Externalización de servicios «nube» en el sector financiero. Directrices ESMA

Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021)  tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.

Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:

        • Empresas de inversión
        • Entidades de crédito que ofrecen servicios de inversión
        • Contrapartes Centrales (CCPs)
        • Depósitos Centrales de Valores (CSDs)
        • Gestores de fondos de inversión (UCITS y AIFMs)

Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.

Azaleas

Los aspectos y orientaciones principales en estas Directrices son:

1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.

  • En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:

        • Solidez financiera y estabilidad del proveedor.
        • Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
        • Ubicación de los servidores y jurisdicciones aplicables.
        • Historial de incidentes de seguridad o interrupciones del servicio.
        • Cumplimiento normativo con GDPR y regulaciones financieras.
  • Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:

        • Un proceso formal de aprobación para externalizar funciones críticas.
        • Supervisión continua del proveedor mediante revisiones periódicas.
        • Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
        • Roles y responsabilidades definidos para la gestión de los servicios en la nube.
        • Aprobación y puesta en marcha de  políticas y procedimientos adecuados para la gestión de la externalización en la nube.

3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:

        • Definir los niveles de servicio (alcance  y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
        • Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
        • Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
        • Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
        • Medidas para la  confidencialidad, integridad y disponibilidad de los datos externalizados.
        • Sistemas para verificar el cumplimiento normativo por parte del proveedor.

4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:

        • Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
        • Definir estrategias de transición a otros proveedores o reinternalización de los servicios.

5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.