Lo que los bancos, las fintech y los proveedores de la nube necesitan saber


La Guía de la Autoridad de Conducta Financiera (FCA) para externalizar la TI a la nube es ampliamente reconocida por acelerar el ritmo de las migraciones fuera del sistema bancario tras su lanzamiento en 2016. [19659002] Hasta entonces, el uso de la nube por parte de la Comunidad de Servicios Financieros podría describirse mejor como pequeño y pequeño, ya que las empresas buscaron transformarse digitalmente dentro de los límites de las reglas previas a la nube ,

Las Directrices de la FCA actuaron como una pistola de despegue en los planes de migración a la nube de la nube bancaria, y varios bancos y sociedades de construcción utilizaron sus consejos para lanzar movimientos todo en la nube pública. [19659003] Pero si bien las Directrices de la FCA indujeron efectivamente a los bancos y sociedades de construcción a cambiar a la nube desde entonces ha sido reemplazado por otras recomendaciones diseñadas para garantizar que estas empresas tengan una larga vida útil Los riesgos asociados con el uso de tecnologías fuera de las instalaciones.

El objetivo es asegurarse de que los bancos y las sociedades de construcción que deseen ejecutar más aplicaciones y cargas de trabajo en la nube no dependan demasiado de ellos. Un proveedor o empresa que se atasque debería molestarse más tarde.

"Los reguladores están preocupados por el riesgo de concentración de poner esencialmente todos los huevos en una canasta", dice Dan Read, socio del Departamento de Tecnología e Propiedad Intelectual de la firma de abogados de servicios financieros TLT LLP.

"Al menos, toda la industria de servicios financieros o sus operaciones bancarias podrían subcontratarse a Amazon, ¿y si Amazon decidiera dar la vuelta? todo Esto no solo afectaría a estas instituciones, sino que posiblemente podría detener todo nuestro sistema bancario. "

Esto es particularmente importante, como dice Read, ya que los consumidores favorecen cada vez más el uso de aplicaciones móviles y servicios de banca por Internet en lugar de visitar puntos de venta cuando se trata de interactuar con sus bancos.

"Incluso los pequeños errores o los períodos cortos en que los servicios no están disponibles pueden tener un impacto significativo en los clientes. Prevenir esto es el enfoque de los supervisores ".

Reglamento

Esto queda claro por el contenido de las Directrices de Outsourcing de la Nube de la Autoridad Bancaria Europea (EBA), que, cuando se publicó en julio de 2018, resultó en bancos Las sociedades de construcción y ciertas categorías de empresas de inversión ya no estaban cubiertas por las FCA como directrices.

"Las recomendaciones de EBA proporcionaron más detalles sobre los requisitos establecidos en los contratos de outsourcing en la nube y proporcionaron información excelente. A partir de este momento, el camino hacia la nube para el sector bancario estaría determinado por las Directrices de EBA, que cubren una serie de aspectos Según Read, esto es en gran medida idéntico al de las FCA, al tiempo que brinda a las instituciones financieras la oportunidad de manejar algunos de sus términos "más poco prácticos".

Por ejemplo, las Directrices de la FCA se refieren al hecho de que las organizaciones y sus auditores deberían hacerlo para tener acceso a las "instalaciones comerciales" de cualquier proveedor de servicios al que externalicen su TI, pero establece: "Esto no excluye necesariamente sus centros de datos ".

Luego establece que "los proveedores de servicios restringen el acceso a ciertos sitios web por razones legítimas de seguridad. Z Según el rasing, un usuario puede solicitar y recibir acceso cuando lo requiera"

"Si usted es un proveedor de la nube Los clientes no siempre pueden aparecer en su centro de datos ", dice Read." Amazon, Google y Microsoft simplemente no aceptarían eso, y eso es un problema si el regulador necesita acceso de auditoría sin restricciones a prácticamente todo lo que está sucediendo allí ".

Las Directrices de la EBA buscan abordar esto mediante la inclusión de cláusulas que permitan a las empresas hacer cumplir indirectamente el cumplimiento y, a su vez, reducir la carga organizacional causada por los clientes a pedido Acceso y acceso sin restricciones a los centros de datos de su proveedor de servicios. Comenzar m es una "auditoría conjunta" en la que un tercero designado por un grupo de clientes realiza una visita en nombre de todos ellos o se basa en informes de auditoría interna o en el logro de ciertas certificaciones de terceros.

La nube principal Según Read, los proveedores aceptaron estos términos porque su capacidad para hacer negocios con el sector bancario se vería gravemente afectada si se negaran a jugar a la pelota. [19659012] "Los microsofs del mundo, las Amazonas y los Googles han subido a bordo porque se dan cuenta de que necesitan participar en el mercado de servicios financieros, y todos han agregado sus propios suplementos [sector-specific] a sus términos". él dice.

"Google tiene una serie de términos que se encuentran en el fondo de sus términos estándar. Por ejemplo, si usted es una institución regulada, estos son los términos que se aplican adicionalmente. Le brindan información de auditoría agregada, permiten el acceso de los reguladores y permiten que los clientes renuncien cuando lo deseen. Estas son todas las cosas que necesitas tener.

que reciben tanta presión de su base regulada de clientes que no pueden darse el lujo de no renunciar.

Todos los cambios en Europa

En una industria que está tan fuertemente regulada como los servicios financieros, las organizaciones son conscientes de que el panorama regulatorio en lo que operan está sujeto a cambios y revisiones frecuentes. Y eso es bueno, porque las reglas de EBA pronto se integrarán en un conjunto de reglas mucho más completo.

Estas son las Directrices de la EBA sobre acuerdos de subcontratación que entrarán en vigor el 30 de septiembre de 2019, para dar a las instituciones financieras reglas uniformes sobre cómo proceder con todas las tareas de subcontratación, incluida su nube Contratos – para proporcionar.

"La externalización [contracts] se ha completado, revisado o cambiado Después de esta fecha, se deben cumplir las pautas", dijo Jake Ghanty, socio regulador de la firma de abogados centrada en la tecnología Kemp Little, durante un panel de discusión sobre las pautas a principios de septiembre de 2019. 19659022] "Eso suena como, en relación con los proyectos de outsourcing existentes, que realmente no tiene que preocuparse por estas pautas en este momento, pero ese no es necesariamente el caso. Si desea cambiar una subcontratación existente, debe tener en cuenta estas pautas.

Además, todas las empresas cuyas actividades se encuentran dentro del alcance de las pautas deben asegurarse de que sus contratos de subcontratación existentes se hayan actualizado antes del 31 de diciembre de 2021. Esto significa que tienen todos los compromisos de subcontratación que hacen a la luz de estos nuevos requisitos, deben someterse a una reevaluación integral. Dada la vulnerabilidad de las empresas de servicios financieros a la contratación externa, es poco probable que sea rápido o fácil.

Concluya o haga uso de contratos para este tipo de servicios.

"Debe leer y revisar todos los contratos existentes para volver a cumplir, como hicieron con GDPR [General Data Protection Regulation] y similares. Han adoptado las Directrices de la nube para 2018 [EBA]pero deben en una escala mucho más amplia.

"Porque eso podría abarcar todo, desde la externalización de la seguridad de su centro de datos a su plataforma bancaria principal, a una pequeña porción de los servicios de recursos humanos o un pequeño conector que se adapta a otro sistema, o lo que sea Se ha ampliado el alcance y el alcance de las directrices. "

Esto no solo se aplica a los tipos de subcontratación de Ghanty, sino también a la amplia gama de empresas que necesitan seguir estas pautas, no solo bancos, sociedades de construcción y empresas de inversión, sino también empresas especializadas en servicios de pago, instituciones de dinero electrónico y proveedores de tecnología financiera Las directrices son un compromiso claro de la EBA de que las instituciones financieras están externalizando cada vez más una gama más amplia de sus funciones a proveedores de tecnología de terceros, dice Ghanty.

"Un acto positivo en relación con estas pautas es que solo son necesarias para consultar una serie de políticas relacionadas con la externalización en la nube y no en la nube", agrega.

Outsourcing Reviews and Reviews

Como se establece en en las Directrices de 125 páginas las instituciones financieras tendrán lo siguiente para evaluar si el acuerdo que han hecho está sujeto a la definición de la EBA La subcontratación está cayendo. De ser así, deben decidir si ese proceso o actividad en particular se considera crítico o importante para el funcionamiento de la organización.

Si un mal funcionamiento, en la forma de una EBA defectuosa o errónea, el desempeño de la función subcontratada "afectaría materialmente" sus finanzas, negocio o posición reguladora, lo que se consideraría una función crítica o importante, y estaría sujeto a controles más estrictos.

Ghanty agrega: "Existen disposiciones adicionales específicas que se aplican a este tipo de subcontratación en términos de planificación de continuidad del negocio, y se requieren mayores niveles de atención para participar en la subcontratación crítica o importante". [19659010] Por ejemplo, se refiere a Parte de las Directrices, que requieren que las instituciones financieras se aseguren de que su socio de outsourcing elegido tenga un cierto historial y se ocupe de los asuntos críticos y asigne funciones importantes en nombre de sus clientes.

Ghanty señala que esto puede tener un impacto en las startups que pueden no tener tantos clientes de referencia como puedan usar para validar su capacidad de manejar funciones críticas y críticas.

"Las pautas no prohíben a las empresas subcontratar a empresas sin muchos años de experiencia pero tienen un derecho objetivo dice] Como las instituciones financieras dependen cada vez más de terceros para operar, uno de los objetivos principales de las Directrices de la EBA es evitar que lo hagan de manera efectiva ser referido como organizaciones de "caparazón vacío".

"Las directrices dejan en claro que la administración El órgano rector de cada institución financiera sigue siendo responsable de este instituto y sus actividades en todo momento", se lee en un comunicado de la EBA.

"Para este fin, el órgano de gobierno debe garantizar que haya suficientes recursos disponibles para apoyar y garantizar adecuadamente el desempeño de estas responsabilidades, incluida la supervisión de todos los riesgos y la gestión de los acuerdos de subcontratación.

"La subcontratación no debe conducir a una situación en la que una institución se convierta en un" caparazón vacío "que carece de la sustancia para seguir siendo legal.

Las directrices tienen por objeto evitar que las instituciones financieras lo hagan de dos maneras diferentes. La primera es la creación de una directiva de paginación escrita, que se revisa y actualiza periódicamente y establece reglas para la gestión de los acuerdos de subcontratación.

Ghanty dice: "Las pautas requieren que las compañías dentro del alcance implementen una política de paginación escrita. Definición de principios, responsabilidades y procesos relevantes para cada fase del ciclo de vida del outsourcing. Esta política debe documentar las políticas internas de gestión de riesgos y definir procedimientos como los procesos de renovación. "

La segunda forma en que las directivas están diseñadas para proteger a las instituciones financieras de convertirse en" depósitos vacíos "es que las empresas mantengan un registro actualizado de los detalles del contenido de cada uno de los acuerdos de subcontratación que hayan hecho.

Según las Directrices, el registro debe contener detalles de la fecha y la fecha de renovación de cada contrato de subcontratación que la institución financiera concluye especificando la función subcontratada y el contrato de subcontratación Identidad del tercero responsable de la supervisión.

También requiere que las instituciones documenten en qué parte del mundo estas funciones son realizadas por el cliente y que se den cuenta de si las funciones se consideran críticas o importantes.

La política establece: "En el caso de la subcontratación a un proveedor de servicios en la nube, el servicio en la nube y los modelos de entrega (públicos, privados, híbridos, colaborativos) y la especificidad de los datos que se almacenarán, así como las ubicaciones donde se almacenan estos datos debe registrarse. "

La idea es documentar esta información. Ayuda a las empresas a realizar un seguimiento de sus acuerdos de subcontratación actuales al tiempo que brinda a los supervisores la capacidad de rastrear qué proveedores de servicios financieros hacen negocios de manera regular.

Registro de Outsourcing: ¿Qué debería incluirse y cómo debería gestionarse?

Según Read, el registro no es un requisito nuevo ya que los partidarios de la política de la nube de EBA han recibido instrucciones de mantener un registro similar de todos los proveedores de los que han obtenido servicios fuera de las instalaciones.

"Todos nuestros clientes lo han logrado, y tienen diferentes puntos de vista sobre cuán lejos deberían impulsar esta definición de outsourcing en la nube", dice. "Algunos han dicho que todo lo que contiene elementos de la nube debe estar en el registro, y otros tienen una visión un poco más sofisticada".

La razón de esto es que las políticas no especifican demasiado cómo las organizaciones deberían hacer esto. Cree y mantenga registros que, de acuerdo con las pautas, requieran que las organizaciones registren cantidades significativas de datos sobre cada contrato de outsourcing que completen.

Según Read, hay planes para lograr cierta coherencia y claridad a través de la posible creación de un portal en línea centralizado que es monitoreado por la Autoridad Reguladora (PRA) y puede registrar esta información con la compañía de servicios financieros.

"Alguien pondrá un registro de todas sus operaciones de outsourcing en ese cuadro con un conjunto de cuadros desplegables o un tipo de taxonomía de datos para que todo esté en un lugar y la gente ya no esté luchando con hojas de cálculo u otros necesita documentos ", dice.

"Algunas organizaciones trabajaron para crear su propio … pero se espera que haya algún tipo de registro en línea que puedan usar, también debido a la experiencia [regulators have had] con las notificaciones de GDPR y la administración de Das Es una pesadilla cuando todos comienzan a transmitir grandes cantidades de cosas en formatos aleatorios.

Read sugiere que un piloto puede no estar en Internet si este portal en línea aparece antes de la fecha límite de diciembre de 2021. En ese caso, la carga administrativa para ambos supervisores y sus cargos será ligeramente menor.

En particular, argumenta Read, las pautas esencialmente alientan a las personas a "notificar al pasado" sobre los cambios en sus circunstancias desde el punto de vista de los reguladores "más a menudo que nunca".

Para los reguladores, los datos obtenidos de este registro también deberían facilitar la evaluación de si la industria depende demasiado de proveedores y clientes específicos ". Esto significa que pueden decir si alentamos o alentamos a las personas, Por ejemplo, se distribuyen de manera más uniforme a otros proveedores de la nube ", agrega.

Preparándose para un nuevo reglamento

Entonces, está claro que la comunidad de proveedores de servicios financieros, compañías de tecnología financiera y proveedores de nube tiene mucho que hacer para prepararse para las próximas directrices, pero, según nuestros expertos – ¿Qué tan listo estás?

Desde la perspectiva del usuario final, TLT LLPs Read cree que muchas instituciones financieras han dejado su trabajo preparatorio en un segundo plano debido a la incertidumbre sobre todo el entorno regulatorio. El entorno puede cambiar después del Brexit.

"Creo que muchas instituciones aún no están listas", dice. "Algunos de ellos van y vienen, pero otros esperan ver qué consecuencias tendrá Brexit para el panorama regulatorio, ya que esta no es una directiva británica".

"Pero las expectativas e intenciones de las personas, como los reguladores, son aplicado en el Reino Unido y, por lo tanto, no puede ser ignorado. "

Desde la perspectiva del proveedor de la nube, los proveedores deben tomar medidas para garantizar que se cumplan las pautas anteriores de EBA, listas para lo que viene, dice Read.

"Desde la perspectiva del proveedor de la nube, nada ha cambiado realmente desde el año pasado hasta el pronóstico de este año", dice. "Es la misma política que se incluyó en el nuevo conjunto de políticas".

Computer Weekly cree que algunos miembros de la comunidad fintech han ejercido cierta presión, especialmente durante el proceso de consulta de políticas de los planes de EBA para incluir a sus organizaciones dentro del alcance de las Directrices.

En términos de preparación, Read cree que la comunidad fintech está a la zaga de sus pares en los proveedores de la nube.

Luke Scanlon, jefe del departamento de tecnología financiera de la firma de abogados Pinsent Masons le dice a Computer Weekly que parte de esto puede deberse al tiempo que algunas de estas compañías han estado operando. [19659012] "Especialmente para los proveedores de tecnología financiera, la regulación no es un problema para los proveedores de nuevas tecnologías, pero a veces no entienden lo que piensan los bancos y otras instituciones financieras. Una razón importante para el retiro de las instituciones de la compra de su tecnología es que falta de comprensión de tales cambios ", dice Scanlon.

"Sus reuniones iniciales con expertos en innovación y vendedores podrían alterarla, pero es la barrera reguladora la que la detiene. [from winning deals]. "

Como se mencionó anteriormente, bajo estas pautas, las compañías tendrán que reevaluar todos los contratos de outsourcing existentes y repensar cómo manejan los nuevos contratos que concluirán en el futuro para descubrir qué podría y debería completarse como Crítico o Importante clasificado.

Estos hallazgos pueden revelar que una característica previamente entregada a un fintech de un tercero ahora se clasifica como tercerización, pero no anteriormente.

Scanlon agrega: "Los bancos, por ejemplo, en el pasado pueden no haber pensado demasiado en sus proveedores de tecnología financiera, pero las políticas se han centrado en funciones importantes e importantes. Los proveedores deben repensar su posición si quieren continuar sirviendo al mercado de servicios financieros , "



Software alquiler maquinaria de Cea Ordenadores