CIRCULAR EXTERNA 29 DE 2012
(junio 25)
<Fuente: Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 242 de 29 de junio de 2012>
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Señores
REPRESENTANTES LEGALES Y REVISORES FISCALES DE LOS OPERADORES DE INFORMACIÓN DE LA PLANILLA INTEGRADA DE LIQUIDACIÓN DE APORTES (PILA)
Referencia: Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA
Apreciados señores:
Como es de su conocimiento, de acuerdo con lo previsto en el Decreto Ley No. 019 de 2012, a partir del próximo 10 de julio la actividad de los Operadores de Información de la PILA será objeto de inspección y vigilancia por parte de la Superintendencia Financiera de Colombia.
En consecuencia, este Despacho en ejercicio de sus facultades legales, en particular las consagradas en el numeral 9 del artículo 11.2.1.4.2 del Decreto 2555 de 2010 y el artículo 73 del Decreto Ley 019 de 2012 antes mencionado, a través de la presente circular, se permite impartir las instrucciones relativas a la actividad de los Operadores de Información relacionada con la PILA. Para tal efecto, se adiciona el Capítulo XXVI a la Circular Básica Contable y Financiera “Reglas relativas a la actividad de los Operadores de Información de la Planilla Integrada de Liquidación de Aportes PILA”.
Adicionalmente, los Operadores de Información de la PILA deberán:
1. Acreditar ante esta Superintendencia a más tardar el próximo 31 de julio, el cumplimiento de la certificación ISO 27001 exigida por el Decreto 1931 de 2006 del entonces Ministerio de la Protección Social, mediante comunicación escrita emitida por el representante legal.
En el evento que se contrate un tercero para la realización de las actividades relacionadas con la PILA, el Operador deberá acreditar el cumplimiento de dicha certificación por parte del tercero dentro del mismo plazo señalado en el presente numeral.
2. Implementar los requerimientos de riesgo operativo previstos en el numeral 1 del Capítulo XXVI que se incorpora a través de la presente circular, a más tardar el 31 de octubre de 2012, y los de seguridad y calidad de la información estipulados en el numeral 2 del mismo capítulo, a más tardar el 30 de noviembre de 2012.
Los representantes legales de los Operadores de Información de la PILA deberán remitir a esta Superintendencia una certificación en la cual acrediten que han implementado los requerimientos anteriormente mencionados, a más tardar cinco (5) días hábiles después de los plazos máximos de implementación.
Las instrucciones previstas en la presente circular deberán ser atendidas por los Operadores de Información de la PILA distintos de aquellos que se encuentran actualmente sometidos a la inspección y vigilancia de esta Superintendencia.
La presente circular rige a partir de la fecha de su expedición.
Se anexan las páginas correspondientes.
Cordialmente,
JUAN PABLO ARANGO ARANGO
Superintendente Financiero de Colombia (E)
050000
240000
* * *
<Página 2>
CAPÍTULO XXVI
REGLAS RELATIVAS A LA ACTIVIDAD DE LOS OPERADORES DE INFORMACIÓN DE LA PLANILLA INTEGRADA DE LIQUIDACIÓN DE APORTES -PILA-
Consideraciones generales
A través del presente Capítulo se imparten las instrucciones que deben atender los Operadores de Información de la PILA distintos de aquellos que se encuentran actualmente sometidos a la inspección y vigilancia de esta Superintendencia, en materia de riesgo operativo, seguridad y calidad de la información, respecto de la actividad definida en el artículo 2 del Decreto 1465 de 2005, de conformidad con lo previsto por el artículo 73 del Decreto Ley No. 019 de 2012 y demás normas que los modifiquen, adicionen o sustituyan.
1. Instrucciones en materia de riesgo operativo
En desarrollo de las actividades autorizadas en el Decreto 1465 de 2005, los Operadores de Información de la PILA están expuestos al Riesgo Operativo (RO). Por tal razón, dichos Operadores deben implementar políticas y procedimientos para gestionar este riesgo acorde con su estructura y las actividades que realizan, directamente o a través de terceros.
Las políticas y procedimientos que se implementen deben permitirles identificar, medir, controlar y monitorear eficazmente el RO.
En el presente numeral se establece el marco mínimo que deben atender tales Operadores para la adecuada gestión de este riesgo.
Para efectos del presente Capítulo se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
Esta definición incluye:
(i) El riesgo legal, el cual se entiende como la posibilidad de pérdida en que incurre un Operador de Información de la PILA al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales, o el riesgo que surge como consecuencia de fallas en el desarrollo de las actividades autorizadas al Operador, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de dichas actividades; y
(ii) El riesgo reputacional, entendido como la posibilidad de pérdida en que incurre un Operador de Información de la PILA por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes o usuarios, disminución de ingresos o procesos judiciales.
1.1. Administración del Riesgo Operativo
Los Operadores de Información de la PILA deberán administrar el riesgo operativo al que se encuentran expuestos, estableciendo para el efecto: (i) los objetivos; (ii) las políticas; (iii) los roles y responsabilidades de los funcionarios; (iv) los procedimientos y metodología(s) para identificar, medir, controlar y monitorear los riesgos operativos y su nivel de aceptación; y (v) los planes de contingencia y continuidad del negocio que se requieran para mantener disponibles los servicios prestados y la información.
Lo anterior deberá constar en un manual y contar con la aprobación de la junta directiva de tales Operadores o del órgano que haga sus veces.
Para efectos de la identificación, medición, control y monitoreo de dicho riesgo, los Operadores podrán guiarse por lo establecido en el numeral 3.1 del Capítulo XXIII “Reglas para la Administración del Riesgo Operativo” de la presente Circular.
La gestión realizada en materia de la administración del riesgo operativo deberá quedar documentada de manera íntegra, oportuna y confiable.
1.2. Eventos de Riesgo Operativo
Los Operadores de Información de la PILA deberán construir una base de datos en la cual se incorporen todos aquellos eventos de riesgo operativo que puedan o no ocasionar una pérdida para el Operador.
Para la construcción de dicha base de datos los Operadores de Información de la PILA podrán utilizar como mínimo, los campos que se indican a continuación, así como los demás que consideren relevantes:
I. Código del evento
Código interno que relacione el evento en forma secuencial.
II. Fecha de inicio del evento
Fecha en que se inicia el evento.
Día, mes, año, hora.
III. Fecha de finalización del evento
Fecha en que finaliza el evento.
Día, mes, año, hora.
IV. Fecha del descubrimiento
Fecha en que se descubre el evento.
Día, mes, año, hora.
V. Cuantía
El monto de dinero (moneda legal) a que asciende la pérdida como consecuencia de la ocurrencia de un evento de riesgo operativo, incluyendo los gastos derivados de su atención.
VI. Cuantía total recuperada
El monto de dinero recuperado (moneda legal) por acción directa del Operador de Información de la PILA. Incluye las cuantías recuperadas por seguros.
VII. Clase de riesgo operativo
Especifica la clase de riesgo, según la clasificación adoptada por el numeral 2.6.1 del Capítulo XXIII “Reglas Relativas a la Administración del Riesgo Operativo” de la presente circular.
VIII. Actividad/servicio afectado
Identifica la actividad o servicio afectado.
IX. Proceso
Identifica el proceso afectado.
X. Descripción del evento
Descripción detallada del evento.
Canal de servicio o atención al usuario (cuando aplica).
1.3. Plataforma tecnológica
Los Operadores de Información de la PILA, de acuerdo con su estructura y tamaño, deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada gestión del RO.
1.4. Divulgación de información
La divulgación de la información debe hacerse en forma periódica y la información debe estar disponible.
Los Operadores de Información de la PILA deben diseñar un sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.
Para efectos de la atención de peticiones, quejas y reclamos, los Operadores de Información de la PILA deberán llevar un registro de la gestión realizada al respecto, indicando especialmente las estadísticas (número y descripción de la manera como fueron resueltas), así como las políticas implementadas sobre el mismo particular.
1.5. Capacitación
Los Operadores de Información de la PILA deberán diseñar, programar y coordinar planes de capacitación sobre la administración del RO dirigido a todas las áreas y funcionarios.
Tales programas deben, cuando menos, cumplir con las siguientes condiciones:
a) Tener una periodicidad anual.
b) Ser impartidos durante el proceso de inducción de los nuevos funcionarios.
c) Ser impartidos a los terceros siempre que exista una relación contractual con éstos y desempeñen las actividades autorizadas a los Operadores de la PILA.
d) Ser constantemente revisados y actualizados.
e) Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.
2. Instrucciones en materia de seguridad y calidad de la información
Los Operadores de Información de la PILA deberán atender las instrucciones del presente numeral, de acuerdo con la naturaleza de las actividades que estos desarrollan, las cuales se encuentran autorizadas en el Decreto 1465 de 2005, y demás características particulares de la misma.
2.1. Definiciones y criterios de seguridad y calidad de la información
Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de los canales para la realización de operaciones, los Operadores de Información de la PILA deberán tener en cuenta las siguientes definiciones y criterios:
2.1.1. Criterios de seguridad de la información
a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
b) Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
c) Disponibilidad: La información debe estar en el momento y en la forma que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
2.1.2. Criterios de calidad de la información
a) Efectividad: La información debe ser pertinente y su entrega oportuna, correcta y consistente.
b) Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
c) Confiabilidad: La información debe ser la apropiada para el desarrollo de la actividad del Operador de Información de la PILA.
2.1.3. Canales
Para los efectos del presente Capítulo, son canales utilizados para la prestación del servicio del Operador de Información de la PILA los siguientes:
a) Oficinas.
b) Sistemas de Audio Respuesta (IVR).
c) Centro de atención telefónica (Call Center, Contact Center).
d) Internet.
e) Dispositivos móviles.
2.1.4. Vulnerabilidad informática
Ausencia o deficiencia de los controles informáticos que permiten el acceso no autorizado a los canales o a los sistemas informáticos de los Operadores de Información de la PILA.
2.1.5. Cifrado fuerte
Técnicas de codificación para protección de la información que utilizan algoritmos reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES o AES.
2.1.6. Operaciones
Son las acciones a través de las cuales se desarrollan, ejecutan o materializan los servicios que prestan los Operadores de Información de la PILA a sus usuarios, de acuerdo con las actividades autorizadas en el Decreto 1465 de 2005.
2.1.7. Usuario
Persona natural o jurídica a la que los Operadores de Información de la PILA le prestan un servicio, de acuerdo con las actividades autorizadas en el Decreto 1465 de 2005.
2.1.8. Dispositivo
Mecanismo, máquina o aparato dispuesto para producir una función determinada.
2.1.9. Información confidencial
Atendiendo lo dispuesto en el artículo 15 de la Constitución Política de Colombia y sin perjuicio de lo establecido en el numeral 4 del Capítulo Noveno del Título I de la Circular Básica Jurídica y demás normas aplicables sobre la materia, para efectos de la aplicación del presente Capitulo, se considerará confidencial toda aquella información amparada por la reserva bancaria.
Los Operadores de Información de la PILA podrán clasificar como confidencial otro tipo de información. Esta clasificación deberá estar debidamente documentada y a disposición de la Superintendencia Financiera de Colombia.
2.2. Obligaciones generales en materia de seguridad y calidad de la información
Los Operadores de Información de la PILA deberán adoptar, al menos, las medidas que se relacionan a continuación en materia de seguridad y calidad de la información:
2.2.1. Seguridad y calidad
En desarrollo de los criterios de seguridad y calidad previstos en los numerales 2.1.1 y 2.1.2 del presente Capítulo, los Operadores de Información de la PILA deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad.
b) Gestionar la seguridad de la información, para lo cual deberán acreditar mediante comunicación escrita ante esta Superintendencia, que se encuentran certificados con el estándar ISO 27001, o el que lo sustituya.
c) Disponer que el envío de información confidencial de sus usuarios se haga en condiciones de seguridad. Cuando dicha información se envíe como parte de, o adjunta a un correo electrónico, ésta deberá estar cifrada.
d) Dotar de seguridad la información confidencial de los usuarios que se maneja en los equipos y redes del Operador de Información de la PILA.
e) Velar porque la información enviada a los usuarios esté libre de software malicioso.
f) Dotar sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus usuarios y de sus operaciones.
g) Velar porque los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil.
h) Establecer los mecanismos necesarios para que el mantenimiento, la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo, sólo pueda ser realizado por personal debidamente autorizado.
i) Establecer procedimientos para el bloqueo de canales cuando existan situaciones o hechos que lo ameriten, o después de un número de intentos de accesos fallidos por parte de un usuario, así como las medidas operativas y de seguridad para la reactivación de los mismos.
j) Sincronizar todos los relojes de los sistemas de información del Operador de Información de la PILA involucrados en los canales. Se deberá tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio.
k) Tener en operación sólo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.
l) Contar con controles y alarmas que informen sobre el estado de los canales y que además, permitan identificar y corregir las fallas oportunamente.
m) Implementar mecanismos de cifrado fuerte para el intercambio de información confidencial con otras entidades.
2.2.2. Tercerización – Outsourcing
En el evento que los Operadores de Información de la PILA contraten a terceros, que en desarrollo de sus funciones tengan acceso a la información relacionada con la PILA, deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Definir los criterios y procedimientos a partir de los cuales se seleccionará los terceros y los servicios que serán atendidos por ellos.
b) Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la entrada en vigencia del presente Capítulo, por lo menos, los siguientes aspectos:
- Niveles de servicio y operación.
- Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.
- Propiedad de la información.
- Restricciones sobre el software empleado.
- Normas de seguridad informática y física a ser aplicadas.
- Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.
- Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.
c) Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Los Operadores de Información de la PILA deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
d) Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados.
2.2.3. Documentación
En materia de documentación, los Operadores de Información de la PILA deben cumplir, como mínimo, con los siguientes requerimientos:
a) Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual deberá contener cuando menos lo siguiente: fecha, hora y el número de la operación.
b) Conservar la información de la PILA generada a través del Operador en condiciones de seguridad y calidad.
c) Mantener a disposición de la esta Superintendencia estadísticas anuales con corte a 31 de diciembre de cada año respecto de la prestación de servicios a través de cada uno de los canales, que contemplen el número de operaciones realizadas y el nivel de disponibilidad del canal. Esta información deberá ser conservada por un término de tres (3) años.
d) Velar porque los órganos de control incluyan en sus informes la evaluación acerca del cumplimiento de (i) los procedimientos; (ii) los controles; y (iii) las seguridades establecidas por el Operador de Información de la PILA y las normas vigentes, para la prestación de los servicios a los usuarios a través de los diferentes canales.
e) Llevar un registro de las consultas realizadas por los funcionarios del Operador de Información de la PILA sobre la información confidencial de los usuarios que contenga al menos lo siguiente: (i) identificación del funcionario que realizó la consulta; (ii) canal utilizado; y (iii) identificación del equipo, fecha y hora. En desarrollo de lo anterior, se deberán establecer mecanismos que restrinjan el acceso a dicha información, para que sólo pueda ser usada por el personal que lo requiera en función de su trabajo.
f) Grabar las llamadas realizadas por los usuarios a los centros de atención telefónica cuando consulten o actualicen su información.
g) La información a que se refieren los literales a) y b) deberá ser conservada por lo menos cinco (5) años y la prevista en los literales e) y f) como mínimo durante dos (2) años.
2.2.4. Requerimientos en materia de información
En materia de divulgación de información, los Operadores de Información de la PILA deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Suministrar a los usuarios información clara, completa y oportuna respecto de los servicios, las operaciones y las actividades autorizadas.
b) Establecer las condiciones bajo las cuales los usuarios podrán ser informados en línea acerca de las operaciones que realicen.
c) Informar adecuadamente a los usuarios respecto de las medidas de seguridad que deberán tener en cuenta para la realización de operaciones por cada canal, así como los procedimientos para el bloqueo, inactivación, reactivación y cancelación de los servicios ofrecidos.
d) Establecer y publicar por los canales, en los que sea posible, las medidas de seguridad que deberá adoptar el usuario para el uso de los mismos.
e) Diseñar procedimientos para dar a conocer a los usuarios y funcionarios, los riesgos derivados del uso de los diferentes canales.
f) Generar un soporte para el usuario al momento de la realización de cada operación. Dicho soporte deberá contener al menos la siguiente información: fecha, hora (hora y minuto) y número de la operación. Para el caso de Sistemas de Audio Respuesta (IVR) y dispositivos móviles se entenderá cumplido el requisito establecido en este numeral cuando se informe el número de la operación.
2.3. Obligaciones adicionales por tipo de canal
2.3.1. Oficinas
Para la atención a los usuarios a través de oficinas, los Operadores de la Información de la PILA deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.
b) Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de seguridad adecuados que garanticen protección de acceso controlado.
c) Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los usuarios en nombre del Operador de Información de la PILA.
d) Establecer procedimientos necesarios para atender de manera segura y eficiente a sus usuarios en todo momento.
2.3.2. Sistemas de audio respuesta (IVR)
Los sistemas de audio respuesta deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Permitir al usuario confirmar la información suministrada en la realización de la operación.
b) Permitir la transferencia de la llamada a una persona (una operadora), al menos en los horarios hábiles de atención al público.
2.3.3. Centro de atención telefónica (Call Center, Contact Center)
Los centros de atención telefónica deberán cumplir, como mínimo, con los siguientes requerimientos:
a) Destinar un área dedicada exclusivamente para la atención telefónica, la cual deberá contar con los recursos necesarios para la prestación del servicio, los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada.
b) Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suministrados por el Operador de la Información de la PILA.
c) Dotar a los equipos de cómputo que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por el Operador de Información de la PILA. Igualmente, se deberá bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio.
d) Garantizar que los equipos de cómputo destinados a los centros de atención telefónica sólo serán utilizados en la prestación de servicios por ese canal.
e) En los equipos de cómputo usados en los centros de atención telefónica no se permitirá la navegación por Internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deberán ser conservados por lo menos un (1) año o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.4. Internet
Los Operadores de Información que presten sus servicios por Internet deberán cumplir con los siguientes requerimientos:
a) Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
b) Realizar como mínimo dos (2) veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, deberá realizarse una prueba adicional.
c) Promover y poner a disposición de sus usuarios mecanismos que reduzcan la posibilidad de que la información de sus operaciones pueda ser capturada por terceros no autorizados durante cada sesión.
d) Establecer el tiempo máximo de inactividad, después del cual se deberá dar por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
e) Informar al usuario, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
f) Implementar mecanismos que permitan al Operador de Información de la PILA verificar constantemente que no sean modificados los enlaces (links) de su sitio Web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS (Domain Name System – nombre del dominio).
2.3.5. Prestación de servicios a través de nuevos canales
Cuando el Operador de Información de la PILA decida iniciar la prestación de servicios a través de nuevos canales diferentes a los que tiene en uso, además del cumplimiento de las instrucciones generales de seguridad y calidad, deberá adelantar el respectivo análisis de riesgos del nuevo canal. Dicho análisis deberá ser puesto en conocimiento de la junta directiva y los órganos de control.
El Operador de Información de la PILA deberá remitir a la Superintendencia Financiera de Colombia, con al menos quince (15) días calendario de antelación a la fecha prevista para el inicio del desarrollo de la actividad a través del nuevo canal, la siguiente información:
a) Descripción del procedimiento que se adoptará para la prestación del servicio.
b) Tecnología que utilizará el nuevo canal.
c) Análisis de riesgos y medidas de seguridad y control del nuevo canal.
d) Planes de contingencia y continuidad para la operación del canal.
e) Plan de capacitación dirigido a los usuarios para el uso del nuevo canal, así como para mitigar los riesgos a los que se verían expuestos.
2.4. Reglas sobre actualización de software
Con el propósito de mantener un adecuado control sobre el software, los Operadores de Información de la PILA deberán cumplir, como mínimo, con las siguientes medidas:
a) Mantener tres (3) ambientes independientes: uno para el desarrollo de software, otro para la realización de pruebas, y un tercer ambiente para los sistemas en producción. En todo caso, el desempeño y la seguridad de un ambiente no podrá influir en los demás.
b) Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas.
c) Cuando los Operadores de Información de la PILA necesiten tomar copias de la información de sus usuarios para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas.
d) Contar con procedimientos y controles para el paso de programas a producción. El software en operación deberá estar catalogado.
e) Contar con interfases para los usuarios que cumplan con los criterios de seguridad y calidad, de tal manera que puedan hacer uso de ellas de una forma simple e intuitiva.
f) Mantener documentada y actualizada, al menos, la siguiente información: (i) parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones; (ii) versión de los programas y aplicativos en uso; (iii) soportes de las pruebas realizadas a los sistemas de información; y (iv) procedimientos de instalación del software.