Art. 9
Seguimiento de los acuerdos contractuales
En vigor desde 13 mar 2024
Artículo 9
Seguimiento de los acuerdos contractuales
1. La política exigirá que los acuerdos contractuales especifiquen las medidas e indicadores clave que deben permitir supervisar, de forma continua, el desempeño de los proveedores terceros de servicios de TIC, incluidas las medidas de supervisión del cumplimiento de los requisitos relativos a la confidencialidad, disponibilidad, integridad y autenticidad de los datos y la información, y el cumplimiento por parte de los proveedores terceros de servicios de TIC de las políticas y procedimientos pertinentes de la entidad financiera. La política también especificará las medidas aplicables cuando no se cumplan los acuerdos de nivel de servicio, incluidas, en su caso, las sanciones contractuales.
2. La política especificará el modo en que la entidad financiera debe evaluar si los proveedores terceros de servicios de TIC a los que se recurre para los servicios de TIC que sustenten funciones esenciales o importantes cumplen normas de desempeño y calidad adecuadas en consonancia con el acuerdo contractual y las políticas propias de la entidad financiera. La política garantizará, en particular, lo siguiente:
a)
que los proveedores terceros de servicios de TIC faciliten informes adecuados sobre sus actividades y servicios a la entidad financiera, incluidos informes periódicos, informes de incidentes, informes sobre la prestación de servicios, sobre la seguridad de las TIC y sobre las medidas y las pruebas relacionadas con la continuidad de las actividades;
b)
que el desempeño de los proveedores terceros de servicios de TIC se evalúe con indicadores clave de desempeño, indicadores clave de control, auditorías, autocertificaciones y revisiones independientes en consonancia con el marco de gestión del riesgo relacionado con las TIC de la entidad financiera;
c)
que la entidad financiera reciba otras informaciones pertinentes facilitadas por los proveedores terceros de servicios de TIC;
d)
que se notifique a la entidad financiera, cuando proceda, los incidentes relacionados con las TIC y los incidentes operativos o de seguridad relacionados con los pagos;
e)
que se lleven a cabo una revisión y auditorías independientes que verifiquen el cumplimiento de los requisitos y las políticas legales y reglamentarios.
3. La política especificará que debe documentarse la evaluación a que se refiere el apartado 2 y que deben utilizarse sus resultados para actualizar la evaluación de riesgos de la entidad financiera a que se refiere el artículo 6.
4. La política establecerá las medidas adecuadas que debe adoptar la entidad financiera si detecta deficiencias en los proveedores terceros de servicios de TIC, incluidos los incidentes relacionados con las TIC y los incidentes operativos o de seguridad relacionados con los pagos, en la prestación de los servicios de TIC que sustenten funciones esenciales o importantes o en el cumplimiento de acuerdos contractuales o requisitos legales. También especificará el modo en que debe supervisarse la aplicación de dichas medidas a fin de garantizar su cumplimiento efectivo en un plazo definido, teniendo en cuenta la importancia de las deficiencias.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1773:oj#art-9