El regulador bancario Holandés ha aprobado el Cloud Computing de Amazon (AWS) para el uso por parte de las entidades financieras.

En una comunicación del pasado 26 de Agosto, la compañía Amazon ha anunciado que el regulador bancario Holandés (DNB) ha aprobado a Amazon Web Services (AWS) para el uso por parte de las entidades financieras de los países bajos.

Se añade que la aprobación se extiende a todas las áreas de las operaciones financieras Holandesas, incluyendo sitios web, aplicaciones móviles, banca minorista y soluciones de riesgo crediticio y extendiéndose a todos los niveles de almacenamiento y gestión de datos sobre la nube AWS, así como el uso de la tecnología que se ejecuta en la parte superior de AWS y es suministrado por los proveedores de terceros. Según Amazon, con esta aprobación los bancos holandeses se unen a otras entidades usuarias de AWS, entre las que se menciona a Bankinter en España, Unicredit en Italia y el Commonwealth Bank of Australia.

Aprovechando esta postura favorable del DNB, la firma Holandesa Ohpen ha elegido a AWS como hosting para su plataforma de software bancario en modalidad bajo demanda SaaS (Software as a Service). Según Chris Zadeh, CEO de Ohpen: “Algunos bancos holandeses están moviendo sus plataformas de banca minorista a la nube usando la plataforma bancaria de Ophen ejecutada sobre AWS. La elección de tecnología basada en AWS da a los clientes una infraestructura informática que tiene un mejor rendimiento que el que tenían en el pasado y además, dado que esta iniciativa tiene la aprobación del DNB, pueden beneficiarse de la fiabilidad y seguridad de AWS, cumpliendo con la legislación de outsourcing

El comunicado, del que se han hecho eco de manera mimética muchos medios online especializados, tiene en mi opinión algunos puntos que pueden generar cierta confusión:

• Ningún regulador bancario, hasta el momento, tiene que aprobar o rechazar a priori los proveedores de servicios de los que pueden ser clientes las entidades financieras. La puerta a la subcontratación de servicios en la nube siempre ha estado abierta, sujeta eso sí, a los principios exigidos a las entidades financieras para la subcontratación de servicios y esta situación no ha cambiado.

• Si bien es cierto que el DNB se pronunció positivamente el pasado 1 de Julio (de manera muy discreta) sobre la posibilidad de subcontratación en la nube, la nota de prensa “olvida” mencionar que este “visto bueno”, se ha otorgado no sólo a los servicios de Amazon si no a los de otros proveedores (ejemplo: IBM o Microsoft). La “aprobación” se refiere más bien al grado en que estos proveedores de servicios en la nube están adaptando su oferta de servicios y contratación a los requisitos de los reguladores bancarios. La historia parece remontarse al pasado mes de Enero, cuando el regulador bancario Holandés (DNB) indicó en su página web que existían problemas con las condiciones de contratación de algunos proveedores de servicios en la nube, especialmente en lo relativo a las limitaciones que éstos establecían en sus contratos sobre la capacidad de supervisión y monitorización de los clientes. Por ley, DNB (así como el resto de reguladores bancarios al menos en Europa) está facultado para monitorizar las actividades de negocio de las entidades en cualquier momento; sin embargo, en los contratos propuestos por muchos de los proveedores se imponen limitaciones a esta capacidad de supervisión. Esta situación se ha corregido ya por parte de algunos proveedores que están adaptando sus contratos a la regulación holandesa y el DNB está en negociaciones con otras compañías en este mismo sentido.

• La nota de prensa menciona algunas entidades financieras que ya son usuarias de servicios de AWS, sin embargo, no se menciona el carácter y alcance de los procesos llevados a la nube en todos estos casos; por ejemplo, en el caso de Bankinter, el uso se circunscribe a un proceso anual de simulaciones de riesgo de crédito que requiere muchos recursos de computación. No se menciona que Bankinter tuvo que establecer por su cuenta toda una serie de controles de seguridad adicionales para poder realizar el proceso; por ejemplo, la mezcla de datos reales y ficticios para mitigar el impacto en caso de una posible pérdida de confidencialidad de los datos. En definitiva es un proceso del negocio de Bankinter importante pero marginal en cuanto a que es un proceso de cálculo muy puntual y que no tiene ninguna consecuencia para la operativa de clientes del banco.

Es decir, que a pesar de la “aprobación”, el escenario no ha cambiado mucho. De hecho, un portavoz del DNB se ha apresurado a matizar el comunicado de Amazon y ha recordado que los requisitos siguen siendo los mismos que eran:

DNB cree que el Cloud Computing que usa servicios de terceros, por ejemplo, el almacenamiento y procesamiento de datos, es de hecho una forma de outsourcing… Esto significa que cuando se usan servicios cloud de terceras partes, la compañía usuaria está sujeta a los mismos requisitos legales que en el outsourcing”.

Recordemos que recientemente varios reguladores bancarios europeos (entre ellos DNB y el Banco de España) hicieron un recordatorio a las entidades financieras, instando a estas a que comuniquen formalmente a los servicios de inspección los planes de delegación de servicios informáticos en la nube. Por otro lado, las autoridades de protección de datos de carácter personal, también han establecido directrices sobre el tratamiento de datos personales en la nube.

A pesar de todo, la noticia me parece muy relevante, dado la fuerte capacidad de influencia que el DNB tiene en la regulación bancaria en Europa. Sin duda, marca un hito en el despegue definitivo del modelo de Cloud Computing en un sector tan importante como el financiero.

Personalmente, como ya he indicado aquí en otra ocasión, Amazon Web Services (AWS) es uno de los proveedores más maduros y cuya propuesta de valor en términos de cumplimiento, seguridad y control de riesgos es muy detallada, clara y fácilmente accesible. Sin embargo, no hay que olvidar que dependiendo de los distintos modelos de servicio del cloud, la responsabilidad sobre la seguridad y control de los distintos componentes tecnológicos involucrados recaerá de manera diferenciada sobre el proveedor o el cliente, y es muy importante que esta línea de demarcación de responsabilidades esté perfectamente clara para todas las partes desde el principio.

Otros artículos relacionados:

Externalización en la nube de aplicaciones críticas de negocio: ¿Es posible?. ¿Cómo?

Protección de datos y Cloud Computing

Soluciones Cloud sobre Amazon Web Services: distribución de responsabilidades en el control y la seguridad

Introducción al Cloud Computing

Las entidades financieras deberán comunicar a Banco de España los proyectos de Cloud Computing que tengan previstos

Deja un comentario