Política de Gestión de Incidentes y Brechas de Datos Personales en el Sector Financiero

La Política de Gestión de Incidentes y Brechas de Datos Personales en el Sector Financiero define requisitos para identificar, notificar, triar, clasificar, evaluar, contener, comunicar, documentar, cerrar y mejorar a partir de incidentes y brechas de datos personales en alcances del PIMS del sector financiero. Se aplica cuando la organización actúa como responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento o subencargado del tratamiento en un contexto del sector financiero, y también cubre sistemas, aplicaciones, servicios, procesos, proveedores, encargados del tratamiento, subencargados del tratamiento y terceros que tratan, almacenan, transmiten, dan soporte, acceden o afectan de otro modo a datos personales dentro del alcance. La política está diseñada expresamente como una variante sustitutiva de PII15 para el sector financiero, y exige que las organizaciones seleccionen PII15 o PII15-FS para el mismo alcance a fin de evitar obligaciones, registros y trabajo de evidencias de auditoría duplicados. La finalidad de la política es garantizar que los incidentes y las brechas de datos personales se gestionen de forma coherente, oportuna, lícita, segura y con evidencias preparadas para auditoría. REG10 — Registro de Incidentes y Brechas de Datos Personales se establece como el objeto de evidencia principal, mientras que los registros de apoyo conectan el registro del incidente con el modelo de evidencias más amplio del PIMS. REG01 se usa para el contexto de alcance, partes interesadas, sector, clientes, contratos y comunicación regulatoria. REG02 vincula las actividades de tratamiento afectadas, las categorías de datos personales, las categorías de interesados, las finalidades, los sistemas y los servicios. REG03 captura la Declaración de Aplicabilidad y las actualizaciones de aplicabilidad de los controles, incluida la sustitución de PII15 por PII15-FS. REG04 respalda la vinculación con riesgos de privacidad, EIPD, riesgo residual y tratamiento, mientras que REG08, REG09, REG11 y REG12 cubren interfaces de terceros, transferencias internacionales, formación y evidencias de auditoría o acciones correctivas. En términos operativos, la política exige que todo incidente de datos personales sospechado en el sector financiero que sea notificado o detectado se registre en REG10 en el plazo de un día hábil desde su recepción, o antes cuando puedan activarse plazos de notificación, comunicación al cliente o comunicación regulatoria. Los incidentes deben clasificarse en las 24 horas siguientes a la recepción y el registro del incidente como evento no relacionado con datos personales, sospecha de incidente de datos personales, incidente confirmado de datos personales, brecha confirmada de datos personales, incidente de datos personales en el sector financiero, incidente grave relacionado con las TIC en el sector financiero, ciberamenaza significativa o entrada pendiente de clasificación. La evaluación de la brecha de seguridad debe considerar los datos personales afectados, los interesados, los sistemas, los servicios, las actividades de tratamiento, los encargados del tratamiento, los subencargados del tratamiento, las transferencias, los riesgos, los clientes, las contrapartes y las acciones de remediación. La política también exige preservación de evidencias, contención dentro de plazos definidos, validación de la recuperación y decisiones de cierre documentadas que incluyan clasificación, decisión sobre la notificación de la brecha de seguridad, estado de contención, estado de recuperación, riesgo residual, acciones correctivas e integridad de las evidencias. La política distingue las obligaciones del responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento. Los responsables del tratamiento deben registrar las decisiones sobre la notificación de brechas de seguridad, preparar evidencias de notificación a la autoridad de control cuando sea necesario y revisar la comunicación a los interesados cuando se identifique un alto riesgo. Los encargados del tratamiento y subencargados del tratamiento deben evaluar las instrucciones del cliente, las obligaciones contractuales de notificación, las cadenas de notificación ascendentes y los requisitos de enrutamiento de evidencias, manteniendo los registros en REG08 y REG10. Las responsabilidades de corresponsabilidad del tratamiento deben coordinarse y documentarse antes de los plazos externos de notificación aplicables. Para incidentes de datos personales de alto impacto en el sector financiero y ciberamenazas significativas, el Coordinador de Respuesta a Incidentes debe evaluar los activadores de comunicación regulatoria del sector financiero y conservar las evidencias de decisión en REG10. La gobernanza, la medición y la mejora están integradas en el ciclo de vida de la política. El Responsable de Privacidad / Responsable del PIMS debe revisar los incidentes REG10 abiertos al menos semanalmente hasta su cierre, y la Alta Dirección debe recibir escalados de incidentes confirmados de alto impacto en el sector financiero, incidentes graves o ciberamenazas significativas en las 24 horas siguientes a su clasificación. Las métricas incluyen recuentos mensuales de incidentes sospechados y confirmados, brechas, incidentes graves relacionados con las TIC en el sector financiero y ciberamenazas significativas, así como la puntualidad de la notificación de brechas de seguridad, la puntualidad de la comunicación regulatoria del sector financiero, la contención, la recuperación, la validación de restauración y el desempeño de respuesta de terceros. La política exige además revisión anual, revisión posterior al incidente tras eventos graves, revisión de auditoría interna, gestión de excepciones, aplicación mediante no conformidades REG12 y formación de remediación mediante REG11 cuando se produzcan fallos de concienciación o comunicación.