personal independiente de la organización y debe aplicar estándares internacionales reconocidos.
El alcance habitual de estas auditorías incluye la evaluación del Sistema de Gestión de Seguridad de la Información (ISMS), los controles técnicos de ciberseguridad, la gestión de incidentes, la continuidad del negocio y el cumplimiento regulatorio.
Los resultados de las auditorías externas deben presentarse al Comité de Seguridad de la Información y, en los casos que corresponda, a la propia Superintendencia de Bancos. El NIST Cybersecurity Framework es uno de los marcos de referencia reconocidos que puede guiar la preparación para estas auditorías.
Proveedores de nube (cloud)
Las entidades financieras ecuatorianas que utilizan servicios de computación en la nube —ya sea para infraestructura, plataformas o servicios de software— deben asegurarse de que sus proveedores cumplan con estándares internacionales de seguridad específicos para entornos cloud:
- ISO 27001: Sistema de Gestión de Seguridad de la Información.
- ISO 27017: Controles de seguridad para servicios cloud.
- ISO 27018: Protección de información de identificación personal (PII) en la nube pública.
Los contratos con proveedores de cloud deben incluir cláusulas contractuales que establezcan SLAs de seguridad, obligaciones de confidencialidad, procedimientos de notificación de incidentes y el derecho de auditoría por parte de la entidad financiera.
La evaluación periódica de proveedores y el control de riesgos de terceros son obligaciones explícitas de la norma, con criterios documentados de aprobación y revisión. El desarrollo seguro de software es parte de los controles que deben extenderse a los proveedores tecnológicos que desarrollan o mantienen aplicaciones críticas.
¿Tu entidad financiera opera en Ecuador bajo la supervisión de la SB? Contacta a WhiteJaguars para una evaluación de ciberseguridad alineada con los requisitos de la Superintendencia de Bancos y la Ley Fintech ecuatoriana.