Art. 75
Infraestructura informática
En vigor desde 20 oct 2021
Artículo 75
Infraestructura informática
1. Al evaluar la arquitectura de los sistemas informáticos pertinentes para los sistemas de calificación de la entidad y para la aplicación del método IRB de conformidad con el artículo 144 del Reglamento (UE) n.o 575/2013, las autoridades competentes evaluarán todos los elementos siguientes:
a)
la arquitectura de los sistemas informáticos, incluidas todas las aplicaciones, sus interfaces e interacciones;
b)
un diagrama de flujo de datos que muestre un mapa de las principales aplicaciones, bases de datos y componentes informáticos que intervienen en la aplicación del método IRB y que se relacionan con los sistemas de calificación;
c)
la asignación de los propietarios de los sistemas informáticos;
d)
la capacidad, escalabilidad y eficiencia de los sistemas informáticos;
e)
los manuales de los sistemas informáticos y las bases de datos.
2. Al evaluar la solidez, la seguridad y la protección de la infraestructura informática que sea pertinente para los sistemas de calificación de la entidad y para la aplicación del método IRB, las autoridades competentes verificarán que:
a)
la infraestructura informática puede apoyar los procesos ordinarios y extraordinarios de una entidad de manera oportuna, automática y flexible;
b)
el riesgo de suspensión de las capacidades de la infraestructura informática (en lo sucesivo, «fallos»), el riesgo de pérdida de datos y el riesgo de evaluaciones erróneas (en lo sucesivo, «faltas») se abordan adecuadamente;
c)
la infraestructura informática está adecuadamente protegida contra el robo, el fraude, la manipulación o el sabotaje de datos o sistemas por parte de personas malintencionadas internas o externas.
3. Al evaluar la solidez de la infraestructura informática que sea pertinente para los sistemas de calificación de la entidad y para la aplicación del método IRB, las autoridades competentes verificarán que:
a)
los procedimientos de copia de seguridad de los sistemas informáticos, los datos y la documentación se aplican y se prueban periódicamente;
b)
se aplican planes de acción de continuidad para los sistemas informáticos críticos;
c)
los procedimientos de recuperación de los sistemas informáticos en caso de fallo se definen y se prueban periódicamente;
d)
la gestión de los usuarios de los sistemas informáticos se ajusta a las políticas y procedimientos pertinentes de la entidad;
e)
se implantan pistas de auditoría para los sistemas informáticos críticos;
f)
la gestión de las modificaciones de los sistemas informáticos es adecuada y el seguimiento de las modificaciones abarca todos los sistemas informáticos.
4. Al evaluar si la infraestructura informática pertinente para los sistemas de calificación de la entidad y para la aplicación del método IRB se revisa tanto periódicamente como de forma puntual, las autoridades competentes verificarán que:
a)
el seguimiento periódico y las revisiones puntuales dan lugar a recomendaciones para subsanar las debilidades o las deficiencias, cuando se detectan;
b)
los hallazgos y las recomendaciones mencionados en la letra a) se comunican a la alta dirección y al órgano de gestión de la entidad;
c)
hay pruebas adecuadas de que la entidad aborda y aplica correctamente las recomendaciones.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2022:439:oj#art-75