CIRCULAR N° 032
SANTIAGO, 22 ENERO 1997
IMPARTE INSTRUCCIONES SOBRE COMUNICACIONES MEDIANTE TRANSMISION ELECTRONICA DE DATOS
En ejercicio de sus facultades legales, especialmente las que le confiere el artículo 3°, número 2, de la Ley N°18.933, esta Superintendencia imparte las siguientes instrucciones de cumplimiento obligatorio para todas las Instituciones de Salud Previsional.
I. INTRODUCCION:
La presente Circular establece el marco regulador general para el uso de una herramienta tecnológica, que posibilitará a las Instituciones de Salud Previsional (ISAPRE), introducir cambios en su forma de operar y que puede constituir uno de los principales elementos de modernización destinados a superar los actuales niveles de eficiencia.
Esta herramienta refleja los avances tecnológicos producidos en las áreas de la informática y las telecomunicaciones y se incorporará a los actuales procedimientos en aplicación entre las ISAPRE y los distintos agentes que se relacionan con ellas.
II. AUTORIZACION:
1) Autorízase a las ISAPRE para utilizar sistemas de comunicación basados en la transmisión electrónica de datos, en el cumplimiento de su objeto, ya sea entre ellas o con otras personas naturales o jurídicas, para los efectos que se señalan en el N°4 del Capítulo III siguiente.
2) Las ISAPRE serán responsables de garantizar que las transmisiones de datos se efectúen en forma segura, íntegra y confidencial.
III. ASPECTOS GENERALES:
1) Se entenderá que un sistema de comunicaciones basado en la transmisión electrónica de datos, está compuesto por un emisor y un receptor conectados a través de enlaces físicos o lógicos, que comparten una estructura de mensajes y normas de funcionamiento comunes, y los dispositivos electrónicos necesarios para su operación.
2) En adelante, cada vez que se mencione el sistema de comunicaciones se entenderá que se hace referencia al sistema de comunicaciones para la transmisión electrónica de datos.
3) Por mensaje se entenderá una secuencia de caracteres utilizados para transportar datos entre dos o más agentes, de acuerdo a un formato estructurado.
Cuando en la normativa emitida por esta Superintendencia se utilice la expresión transmisión electrónica de datos, se entenderá que estará referida al intercambio de mensajes.
4) En el sistema de comunicaciones se podrán realizar intercambio de datos referidos a información, órdenes generales y órdenes que generen transferencia de fondos.
5) Por transferencia de fondos se entenderán aquellas operaciones que generen movimientos de débitos o créditos de dinero en una cuenta corriente bancaria.
6) Los intercambios de información, órdenes generales y órdenes que generen transferencias de fondos, podrán comprender, entre otras, las siguientes materias: la declaración de cotizaciones de salud previsional, pago y recaudación de cotizaciones, excedentes de cotizaciones, deuda de cotizaciones, pago de prestaciones, bonos de prestaciones, registros y estadísticas que deben mantener las ISAPRE, constitución y actualización de garantías, subsidios por incapacidad laboral, cotizaciones previsionales que deben efectuar las propias ISAPRE, reclamos o controversias.
Las autorizaciones que sean pertinentes y las normas de funcionamiento con los formatos y estructuras de mensajes para cada una de las materias citadas, serán impartidas a través de las respectivas circulares que se dicten al efecto.
7) Cada ISAPRE deberá mantener un registro con la totalidad de los mensajes enviados y recibidos, el que se denominará Registro de Documentación Electrónica.
8) El Registro de Documentación Electrónica y el contenido de los mensajes intercambiados deberán respaldarse en un medio inalterable, lo que también será definido en las respectivas normativas, debido a que constituyen la documentación de respaldo de la contabilidad de las ISAPRE y de la aplicación de los diversos procedimientos operativos instruidos por esta Superintendencia. Cuando se trate de operaciones que involucren el intercambio entre ISAPRE, el contenido de los mensajes deberá respaldarse tanto en el origen como en el destino; en cambio, si la ISAPRE sólo es receptora o emisora, será responsabilidad de ella respaldar lo que sea de su competencia.
9) El intercambio de los mensajes referidos a información, órdenes generales y órdenes que generen transferencia de fondos deberán realizarse encriptados, con el objeto de garantizar su confidencialidad. Esta Superintendencia deberá tener acceso en todo momento al contenido de los mensajes en su estado original, siendo responsabilidad de las ISAPRE que esta disposición se cumpla en forma estricta.
10) Los mensajes que se emitan deberán contener la identificación de su emisor mediante la firma electrónica de un funcionario autorizado por la ISAPRE. La autorización será conferida a través de un mandato, el que será otorgado mediante escritura pública. Sin perjuicio de esto, la ISAPRE será siempre responsable de las operaciones que se realicen mediante el uso de la tarjeta que contiene la firma electrónica.
11) El sistema de comunicaciones deberá disponer de un mecanismo de detección y corrección de los errores producidos en la transmisión, que informe tanto al emisor como al destinatario de la situación producida, generando a partir de ello, un requerimiento para el envío de un nuevo mensaje corregido.
IV. REQUISITOS DEL SISTEMA DE COMUNICACIONES:
1) Para realizar los intercambios referidos a información, órdenes generales y órdenes que generen transferencias de fondos, las ISAPRE deberán disponer de mecanismos de control que garanticen la seguridad, integridad y confidencialidad de los mensajes intercambiables, en el sentido que no sufran alteraciones entre emisor y destinatario y su contenido sólo sea conocido por ellos. Para tales efectos, el sistema de comunicaciones deberá cumplir en forma obligatoria, a lo menos con los siguientes requisitos:
a) Disponer de un perfil de seguridad que garantice el acceso sólo de operadores autorizados.
b) Disponer de mecanismos para detectar si los mensajes transmitidos sufrieron alguna pérdida o alteración entre el emisor y el receptor.
c) Transmitir los mensajes encriptados, para resguardar la confidencialidad de los mismos.
d) Disponer de mecanismos que garanticen la imposibilidad de que alguna de las partes del intercambio, pueda desconocer su participación en él.
e) Certificar el origen de cada mensaje.
f) Certificar la recepción de los mensajes.
g) Verificar que el receptor corresponde al destinatario del mensaje e impedir que un tercero pueda acceder al contenido del mismo.
h) Disponer de un sistema de firma electrónica.
i) Llevar un Registro de Documentación Electrónica de las operaciones realizadas.
j) Proveer elementos de respaldo para los mensajes enviados y recibidos.
k) Asegurar la funcionalidad de los procedimientos en forma compatible con la normativa que regula la operación de las ISAPRE, en especial en lo que se refiere a los formatos y estructuras de los mensajes y sus horarios.
2) Las ISAPRE podrán optar por un sistema de comunicaciones administrado por terceros, en cuyo caso, el correspondiente contrato de prestación de servicios deberá incluir cláusulas que hagan expresa referencia a los mecanismos que aseguren el cumplimiento de los requisitos señalados en esta Circular.
3) Sin perjuicio de lo antes expresado, cuando se trate de órdenes que generen transferencia de fondos entre las ISAPRE o de una ISAPRE hacia terceros, serán ellas las responsables de realizar las operaciones de transmisión, tanto en el origen como en el destino de las transferencias, según corresponda, no siendo posible la delegación de la firma electrónica en una persona distinta al funcionario mandatario de la ISAPRE.
V. PROCEDIMIENTOS DE OPERACION:
1) Para realizar operaciones de intercambio referidas a información, órdenes generales, órdenes que generen transferencia de fondos entre las ISAPRE y otras personas naturales o jurídicas, deberán establecerse formatos estandarizados y procedimientos de operación previamente aprobados por la Superintendencia de ISAPRE y acuerdos escritos entre las partes, que incluyan los procedimientos de las respectivas operaciones.
2) Las operaciones de intercambio referidas a información, órdenes generales y órdenes que generen transferencia de fondos entre las ISAPRE, relativas a los afiliados y que se refieran a procesos regulados por la normativa emitida por esta Superintendencia, no requerirán de la firma de un acuerdo entre ellas.
3) Para cada tipo de operación se definirán los formatos que se utilizarán, los que al menos deberán incluir: la descripción, en contenido, los campos, reglas de validación, los valores posibles y su tamaño.
4) Los procedimientos de cada tipo de operación incluirán, al menos, los siguientes elementos: la información a intercambiar, los formatos a utilizar, los participantes, la periodicidad, la oportunidad (día y horario), la relación entre los archivos a utilizar (consulta/respuesta), las acciones a seguir en caso de errores o rechazos.
5) Los procedimientos que impliquen instrucciones que generen transferencia de fondos, deberán considerar la emisión de un comprobante en que consten las operaciones realizadas y que al menos incluya la identificación de los participantes, las cuentas debitadas y acreditadas, el concepto de la operación efectuada, el período, el número de registros, el monto transferido y la fecha de su realización.
6) La relación formal entre los participantes del intercambio, con excepción de lo señalado en el número 2 anterior, deberá quedar establecida por medio de un acuerdo o convenio escrito de intercambio, el que deberá explicitar el tipo de operaciones, las autorizaciones, la regulación de responsabilidades, los derechos y las obligaciones de las ISAPRE y de las otras personas involucradas, en todo lo que se relaciona con la administración y uso del sistema, y en particular, la estipulación de los mecanismos de seguridad, el control y la confidencialidad de las operaciones que se efectúen.
El acuerdo o convenio deberá incluir como parte integrante los procedimientos de operación definidos en el presente capítulo.
7) Para aquellas operaciones que impliquen órdenes que generen transferencias de fondos, el acuerdo o convenio suscrito con terceros deberá contener, adicionalmente, la identificación de las cuentas corrientes que se utilizarán y los montos máximos autorizados de giro. Las cuentas corrientes de las ISAPRE deberán ser de uso exclusivo para este tipo de operaciones.
8) Las ISAPRE podrán utilizar el sistema de comunicaciones de correo electrónico, el cual no requerirá de los controles, los procedimientos y las formalidades señaladas en la presente circular.
VI. OBLIGACION DE MANTENER LA PRESTACION DE SERVICIOS EN LA FORMA TRADICIONAL:
1) Las ISAPRE que decidan emplear los sistemas de comunicaciones mencionados en la presente circular, estarán obligadas a mantener la forma tradicional de prestación de servicios, para aquellas personas naturales y jurídicas que no utilicen servicios de transmisión electrónica de datos.
2) La calidad de los servicios otorgados y la información que se proporcione a ambos grupos de personas, conforme a lo señalado en el número precedente, deberá ser la misma, sólo con las diferencias propias de los sistemas autorizados en lo que se refiere a la rapidez con que se efectúan los intercambios de datos.
VII. FISCALIZACION Y CONTROL:
1) Las ISAPRE deberán disponer en todo momento, para fines de respaldo y consulta de esta Superintendencia, documentación actualizada que permita conocer los antecedentes generales en que se fundamentan los sistemas de comunicaciones utilizados, incluyendo el acceso a los equipos computacionales que soportan dichos sistemas.
2) A lo menos, las ISAPRE deberán disponer de documentación que incluya los siguientes antecedentes generales:
a) Procedimientos administrativos y de control de los sistemas utilizados.
b) Características técnicas del software y hardware de los sistemas en aplicación.
c) Manuales de uso y aplicación de los sistemas.
d) Acuerdos o convenios entre la ISAPRE y terceros.
e) Contrato de prestación de servicios entre la ISAPRE y el tercero administrador del intercambio de datos.
3) Las ISAPRE deberán llevar un Registro de Documentación Electrónica de los mensajes enviados y recibidos, que indiquen a lo menos los siguientes aspectos:
a) La identificación del mensaje.
b) El emisor y el o los receptores.
c) Fecha y hora del envío.
d) Fecha y hora de la recepción.
e) Materia o encabezado.
4) Dentro de los 5 primeros días hábiles de cada mes, las ISAPRE deberán generar una copia en papel o microforma tanto del Registro de Documentación Electrónica, como del contenido de los mensajes enviados y recibidos.
5) Las ISAPRE deberán llevar un registro de sus operadores autorizados, así como una descripción de las operaciones en las que tienen responsabilidad y autorización para el uso de las correspondientes firmas electrónicas.
6) Dentro de los primeros 5 días hábiles de cada mes, las ISAPRE deberán analizar sus Registros de Documentación Electrónica y determinar aquellos mensajes no recibidos al último día hábil del mes anterior, para que dentro de los 2 días siguientes, informe a esta Superintendencia los casos que se encuentren en esta situación.
7) Cualquier otra situación anómala que se produzca por el incumplimiento de las normas contenidas en la presente Circular, deberá ser informada a esta Superintendencia inmediatamente después de haberse tomado conocimiento del hecho que la constituya.
8) Frente a lo señalado en los dos números anteriores, este Organismo Fiscalizador, con el objeto de regularizar las anomalías informadas, instruirá a las respectivas ISAPRE, si fuese del caso, para la obtención de un informe pericial, destinado a clarificar la materia que sea objeto de las deficiencias, especificando las causas que las produjeron.
9) Anualmente, el departamento de auditoría interna o los auditores externos que contraten las ISAPRE, según lo estimen conveniente, deberá emitir una opinión referida a la efectividad de los mecanismos de seguridad y de control interno de los sistemas utilizados, que se autorizan en esta circular.
VIII. VIGENCIA DE LA CIRCULAR:
La presente Circular entrará en vigencia, a contar de la fecha de su emisión.