Art. 6
Diligencia debida
En vigor desde 13 mar 2024
Artículo 6
Diligencia debida
1. La política establecerá un proceso adecuado y proporcionado para la selección y evaluación de los posibles proveedores terceros de servicios de TIC, teniendo en cuenta si estos son o no proveedores intragrupo de servicios de TIC, y exigirá que la entidad financiera evalúe, antes de celebrar un acuerdo contractual, si el proveedor tercero de servicios de TIC:
a)
cuenta con la reputación empresarial, las capacidades y los conocimientos especializados suficientes y los recursos financieros, humanos y técnicos adecuados, los estándares en materia de seguridad de la información, la estructura organizativa adecuada, la gestión del riesgo y los controles internos y, cuando proceda, las autorizaciones o registros necesarios para prestar los servicios de TIC que sustenten funciones esenciales o importantes de manera fiable y profesional;
b)
tiene capacidad para seguir los avances tecnológicos pertinentes y determinar las prácticas punteras en materia de seguridad de las TIC y aplicarlas cuando proceda con el fin de disponer de un marco de resiliencia operativa digital efectivo y sólido;
c)
recurre o tiene la intención de recurrir a subcontratistas de TIC para prestar los servicios de TIC que sustenten funciones esenciales o importantes o partes sustanciales de dichos servicios;
d)
está ubicado o procesa o almacena los datos en un tercer país y, en tal caso, si ello afecta a la magnitud de riesgos operativos o de reputación o al riesgo de verse afectado por medidas restrictivas, como embargos y sanciones, que puedan afectar a su capacidad para prestar los servicios de TIC o a la capacidad de la entidad financiera para recibir dichos servicios de TIC;
e)
acepta los acuerdos contractuales que garanticen la posibilidad de que la propia entidad financiera, terceros designados y las autoridades competentes puedan llevar a cabo auditorías de dicho proveedor tercero de servicios de TIC, también in situ;
f)
actúa de manera ética y socialmente responsable, respeta los derechos humanos y los derechos de la infancia, incluida la prohibición del trabajo infantil, respeta los principios aplicables en materia de protección del medio ambiente y garantiza unas condiciones de trabajo adecuadas.
2. La política especificará el nivel de garantía requerido respecto a la eficacia del marco de gestión del riesgo de los proveedores terceros de servicios de TIC para los servicios de TIC que sustenten funciones esenciales o importantes que haya de prestar un proveedor tercero de servicios de TIC. La política exigirá que en el proceso de diligencia debida se contemple una evaluación de la existencia de medidas de reducción del riesgo y de continuidad de las actividades, así como de la manera en que se garantiza su funcionamiento con respecto al proveedor tercero de servicios de TIC.
3. La política determinará el proceso de diligencia debida con vistas a la selección y evaluación de los posibles proveedores terceros de servicios de TIC e indicará cuáles de los siguientes elementos deben utilizarse para alcanzar el nivel de garantía requerido respecto del desempeño del proveedor tercero de servicios de TIC:
a)
auditorías o evaluaciones independientes realizadas por la propia entidad financiera o en su nombre;
b)
informes de auditoría independientes elaborados a petición del proveedor tercero de servicios de TIC;
c)
informes de auditoría elaborados por la función de auditoría interna del proveedor tercero de servicios de TIC;
d)
certificaciones adecuadas de terceros;
e)
otras informaciones pertinentes de que disponga la entidad financiera o facilitadas por el proveedor tercero de servicios de TIC.
4. Las entidades financieras garantizarán un nivel de garantía adecuado respecto del desempeño del proveedor tercero de servicios de TIC, teniendo en cuenta los elementos enumerados en el apartado 3, letras a) a e). Cuando proceda, se utilizará más de un elemento de los enumerados en dichas letra s).
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1773:oj#art-6