La banca va a la nube: Las oportunidades detrás de la resolución 6354 del BCRA

El 3 de noviembre de 2017, el BCRA actualizó la normativa bancaria, permitiendo a estas entidades usar servicios tercerizados y desde la nube, en lo que muchos ven como una ayuda que el organismo de control le da a los bancos para competir mejor contra las fintechs: entidades financieras nacidas al candor de las nuevas tecnologías, como la movilidad y la nube. Vale recordar que, hasta ahora, las entidades financieras podían almacenar datos y realizar procesos sólo en datacenters propios o de sus entidades matrices.

“Este cambio en la normativa es una gran oportunidad para emparejar la situación de la banca tradicional respecto de la digital”, asegura Nicolás Mac Loughlin, Business Development Manager en Colaboración de Logicalis Argentina. El hecho de que las fintechs hayan nacido “digitales” les da una agilidad y una capacidad de respuesta e innovación que los bancos tradicionales, hasta ahora muy pegados al “fierro” y a los procesos clásicos de desarrollo, no tenían.

“Imaginemos una solución de asistente experto remoto para una aplicación en el Smartphone —grafica el BDM de Logicalis—.  Lo quiero implementar ya: el negocio necesita hacerlo de manera urgente para sacar provecho de una oportunidad en el mercado. Por el método tradicional tenías que hacer ingeniería, una compra, la implementación, la customización, y empezar a llevar adelante la campaña de marketing. Eso lleva meses. Teniendo la posibilidad de usar soluciones de nube, esto se reduce a una semana. Con lo cual, desde el punto de vista de la generalidad del negocio, te permite tener un time to market muy distinto del que tenías antes usando el método tradicional. Y, obviamente, este time to market también de alguna forma afecta a la user experience”. Para Mac Loughlin, este último factor será decisivo en la competencia entre entidades de servicios.

La velocidad en la provisión de recursos informáticos (por ejemplo poder de cómputo, almacenamiento, base de datos…) tendrá un impacto en la transformación del negocio.

«Hay un gran desafío en la parte de Seguridad. E necesario mantener ese marco regulado en los nuevos escenarios»

¿QUE DICE LA NORMA?

El comunicado del BCRA impone un cambio en la Sección 2 de las normas sobre “Expansión de entidades financieras” y la Sección 7 de las normas sobre “Requisitos mínimos de gestión, implementación, y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”. A su vez se complementa con otro comunicado, el BCRA 6375.

Específicamente, las entidades financieras podrán contratar, en forma total o parcial, Servicios de Tecnología Informática (STI) provistos por terceros, siempre que se refieran a actividades tales como:

• Infraestructura de Tecnología y Sistemas (SIS).
• Procesamiento de Datos (SPD).
• Soporte, Prevención y Mantenimiento (SPM).
• Comunicaciones (STC).
• Almacenamiento y Custodia (SAC).
• Desarrollo de Aplicaciones (SDA).
• Contingencia y Recuperación (SCR).

Algunos de los puntos destacados de la norma, son:

• Las entidades financieras podrán descentralizar y/o tercerizar actividades tales como administración, servicios de Tecnología Informática, archivo, imprenta, etc., previa comunicación a la Superintendencia de Entidades Financieras y Cambiarias (SEFyC).
• Dicha descentralización puede ser en instalaciones propias, de la casa matriz o controlante, con recursos técnicos y humanos propios o de terceros. También puede tercerizar en instalaciones de terceros con recursos técnicos y humanos propios o de terceros.
• Las actividades descentralizadas y/o tercerizadas estarán sujetas a las regulaciones técnicas correspondientes a la naturaleza y tipo de actividades. En el contrato de tercerización o acuerdo de servicio de descentralización deberá estar expresamente estipulada la aceptación de cumplimiento de estas condiciones y también la facultad del SEFyC para auditar periódicamente el cumplimiento de estas condiciones. Tanto las entidades financieras como aquellas en las que se tercerice, deberán permitir el acceso de los agentes que designe el SEFyC.
• Los agentes en los que se descentralice o tercerice Servicios de Tecnología Informática deberán comprometerse a realizar auditorías internas (como mínimo, una por año), y remitir los informes de esos auditores externos con motivo de sus revisiones sobre actividades descentralizadas o tercerizadas.
• Deberán mantenerse en la República Argentina los libros y registros contables originales establecidos por las disposiciones legales vigentes, que permitan tanto a la entidad local como a la SEFyC reconstruir y verificar las operaciones y negocios en cualquier momento. También el archivo de la información entregada y los documentos firmados por los clientes, que respalden las operaciones activas y pasivas. Además deberán quedar en el país legajos de deudores, documentos y garantías que respalden las financiaciones vigentes, entre otros documentos.
• En el caso de descentralización en el Exterior, rigen condiciones específicas en línea con las disposiciones del Grupo de Acción Financiera Internacional contra el Lavado de Dinero (FATF-GAFI) y el Comité de Supervisión Bancaria de Basilea. Tampoco debe constituirse en países no considerados “cooperadores a los fines de la transparencia fiscal”.
• En el caso de descentralización en el Exterior, se deberá establecer un único entorno de control de administración y operación de la tecnología informática y los sistemas de información, que en todo momento permita ejercer el control directo de todas las actividades descentralizadas mediante tecnología implementada en una única locación, cuando la descentralización de actividades se efectúe en una o más locaciones.

La norma establece además que las entidades financieras y los prestadores de los STI tercerizados deben poseer la funcionalidad y propósito descriptos en los Procesos de Seguridad, que incluyen Gobierno de la Seguridad de la Información, Control de Acceso, Integridad y Registro, Monitoreo y Control, Gestión de Incidentes, y Continuidad de Operaciones, entre otros.

POSIBLES OPORTUNIDADES

Mac Loughlin considera que se abren numerosas oportunidades, algunas de las cuales se relacionan con la gestión centralizada de recursos distribuidos sobre múltiples nubes (piénsese en comunicaciones, almacenamiento, procesamiento de datos provistos desde varias nubes), y también con los servicios de valor agregado que se puede montar sobre estos servicios de nube. Para el hombre de Logicalis, las oportunidades podrían pasar, en primera instancia, por el procesamiento y el storage. “Y no sólo por costos y velocidad, sino por una cuestión de capacidad de integración”. La idea detrás de esta afirmación se relaciona con el acceso a distintas fuentes de información y servicios de análisis en múltiples nubes para desarrollar inteligencia de negocios (típicamente: conocer mejor a los clientes, saber qué quieren y qué necesitan, direccionar mejor las promociones).

La nube también permite agilizar trámites, estableciendo una relación más dinámica y resolutiva con los clientes, que además permite despapelizar las entidades (por ejemplo, con el llenado de formularios y la presentación de la documentación en línea, y capacidades de seguimiento del trámite que garantizan una mayor transparencia de cara al cliente). Este tipo de dinámica también apunta a bajar los costos de las transacciones, del mismo modo en que viene sucediendo con la banca móvil y hogareña.

El mayor impacto de estas nuevas herramientas (sobre todo Infraestructura y Plataforma como Servicios) tendrá incidencia indirecta en el Time to Market, e indirecta en la Experiencia del Usuario. Mac Loughlin considera, sin embargo, que primero “hay que entender, desde el punto de vista consultivo, cuál será la estrategia o master plan para poder comenzar a migrar los servicios. Cada banco tendrá su identidad y verá qué servicios le conviene migrar y cuáles no”.