A finales del 2017, la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó un informe final con un conjunto de recomendaciones relativas a la externalización de servicios en la nube por parte de las instituciones financieras, en concreto, por entidades de crédito, empresas de inversión y las autoridades competentes.

Las recomendaciones se han desarrollado basándose en las Directrices sobre outsourcing* del Comité de Supervisores Bancarios Europeos (CEBS, por sus siglas en inglés), y tratan de dar una orientación adicional a aquellas entidades que externalizan sus actividades a proveedores de servicios en la nube, para que tomen medidas razonables para evitar riesgos operacionales indebidos.

Serán aplicables atendiendo al principio de proporcionalidad, esto es, en consideración al tamaño, la estructura y el entorno operacional en el que actúen las entidades, así como a la naturaleza, la escala y la complejidad de sus actividades.

El informe trata seis áreas clave: i) el derecho de acceso; ii) la seguridad de los datos y sistemas; iii) la ubicación de los datos y el procesamiento de datos; iv) el derecho de auditoría; v) la externalización de cadenas, y vi) los planes de contingencia y las estrategias de salida. A continuación desatacamos las cuestiones más relevantes:

Evaluación de la materialidad

Antes de realizar la externalización de las actividades, la autoridad europea recomienda que las instituciones evalúen la materialidad de las mismas, teniendo en cuenta:      

• Su perfil de riesgo (por ejemplo, si son críticas para la continuidad o viabilidad de la institución y para el cumplimiento de sus obligaciones con sus clientes)
• El impacto operacional de cualquier interrupción de la externalización, y los riesgos legales y reputacionales inherentes
• El impacto que cualquier disrupción de la actividad podría tener en las perspectivas de ingresos de la institución
• El potencial impacto que una infracción de la confidencialidad o la falta de integridad de los datos podría tener en la institución y sus clientes

Las instituciones financieras deberán informar al órgano supervisor sobre qué actividades materiales serán externalizadas a proveedores de servicios en la nube, proporcionando datos sobre el nombre del proveedor y la compañía, las actividades que serán externalizadas, en qué fecha, la ley aplicable, entre otros. Dicha autoridad estará facultada para solicitar cualquier información adicional que considere.

Además, deberán mantener un registro actualizado con información sobre todas aquellas actividades materiales y no materiales que han sido externalizadas a proveedores de servicios en la nube, tanto a nivel individual como a nivel grupo.

Derechos de acceso y de auditoría

Las recomendaciones recogen que las disposiciones contractuales entre la institución financiera y el proveedor de servicios en la nube deberán garantizar el pleno acceso, tanto de los supervisores competentes como de la propia entidad y su auditor, a los locales, dispositivos, sistemas, redes y datos de los proveedores, necesarios para proporcionar los servicios subcontratados (derecho de acceso).

Además, también deberán conferirle los derechos de inspección y auditoría sin restricciones, en relación con los servicios subcontratados (derecho de auditoría).

El efectivo ejercicio de estos derechos no deberá verse obstaculizado o limitado por acuerdos contractuales. Así, en caso de que la realización de auditorías pueda crear un riesgo para el entorno de otro cliente, deberán acordarse formas alternativas para proporcionar un nivel de seguridad similar al requerido por la institución.

Se proponen medidas como la posibilidad de hacer una auditoría entre varios clientes que compartan los servidores o que el proveedor aporte certificaciones de terceros, a efectos de poder  ejercer el derecho de  acceso a las instalaciones del proveedor y de hacer auditorías con el menor inconveniente posible para ambas entidades.

Seguridad de datos y sistemas

Una cuestión relevante son las medidas de seguridad que deben adoptar los proveedores de servicios en la nube para proteger la confidencialidad de la información transmitida por la institución financiera, por ser claves para la gestión del riesgo operacional. En este sentido, antes de externalizar las actividades, las instituciones deberán:

• Identificar y clasificar sus actividades, procesos, datos y sistemas en función de la protección requerida;
• Realizar una selección exhaustiva, basada en el riesgo, de las actividades, procesos, datos y sistemas que se estén considerando externalizar;
• Definir y decidir sobre el nivel adecuado de protección de la confidencialidad de los datos, la continuidad de las actividades externalizadas y la integridad y rastreabilidad de los datos y sistemas en el contexto de la externalización prevista.

Además, deberán asegurar que todas esas medidas se recojan en un acuerdo por escrito con el proveedor de servicios. Así mismo, deberán realizar un seguimiento del desempeño de las actividades y las medidas de seguridad, de los incidentes generados y, en su caso, de las medidas correctivas implantadas.

Ubicación y procesamiento de datos

La EBA recomienda a las instituciones actuar con especial diligencia cuando se planteen celebrar acuerdos de externalización de servicios fuera del Espacio Económico Europeo, debido a los potenciales riesgos de protección de datos y de supervisión que pudieran existir.

Así, la autoridad bancaria recomienda que las entidades realicen un análisis sobre el impacto de los potenciales riesgos, incluidos los riesgos legales y los problemas en caso de incumplimiento, así como las limitaciones de supervisión en los países donde se presten los servicios subcontratados y donde estén almacenados los datos. La evaluación deberá también incluir consideraciones sobre la estabilidad y seguridad política de las jurisdicciones en cuestión; las leyes vigentes (especialmente sobre protección de datos); y, entre otras, las disposiciones legales en materia de insolvencia que se aplicarían en caso de fallo por parte del proveedor de servicios en la nube. Todos estos riesgos deberán mantenerse dentro de los límites aceptables, y ser acordes con la materialidad de la actividad externalizada.

Externalización en cadena

Las recomendaciones incluyen requisitos específicos para mitigar los riesgos asociados con la externalización en cadena, esto es, en los casos en los que el proveedor de servicios en nube subcontrata elementos del servicio a otros proveedores. Así, dicha externalización será posible siempre y cuando no se vean afectados los servicios ni se incumplan las obligaciones que el proveedor hubiera formalizado inicialmente con la institución financiera.

En todo caso, la institución financiera deberá revisar y hacer un seguimiento del conjunto de la actividad contratada, independientemente de si se lleva a cabo por el proveedor de servicios en la nube o por otro proveedor subcontratado.

Planes de contingencia y estrategias de salida

Finalmente, la EBA recomienda que las instituciones planifiquen e implementen planes de contingencia y estrategias de salida bien definidas para mantener la continuidad de su negocio, en caso de que la prestación de servicios por parte del proveedor falle o se deteriore hasta niveles inaceptables.

La autoridad europea también orienta a las instituciones sobre los contenidos de los acuerdos contractuales y organizativos en relación con dichos planes y las estrategias.

Aplicación

Las recomendaciones serán de aplicación a partir del 1 de julio de 2018.