En marzo de 2019, se expidió por parte de la Superintendencia Financiera de Colombia, la Circular 005, la cual aplica a las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), pueden soportar todos sus procesos y actividades en servicios computacionales en la nube.
La circular tiene una serie de obligaciones en seguridad de la información para los proveedores en la nube, que ofrezcan servicios a empresas vigiladas por la SFC. La circular define la tecnología como el acceso en condiciones de ubicuidad, configurable y por demanda, a un conjunto compartido de recursos computacionales, que se pueden aprovisionar, configurar y liberar rápidamente, con poco esfuerzo de gestión o de interacción con el proveedor de servicios. Dicha tecnología puede prestarse a través de los siguientes tipos de modelo de servicios y cuatro modelos de implementación, entre ellos Software como servicio, Plataforma como servicio, Infraestructura como servicio.
Entre las obligaciones que deben cumplir los proveedores, se encuentra Verificar que el proveedor de servicios en la nube cuente y mantenga vigente, al menos, la certificación ISO 27001, y de observancia a los estándares o buenas prácticas, tales como ISO 27017 y 27018. El proveedor puede certificarse con estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores y debe disponer de informes de controles de organización de servicios (SOC1, SOC2, SOC3).
Así mismo, se debe tener obligaciones en seguridad como cifrar la información, gestionar los riesgos de API, monitorear los servicios, auditoria interna y externa, canales de comunicación segura, entre otros.
En el siguiente video de parte del equipo de Cloud Seguro, puedes entender la importancia de la Circular 005.