Empresas & Mercados

Cloud computing: la apuesta de la Super de Bancos y las tres preguntas de la industria

Mariana Marusic 21/09/2017

La normativa puesta en consulta por el regulador sería única en su tipo: a nivel mundial no habrían publicaciones con lineamientos específicos sobre el uso del servicio en la nube para entidades financieras. Desde la banca valoran la iniciativa, pero con dudas.

Como una de las tres normativas más importantes que ha publicado la Superintendencia de Bancos (SBIF) en el último tiempo. Así califica un actor de la industria la propuesta de cloud computing que puso en consulta la SBIF el mes pasado, publicación que da lineamientos a la banca para que pueda externalizar servicios en la nube, es decir, permitirá a la industria guardar su información en internet, lo que en teoría mejora la capacidad de procesamiento de datos, logra una mayor eficiencia y disminuye costos.

De hecho, pese a que el período para comentarios vencía hoy, el regulador tuvo que extender el plazo de preguntas hasta el 6 de octubre por el alto interés demostrado por diferentes entidades. “No sólo nuestros fiscalizados sino también potenciales proveedores de dichos servicios”, puntualiza la SBIF.

¿Cuál es el objetivo? Además de estar al día con las nuevas tecnologías en medio de la cuarta revolución industrial, desde la Superintendencia señalan que quieren “promover las buenas innovaciones con una regulación adecuada que dinamice nuestro sistema financiero y reduzca costos y que al mismo tiempo mantenga niveles de seguridad adecuados”.

Bajo este escenario, la elaboración de la normativa no fue simple. De hecho, la SBIF hizo consultas a distintos supervisores, y revisó algunas normas de reguladores internacionales, “sin embargo, no hay lineamientos específicos respecto al uso de cloud computing para las entidades financieras. Una vez más la Superintendencia innova internacionalmente con esta normativa específica“, comenta el regulador. Esto considerando que en otras jurisdicciones, este tipo de servicios se aborda como cualquier otra externalización de servicios, sin lineamientos específicos.

Como es de esperar, al estar en consulta, desde la banca tienen varias dudas respecto de la normativa, pero destacan tres:

1) Costo

Dentro de la publicación, la SBIF define que aquellos que quieran contratar un servicio en la nube para una actividad considerada estratégica o crítica, deben contar con servidores o infraestructura específica. Sin embargo, desde la industria creen que esto va en contra de los tres conceptos que componen el espíritu de cloud computing: más barata, segura, y accesible. Con todo, en la banca creen que esto afectaría fundamentalmente a los jugadores mas chicos, no a los de mayor tamaño, porque entidades como Santander -banco más grande del país medido por colocaciones- ya funcionan con esta modalidad específica para ellos. Consultada al respecto, desde la SBIF explican que “en la utilización de nuevas tecnologías confluyen muchos elementos relacionados a los servicios que otorgan. Estos van desde la operación hasta la conectividad, pasando por muchos otros. Por lo tanto, mediante este tipo de servicios es posible alcanzar economías de escala en diferentes jurisdicciones, que pueden ser más eficientes que las actuales. De allí que evaluar sólo un aspecto, no ayude a abarcar todo lo que afecta el concepto de costo total de la solución”.

2) ¿Es una nube?

La normativa puesta en consulta también dice que “además de la jurisdicción, se debe conocer la ubicación física de los centros de datos”. ¿Por qué si es una nube, hay una dirección con los datos? La SBIF señala que “es importante porque se trata de información de clientes que en algunos casos es protegida por la ley y por lo mismo, es muy relevante entender dónde estará ubicada para efectos legales. Aunque se trata de una nube, en realidad corresponde a ubicaciones físicas en las que el proveedor tiene sus instalaciones. Por eso en la norma, incluso antes de la modificación, se plantea que las plataformas tecnológicas y aplicaciones a utilizar en la externalización de los servicios deben encontrarse en sitios de procesamiento específicos”.

3) Proveedores

Desde la industria dicen que la normativa en consulta es más exigente cuando se trata de proveedores, ya que ahora se requiere investigar a los proveedores del proveedor. Esto considerando que la modificación agrega que “la entidad debe verificar que tanto sus proveedores de servicios críticos, como los proveedores subcontratados por éstos, cuenten con planes apropiados que aseguren la continuidad de los servicios contratados”. En ese sentido, la SBIF defiende que “la norma vigente pretende, que las instituciones verifiquen que tanto los proveedores como subproveedores aseguren la continuidad de los servicios contratados; no obstante la nueva norma en consulta en el caso de las subcontrataciones lo explicita. Por lo tanto, no hay mayores exigencias, sino que sólo precisiones en este aspecto”.