PINAKES : EL SISTEMA DE CALIFICACIÓN DE PROVEEDORES DEL SECTOR FINANCIERO

La gestión de la Seguridad de la Información es una necesidad en todo tipo de entidades, y no resulta especialmente sencilla cuando hay proveedores de servicios como parte de la ecuación. Las directrices EBA/GL/2019/02, de 25 de febrero de 2019, ya obligan a las entidades financieras e instituciones de pagos a realizar auditorias de seguridad de todos aquellos proveedores en los que se externalicen tareas críticas o importantes.

En estos casos, el establecimiento de un modelo de Vendor Risk Management en las entidades supone establecer un sistema para monitorizar y gestionar la seguridad que aportan los proveedores en los servicios que prestan, debiendo proceder a un seguimiento y auditorías periódicas de los mismos en función de su nivel de criticidad.

Sin embargo, esta dedicación a la auditoría de servicios de proveedores puede reducirse si estos servicios cuentan con auditorías y certificaciones de seguridad de confianza.

Esta necesidad de gestión de riesgo de servicios de proveedores (y las auditorías que se requieren) es especialmente importante para las entidades financieras ya que además es un requisito que deben abordar para dar cumplimiento a los requerimientos del regulador anteriormente indicados.

Con este objetivo, el Centro de Cooperación Interbancaria (CCI), asociación que aglutina al colectivo de entidades financieras del país, ha desarrollado la plataforma PINAKES de calificación, gestión y monitorización de seguridad de servicios de proveedores que armoniza y unifica el marco de controles de seguridad. Esta plataforma facilita a las entidades financieras tener garantías sobre los niveles de seguridad de los servicios que seleccionan y contratan a proveedores.

La forma de proceder es la siguiente:

  • Los proveedores de servicios se dan de alta en la plataforma PINAKES.

  • El proveedor contrata a un evaluador (auditor de seguridad) homologado por PINAKES para que analice (audite) el servicio a calificar y presente al proveedor el grado de implementación de las prácticas del Marco de controles Pinakes (referencial).

  • Con los resultados de la auditoria, el proveedor presenta la documentación al CCI en la plataforma PINAKES.

  • El CCI verificará los informes proporcionados y otorgará una calificación global al servicio auditado y una calificación de cada uno de sus 14 dominios. Esta calificación podrá ser D, C, B, A o A+, donde la más alta "A+" implica que están implementadas las medidas y controles más exigentes para el manejo de información muy sensible y la más baja "D" implica que solo se cumplen unas medidas de seguridad mínimas.

  • Esta calificación de seguridad del servicio servirá de referencia para todas las entidades financieras que quieran contratar los servicios con el proveedor.

El alcance de estas revisiones abarca un marco muy amplio de controles que contempla normativas y estándares como ISO 27000, PCI DSS, PSD 2, FFIEC, ENS, SOC 2, NIST 800-53, CSA CMM, CIS Controls V 7, así como controles específicos sectoriales y abarca los siguientes dominios:

  • Programa de gestión de la seguridad de la información

  • Seguridad de las instalaciones

  • Gestión de terceras partes

  • Cumplimiento normativo

  • Controles de red

  • Control de acceso

  • Gestión de incidentes

  • Cifrado

  • Desarrollo seguro

  • Monitorización

  • Protección frente al malware

  • Resiliencia

  • Operación de los sistemas

  • Seguridad del personal

El CCI ha desarrollado una página web en la que consultar los detalles de PINAKES así como un registro de entidades evaluadoras homologadas.

BDO es una de las cuatro entidades homologadas por el CCI en este momento para la realización de las auditorías de calificación de seguridad y como tal aparece en dicho registro, por su amplia experiencia demostrada en auditorías de seguridad y sistemas de certificación de seguridad, como lo acredita el ser también la primera empresa de auditoría multinacional acreditada por ENAC para emitir las certificaciones del Esquema Nacional de Seguridad (ENS).

Este método de calificación de proveedores del Centro de Cooperación Interbancaria permitirá impulsar la gestión de la seguridad de la información de las entidades financieras, así como aumentar el control y transparencia del nivel de seguridad de los servicios que se contratan a proveedores.

Además, permitirá que los proveedores puedan acreditar con una única auditoría su nivel de seguridad ante las entidades y darlo a conocer a todos los miembros mediante su publicación en la plataforma PINAKES.