Inicio
Articulo 27 Resiliencia o...financiero

Articulo 27 Resiliencia operativa digital del sector financiero

Resiliencia operativa digital del sector financiero
No hay nodos disponibles
Ver Indice
»

Artículo 27. Requisitos aplicables a los probadores para la realización de pruebas de penetración basadas en amenazas

Vigente

Tiempo de lectura: 2 min

Tiempo de lectura: 2 min

1. Para la realización de pruebas de penetración basadas en amenazas, las entidades financieras solo recurrirán a probadores que:

a) tengan el más alto grado de idoneidad y prestigio;

b) posean capacidades técnicas y organizativas y demuestren conocimientos especializados en inteligencia sobre amenazas, pruebas de penetración y pruebas de equipo rojo;

c) estén acreditados por un órgano de certificación de un Estado miembro o se adhieran a códigos de conducta o marcos éticos oficiales;

d) proporcionen una garantía independiente o un informe de auditoría que acrediten la buena gestión de los riesgos asociados con la realización de pruebas de penetración basadas en amenazas, incluidas la protección debida de la información confidencial de la entidad financiera y medidas de reparación en caso de riesgos empresariales para ella;

e) estén debida y completamente cubiertos por los seguros pertinentes de responsabilidad civil profesional, también frente a los riesgos de falta intencionada y negligencia.

2. En caso de recurrir a probadores internos, las entidades financieras garantizarán que se cumplan, además de todos los requisitos establecidos en el apartado 1, todas las condiciones siguientes:

a) el recurso a los probadores ha sido autorizado por la autoridad competente correspondiente o por la autoridad pública única designada de conformidad con el artículo 26, apartados 9 y 10;

b) la autoridad competente correspondiente ha verificado que la entidad financiera dispone de recursos específicos suficientes y ha garantizado que se eviten los conflictos de intereses durante todas las fases de constitución y ejecución de las pruebas, y

c) el proveedor de inteligencia sobre amenazas es externo con respecto a la entidad financiera.

3. Las entidades financieras se asegurarán de que los contratos con probadores externos exijan una buena gestión de los resultados de las pruebas de penetración basadas en amenazas y de que ningún tratamiento de datos del que sean objeto, incluido cualquier proceso de generación, almacenamiento, agregación, redacción, notificación, comunicación o destrucción cree riesgos para la entidad financiera.