SBP Acuerdo 001-2022: ciberseguridad bancaria en Panamá
El Acuerdo No. 001-2022 de la Superintendencia de Bancos de Panamá (SBP) establece los lineamientos especiales para la protección de datos personales en entidades bancarias panameñas. Define protocolos, procesos y mecanismos obligatorios que los bancos deben implementar, incluyendo reglas especiales para el tratamiento de datos personales y la obligación de notificar violaciones de seguridad a las partes afectadas y a la propia SBP.
SBP Acuerdo No. 001-2022: lineamientos para banca panameña
El Acuerdo No. 001-2022 impone a las entidades bancarias supervisadas por la SBP la obligación de establecer protocolos, procesos, procedimientos y mecanismos específicos para proteger los datos personales que tratan en el desarrollo de sus operaciones. A diferencia de la Ley 81, que aplica a cualquier controlador de datos en Panamá, este acuerdo se dirige específicamente al sector bancario y eleva el estándar de cumplimiento exigido.
Las entidades deben documentar de forma precisa cómo recopilan, almacenan, procesan y transmiten datos personales, y garantizar que cada etapa del ciclo de vida del dato cuente con controles técnicos y organizativos adecuados. La gestión de vulnerabilidades continua es una condición necesaria para cumplir con este nivel de exigencia, ya que las brechas de seguridad no detectadas a tiempo comprometen tanto los datos como la posición regulatoria del banco ante la SBP.
El acuerdo también incluye reglas especiales para el tratamiento de categorías de datos personales que presentan mayor sensibilidad, estableciendo restricciones y garantías adicionales que los bancos deben respetar en sus procesos de negocio.
Notificación obligatoria de violaciones de seguridad
Uno de los elementos más relevantes del Acuerdo 001-2022 es la obligación de notificar las violaciones de seguridad que afecten datos personales. La notificación debe realizarse de forma simultánea a tres partes:
- Al titular de los datos: la persona cuya información fue comprometida debe ser informada de forma oportuna sobre la naturaleza de la violación y las medidas que el banco está adoptando.
- A la SBP: la Superintendencia debe recibir notificación formal para ejercer su función supervisora y adoptar medidas sistémicas si la violación afecta a múltiples entidades o al sistema financiero en general.
- Al custodio de base de datos: el responsable técnico del almacenamiento de los datos debe ser notificado para coordinar la contención del incidente y la preservación de la evidencia.
Este esquema de notificación tripartita exige que los bancos cuenten con planes de respuesta a incidentes formalizados y probados. Implementar procesos de detección de vulnerabilidades temprana reduce significativamente el tiempo de detección y respuesta, lo que a su vez minimiza el alcance de cualquier violación y la exposición regulatoria de la entidad.
La realización de pruebas de pentest periódicas permite identificar debilidades antes de que sean explotadas por actores maliciosos, contribuyendo directamente al cumplimiento preventivo de las obligaciones de notificación que establece el acuerdo.
SBP Acuerdo 3-2012: gestión del riesgo tecnológico
El marco regulatorio panameño para la ciberseguridad bancaria no comenzó con el Acuerdo 001-2022. El Acuerdo 3-2012 de la SBP ya establecía los lineamientos para la gestión del riesgo de tecnología de la información en entidades bancarias, con dos componentes principales que siguen vigentes:
- Funciones de monitoreo de incidentes: las entidades deben contar con capacidades formales para detectar, registrar y escalar incidentes de seguridad de manera continua. El monitoreo no puede ser reactivo ni puntual; debe operar de forma permanente sobre los sistemas críticos.
- Atención de incidentes de seguridad de sistemas informáticos: los bancos deben disponer de procedimientos documentados para responder a incidentes de seguridad, con roles y responsabilidades claramente definidos, criterios de escalamiento y mecanismos de comunicación interna y externa.
El Acuerdo 3-2012 y el Acuerdo 001-2022 forman un marco complementario: el primero establece la base para la gestión del riesgo tecnológico, mientras que el segundo añade obligaciones específicas en materia de protección de datos personales. El NIST Cybersecurity Framework es un referente técnico internacionalmente reconocido que permite alinear los controles internos con ambos acuerdos de la SBP de forma estructurada.
Qué deben implementar los bancos en Panamá
Para cumplir con el Acuerdo 001-2022 y el Acuerdo 3-2012 de la SBP, las entidades bancarias que operan en Panamá deben implementar al menos los siguientes controles:
- Inventario de datos personales: identificar qué datos se tratan, con qué finalidad, bajo qué base legal y quién es el responsable técnico de su custodia.
- Protocolos de protección de datos: documentar los procesos de recopilación, almacenamiento, acceso y eliminación de datos con controles técnicos y organizativos verificables.
- Plan de respuesta a incidentes: establecer procedimientos formales que incluyan los criterios de clasificación de violaciones de seguridad, los responsables de la notificación y los plazos para informar a titulares, SBP y custodios.
- Monitoreo continuo: implementar capacidades de detección de incidentes que operen en tiempo real sobre los sistemas críticos del banco.
- Pruebas de seguridad periódicas: realizar evaluaciones técnicas regulares que verifiquen la efectividad de los controles implementados y detecten vulnerabilidades antes de que sean explotadas.
- Gestión del riesgo tecnológico: mantener un proceso estructurado para identificar, evaluar y tratar los riesgos tecnológicos alineado con los lineamientos del Acuerdo 3-2012.
Si operas en otros mercados de la región, también puedes consultar el marco regulatorio de protección de datos crediticios en Paraguay (Ley 6534/2020), que define los deberes de confidencialidad y derechos ARCO aplicables en ese país.
¿Tu banco o entidad financiera en Panamá necesita alinear sus controles con el Acuerdo SBP 001-2022 y el Acuerdo 3-2012? Contáctanos para evaluar el estado actual de tu programa de ciberseguridad y diseñar un plan de cumplimiento técnico y operativo.