El pasado día 5 de mayo, celebramos una nueva jornada de presentación sobre Pinakes. En esta ocasión y con formato de mesa redonda, distintos roles participantes fueron desgranando las oportunidades y beneficios que aporta esta plataforma. Las entidades de depósito participantes describieron su apuesta por este nuevo sistema, y por otro, desde la parte de auditoría se dieron las explicaciones sobre como este sistema mejora todo el entorno.
Video de la jornada del día 19 de enero de 2021 y materiales empleados
¿Qué es Pinakes?
Pinakes es una plataforma de calificación, gestión y monitorización de servicios de proveedores del sector financiero. Este conjunto de acciones permite a las entidades participantes en la plataforma, conocer los niveles de ciberseguridad de los servicios que los proveedores tienen contratados con ellas y, desde el lado de proveedor, exponer al sector las fortalezas en materia de ciberseguridad de sus servicios de cara a posibles contrataciones futuras. A su vez, las entidades, en el supuesto de tener una relación contractual, cumplen con los requisitos emanados de las directrices de la EBA, para dar cumplimiento a sus obligaciones de evaluación de los controles y medidas de seguridad de sus proveedores.
Calificación Pinakes
La calificación de Pinakes es una etiqueta que materializa y muestra el nivel de ciberseguridad que tiene un proveedor en el servicio calificado. La calificación otorga una "puntuación" a las medidas de seguridad integradas por el proveedor en la construcción y operación del servicio evaluado. Esta calificación, se compone de 3 apartados (Confidencialidad, Integridad y Disponibilidad de la información), que a su vez, tienen cinco niveles que van desde la más alta "A+", dónde están implementadas las medidas y controles más exigentes para el manejo de información muy sensible, hasta la más baja "D" en la que se cumplen unas medidas de seguridad mínimas.
Como calificarse
Los proveedores como parte más interesada en la calificación de sus servicios, deben realizar los siguientes pasos:
Presentación y verificación de la documentación básica requerida a los proveedores.
Gestión de usuarios y datos de contacto.
Los evaluadores quedarán visibles para ser contactados por los proveedores.
Los proveedores, gestionarán con los evaluadores los servicios a auditar y fijarán con ellos los datos contractuales.
Con los resultados de la auditoria en los formatos establecidos por Pinakes, presentarán la documentación.
Verificados los informes presentados, CCI otorgará una calificación al servicio auditado. e informará de los resultados al proveedor. Si todas las partes están conformes, se procederá a facturar y publicar la calificación del servicio a las entidades en Pinakes.
Como participar
La participación es voluntaria por todas la partes implicadas. Todo comienzo, empieza, por la aceptación de las condiciones y firma de contratos de adhesión a la plataforma. Para las entidades, basta con estar asociadas a CCI. Tanto para las compañías evaluadoras como para los proveedores, el acceso a la Pinakes será por invitación, bien a través de alguna entidad o de motu proprio, para ello, basta con dirigirse a CCI en la dirección: pinakes@asociacioncci.es o organizacion@pinakes.es y comenzar con los procesos de gestión del alta.
Actores de la plataforma
A continuación, se describen los principales roles dentro de la plataforma con sus principales cometidos
EVALUADOR
Firma de auditoria, que, una vez cumplidos los requisitos definidos por Pinakes en el proceso de homologación, podrá presentar sus servicios a los proveedores que quieran calificar un servicio en Pinakes. La relación que de ello se deriva es bilateral entre el evaluador y el proveedor.
PROVEEDORES
Compañías que gestionan productos y servicios relacionados con el sector, y que quieren calificar un servicio dentro de Pinakes. Para ello, una vez hayan cumplido los requisitos necesarios para darse de alta en la plataforma, deben seleccionar un evaluador homologado por Pinakes, establecer las relaciones contractuales oportunas y realizar la auditoría bajo los estándares definidos en Pinakes. Finalmente, y una vez obtenido el informe del auditor, deberán presentarlo a PINAKES para que sea calificado.
CENTRO DE COOPERACIÓN INTERBANCARIA (CCI)
Asociación sin ánimo de lucro que aglutina a las principales entidades financieras operantes en España. A su cargo corre la gestión de las invitaciones, la comprobación y gestión de la información aportada por los distintos actores, la gestión de usuarios, la gestión de las incidencias, la formación, el proceso de calificación y la publicación de resultados dentro de Pinakes.
PINAKES
Es el nombre comercial del servicio y el contenedor de toda la información. Realiza el envío de alertas por caducidad, gestiona el ciclo de vida de los incidentes detectados, presenta las calificaciones por los servicios publicados de los proveedores, gestiona el ranking digital de los proveedores, etc.
ENTIDADES
Son las entidades financieras pertenecientes a la Asociación y adheridas al servicio. Tienen acceso a la plataforma para consultar la calificación y documentación de los servicios expuestos de los proveedores calificados, tanto si les prestan servicio actualmente como si lo hacen a otros participantes en el sistema. Incluso puede darse el caso de servicios que el proveedor haya solicitado calificar de manera preventiva y hacer así uso del atributo de prescripción comercial que pinakes proporciona.
Que es el marco de controles (referencial)
El marco de controles, es una matriz que recoge, bajo catorce dominios, la evaluación de todos los factores con impacto en la seguridad y el detalle de los procedimientos. Contiene alrededor de 1000 controles. Los dominios a evaluar dentro del marco de control son:
Programa de gestión de la seguridad de la información
Seguridad de las instalaciones
Gestión de terceras partes
Cumplimiento normativo
Controles de red
Control de acceso
Gestión de incidentes
Cifrado
Desarrollo seguro
Monitorización
Protección frente al malware
Resiliencia
Operación de los sistemas
Seguridad del personal
Los mismos 5 niveles (ver: calificación Pinakes) también son evaluados en cada uno de los dominios descritos. Esta acción proporciona un resultado muy detallado sobre las capacidades de ciberseguridad del proveedor y su servicio evaluado.
Dentro de este marco están mapeadas las normativas y estándares nacionales e internacionales ampliamente reconocidas, como por ejemplo ISO serie 27000, PCI DSS, PSD 2, FFIEC, ENS, SOC 2, NIST 800-53, CSA CMM, CIS Controls V 7, entre otras. Además, se han ido sumando a este marco, otros controles específicos acordados para el sector. La metodología empleada, está reconocida por ENISA e INCIBE, siendo aplicada para la generación del modelo C4V dentro del Esquema Nacional de Seguridad e infraestructuras (publicado por CERTSI), también ha sido utilizada por el CNPIC como base en la construcción del futuro esquema de certificación de IICC.
Este marco no será estático. A medida que, las administraciones, reguladores u organismos internacionales vayan emitiendo nuevas normas de obligado cumplimiento, que afecten a la ciberseguridad y al sector, serán incluidas dentro del mismo. También se incluirán aquellas otras normas que, por su naturaleza dentro del sector, sean de aplicación para reforzar el perímetro de seguridad.
Tipologías de servicios definidas dentro de Pinakes
Pinakes tiene definidas unas tipologías básicas: 01. Consultoría y asesoramiento
Servicios de apoyo tanto generales como especializados independientes destinados a encontrar y aportar soluciones a uno o más problemas de negocio o necesidades empresariales, sustentados en la innovación, experiencia, conocimiento, habilidades profesionales, métodos y herramientas.
02. Estampadoras de tarjetas
Servicios de diseño y/o impresión y distribución de todo tipo de tarjetas
03. Telecomunicaciones
Servicios de transmisión y recepción de señales de cualquier naturaleza, típicamente electromagnéticas, que contengan signos, sonidos, imágenes o, en definitiva, cualquier tipo de información que se desee comunicar a cierta distancia.
04. Externalización / Gestión de infraestructuras
Empresas ajenas a la compañía contratante, especialistas en tareas muy concretas y que, mediante un contrato de colaboración, realizan una contribución significativa a la empresa contratante, proporcionando los recursos de que dispone durante un periodo determinado con el fin de alcanzar el objetivo contratado.
05. Infraestructura como servicio (IaaS)
La infraestructura como servicio (IaaS) es un tipo de servicio de informática en la nube que ofrece recursos esenciales de proceso, almacenamiento y redes a petición que son, generalmente, de pago por uso.
06. Plataformas o Software como Servicio (PaaS / SaaS)
Entorno de desarrollo, implementación completo en la nube y aplicaciones basadas en la nube, con recursos que permiten entregar todo, desde aplicaciones sencillas basadas en la nube hasta aplicaciones empresariales sofisticadas habilitadas para la nube.
07. Soporte remoto de Sistemas y Aplicaciones
Servicios que permiten, entre otras cosas, evaluar, diagnosticar y reparar sistemas y aplicaciones, generalmente informáticos, desde una conexión a distancia y a través de internet.
08. Comunicaciones unificadas / Colaboración
Servicios proporcionados por proveedores de tecnologías de la información y que designan la integración de varios o todos los servicios de telefonía, mensajería unificada, mensajería instantánea corporativa, conferencias web y estado de disponibilidad del usuario en una única experiencia.
09. Externalización de procesos (BPO)
Servicios subcontratados de funciones de proceso de negocio en proveedores de servicios, ya sea internos o externos a la empresa.
10. Servicios de ciberseguridad
Servicios destinados a defender las computadoras, servidores, dispositivos móviles, sistemas electrónicos, redes y datos de ataques maliciosos.
11. Gestión de clientes / Centros de llamadas
Servicios donde agentes, asesores, supervisores o ejecutivos, especialmente con una técnica en tele mercadeo o servicio al cliente, realizan o reciben llamadas desde o hacia: clientes (externos o internos), socios comerciales, compañías asociadas u otros.
12. Desarrollo y mantenimiento
Creación de software basándose en métodos y técnicas de ingeniería, así como su posterior soporte operacional y mantenimiento.
13. Gestión de pagos
Tareas de gestión, control, administración y envío de las transacciones monetarias a proveedores de una organización.
14. Fintech
Aplicaciones, procesos, productos o modelos de negocios en la industria de servicios financieros compuestos de uno o más servicios financieros complementarios y puestos a disposición del cliente vía internet.
15. Transporte de efectivo (sistemas de información)
Sistemas de información logística basados en soluciones digitales que se encargan de extraer y procesar información, de las actividades logísticas relacionadas con el transporte de efectivo, destinada a facilitar la toma de decisiones, resolución de problemas, planificación estratégica y la gestión de la cadena de suministro de efectivo.
16. Gestión documental
Servicios de captura, almacenamiento, procedimentación y recuperación de documentación.
17. Servicios de información, crédito, fraude, etc.
Servicios destinados a proporcionar información sobre incumplimientos de obligaciones, generalmente dinerarias, al objeto de que las entidades contratantes puedan conocer y ponderar la situación financiera de un potencial cliente o proveedor.
18. Centrales receptoras de alarmas.
Servicios de control, recepción y monitorización de las señales emitidas por una alarma de seguridad debido a la activación de un salto de alarma producido por, por ejemplo, un intento de intrusión.
19. Servicios de Corretaje e intermediación.
Servicio proporcionado por un intermediario/corredor que se encarga y asume la obligación, de buscar a un tercero que cumpla con ciertos requisitos exigidos por el contratante para que ésta pueda contratar con él.
20. Plataformas/Agentes de venta y distribución.
Servicios externalizados destinados a hacer llegar el producto desde el fabricante/generador hasta el cliente final.
21. Servicios y Plataformas de información y negociación de mercados.
Servicios, aplicaciones y plataformas destinados a proporcionar información y permitir la negociación de y sobre cualquier tipo de activo financiero, a través de ellos, en mercados mayoristas.
22. Relaciones laborales/RRHH.
Servicios relacionados con la gestión de la relación entre la empresa y sus empleados.
23. Servicios de compliance.
Servicios consistentes en el establecimiento de políticas y procedimientos adecuados y suficientes para garantizar que una empresa, incluidos sus directivos, empleados y agentes vinculados, cumplen el marco normativo aplicable.
24. Otros no incluidos en los apartados anteriores.