Ir al contenido principal

Apoyar la política de tecnología moderna para la industria de servicios financieros – directrices por la Autoridad Bancaria Europea

La comunidad de servicios financieros tiene por delante una oportunidad sin precedente. Con nuevas tecnologías como la nube, IA y blockchain, las firmas crean nuevas experiencias para los clientes, gestionan riesgos de manera más efectiva, combaten crímenes financieros, y cumplen con objetivos operativos críticos. Bancos, aseguradoras y otros proveedores de servicios eligen la innovación digital para abordar estas oportunidades en una época en la que la competencia se incrementa desde cada ángulo – de parte de jugadores tradicionales y no tradicionales.

Al mismo tiempo, nuestra experiencia es que esa falta de claridad en regulación puede dificultar la adopción de estas emocionantes tecnologías, mientras el cumplimiento regulatorio sigue como algo fundamental para las instituciones financieras que utilizan tecnología en la que confían. De hecho, la pregunta común que recibo de los clientes es: ¿Los reguladores me dejarán utilizar tu tecnología, y ustedes han integrado las capacidades que me ayuden a cumplir con mis obligaciones de cumplimiento de normas?

Dave Dadoun.

Con esto en mente, aplaudimos las directrices revisadas por la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) sobre acuerdos de subcontratación los cuales, en parte, abordan el uso del cómputo en la nube. Durante varios años hemos compartido perspectivas con reguladores sobre cómo la regulación puede ser modernizada para abordar el cómputo en la nube sin disminuir la seguridad, privacidad, transparencia y salvaguardas de cumplimiento necesarias en una nube nativa o en un mundo de nube pública. De hecho, el cómputo en la nube puede brindar a las instituciones financieras una mayor garantía de riesgo – en particular en cosas clave como gestionar datos, asegurar datos, tratar amenazas cibernéticas y mantener la resiliencia.

En el centro de las directrices revisadas se encuentra un conjunto de principios flexibles que abordan la nube en servicios financieros. De hecho, la EBA ha sido clara en que estas “directrices están sujetas al principio de proporcionalidad”, y deberían “ser aplicadas de una manera que sea apropiada, y se debe tener en cuenta, en particular, el tamaño de la institución o de la institución de pago… y la naturaleza, alcance y complejidad de estas actividades”. Además, las pautas establecidas para armonizar enfoques a través de jurisdicciones, un gran avance para que las instituciones financieras tengan predictibilidad y consistencia entre reguladores en Europa. Creemos que la EBA tomó esta inteligente decisión para apoyar para respaldar la innovación de vanguardia y la adopción responsable, y prepararse para una tecnología más avanzada como el aprendizaje automático y la IA en el futuro.

Dado que estas directrices reflejan un enfoque modernizado que trasciende Europa, hemos actualizado nuestra Enmienda de Servicios Financieros global para que los clientes reflejen estos cambios clave. También creamos un documento de mapeo regulatorio que muestra cómo nuestros servicios de nube y compromisos contractuales subyacentes mapean estos requerimientos en un EU Checklist. Se puede acceder al EU Checklist a través del Microsoft Service Trust Portal. En esencia, Europa ofrece el punto de referencia en el establecimiento de normas que permitan utilizar la nube para servicios financieros y estamos orgullosos de estar alineados a tales requerimientos.

Dado que este es un hito tan importante para el sector financiero, queríamos compartir nuestro punto de vista sobre algunos aspectos clave de las directrices, los cuales podrían ayudar a las firmas a acelerar en el futuro la transformación tecnológica con la nube de Microsoft:

  • Auditabilidad: A medida que la nube se ha vuelto más presente, creemos que es natural extender los derechos de auditoría a los vendedores de nube en circunstancias que lo justifiquen. También creemos que las auditorías no son un enfoque único para todos, sino que son adaptables con base en los casos de uso – en particular si se trata de ejecutar sistemas bancarios centrales en la nube. Microsoft ha brindado innovaciones para ayudar a supervisar y auditar la nube a hiper escala, incluidas:
  • Localización de datos: Estamos complacidos de que no haya requerimientos de localización de datos en las directrices de la EBA. En su lugar, los clientes deben evaluar los riesgos legales, de seguridad, y otros, donde los datos sean almacenados, en lugar de exigir que los datos se almacenen de manera estricta en Europa. Ayudamos a los clientes a gestionar y evaluar este tipo de riesgos al brindar:
    • Compromisos contractuales para almacenar datos en reposo en una región especificada (incluida Europa).
    • Transparencia sobre dónde se almacenan los datos.
    • Compromisos plenos para cumplir con los requerimientos clave de privacidad, como la Regulación General de Protección de los Datos (GDPR, por sus siglas en inglés).
    • Flujo de dichos compromisos hacia nuestros subcontratistas.
  • Subcontratistas. Las directrices se dirigen a los subcontratistas, en particular a aquellos que brindan funciones “críticas o importantes”. La administración, gobierno y supervisión de los subcontratistas de Microsoft son fundamentales para lo que hacemos. Entre otras cosas:
    • Los subcontratistas de Microsoft están sujetos a un proceso de verificación y deben seguir los mismos controles de privacidad y gobierno que nosotros mismos implementamos para proteger los datos de los clientes.
    • Brindamos transparencia sobre los subcontratistas que pudieran tener acceso a los datos de los clientes y también notificamos a 180 días sobre cualquier nuevo subcontratista.
    • Proporcionamos a los clientes derechos de rescisión en caso de que concluyan que un subcontratista presente un incremento sustancial en el riesgo de una función crítica o importante de sus operaciones.
  • Plataformas centrales: Acogemos con beneplácito la posición de EBA que proporciona claridad sobre que las plataformas centrales deberían ejecutarse en la nube. Lo que importa es el gobierno, la documentación de protocolos, la seguridad y resiliencia de tales sistemas, y tener una supervisión adecuada (y derechos de auditoría), y compromisos para terminar un acuerdo, cuando sea necesario. Todas estas son capacidades que Microsoft ofrece a sus clientes y ahora vemos movimiento entre los principales bancos para poner sistemas centrales en la nube dados los beneficios que brindamos.
  • Continuidad del negocio y planificación de salida. Las instituciones deben tener planes de continuidad del negocio y probarlas de manera periódica para uso de funciones críticas o importantes. Microsoft ha apoyado a nuestros clientes para cumplir con este requerimiento, incluido brindar un kit de herramientas Modern Cloud Risk Assessment y, además, en la documentación de Service Trust Portal en nuestra arquitectura de resiliencia de servicio, nuestro equipo Gestión Empresarial de Continuidad del Negocio (EBCM, por sus siglas en inglés), y un reporte trimestral con los resultados a detalle de nuestras recientes pruebas de EBCM. Además, hemos apoyado a nuestros clientes en la preparación de la documentación de planificación de salida, y trabajamos con organismos de la industria como la Federación Bancaria Europea para obtener más información de la industria para estos nuevos requisitos de EBA.
  • Riesgo de concentración: La EBA aborda la necesidad de evaluar si el riesgo de concentración puede existir debido a fallas sistémicas potenciales en el uso de servicios de nube (y otra infraestructura legada). Sin embargo, esto se equilibra con entender cuáles son los riesgos de un solo punto de falla, y equilibrar esos riesgos y compensaciones de sistemas legados existentes. En resumen, las instituciones financieras deberían evaluar la resiliencia y salvaguardas brindadas con nuestros servicios de nube de hiper escala, que pueden ofrecer un enfoque más robusto que los sistemas existentes. Cuando se realizan esas evaluaciones, las instituciones financieras pueden decidir apoyarse más en la nube a medida que transforman su negocio en el futuro.

El marco de EBA es un gran paso para ayudar a modernizar la regulación y aprovechar el cómputo en la nube. Esperamos participar en la discusión en curso de la industria, como la nueva orientación a considerar por la Autoridad Europea de Seguros y Pensiones Ocupacionales sobre el uso de los servicios de nube, así como ayudar a otras regiones y países en su camino hacia la creación de más políticas modernas que soporten la innovación mientras protegen la integridad de la infraestructura crítica global.

Para más información sobre Microsoft en la industria de servicios financieros, entren aquí.

Foto principal cortesía de la Autoridad Bancaria Europea.