Para analizar las posibilidades de que la tecnología cloud computing pueda ser adoptada por las entidades bancarias Argentinas, es conveniente hacer un repaso de las principales normas que regulan la actividad.
En primer lugar la actividad financiera está regulada por la ley 21.526 y sus modificatorias.
Uno de los puntos importantes a tener en cuenta es el establecido en el artículo 39 que obliga a las entidades a mantener el “secreto bancario”, que les impide “revelar las operaciones pasivas que realicen” con sus clientes, a excepción de requerimientos judiciales, del Banco Central de la República Argentina (BCRA) u organismos recaudadores. En otros términos, las entidades están obligadas a mantener la confidencialidad de los datos de sus clientes.
El BCRA, como entidad de contralor, ha emitido una serie de comunicaciones de cumplimiento obligatorio por las entidades financieras, en materia de tecnología y seguridad informática. Entre estas se destacan las comunicaciones A 4609/06, 5374/12 [1], [2]. Es importante señalar que la Com. A 4609, en su sección 7 prevé la posibilidad de que las entidades financieras deleguen “…en terceros actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas”.
Si bien la norma no es específica para la actividad de Cloud Computing, contiene ciertos puntos que le son aplicable como la responsabilidad del directorio de la entidad financiera en el análisis de los riesgos de delegar actividades en terceros, requisitos formales que debe reunir la contratación del proveedor, así como el control y auditorías que la entidad debe realizar al proveedor, entre otras.
En cuanto a la Com. A 5374, establece los requisitos de seguridad relacionados con los canales electrónicos utilizados por las entidades financieras para dar servicios a sus clientes (control de acceso, integridad y registro, monitoreo y control, gestión de incidentes).
Por otra parte, las entidades están alcanzadas por la ley 25.326 de protección de datos personales. En particular en los siguientes artículos:
Artículo 2
Define conceptos tales como datos personales y sensibles, los medios de archivo sean electrónicos o no, el tratamiento de los datos a través del procesamiento electrónico o automatizado y el responsable del archivo, base o banco de datos.
Artículo 9
Referido a la seguridad de los datos, reafirma que el “responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas” para garantizar “la seguridad y confidencialidad de los datos personales”, a la vez que prohíbe el registro de datos personales en archivos o registros “que no reúnan las condiciones técnicas de integridad y seguridad”
Artículo 10
Establece el concepto de “deber de confidencialidad” según el cual el responsable del archivo o banco de datos o terceros intervinientes en el proceso, están obligados a mantener en secreto de los mismos. Solo releva de este secreto cuando hay a un requerimiento judicial o por razones “seguridad pública, la defensa nacional o la salud pública” [8].
Artículo 11
Fija las condiciones para realizar la cesión de datos. La cesión se conforma cuando todo o una parte de una base de datos es entregada por el cedente, que es el titular de la base de datos personales, a un cesionario, con la limitación de que los datos cedidos sean utilizados dentro de los fines relacionados con los intereses legítimos del cedente y cesionario.
Dos consideraciones importantes a tener en cuenta, son que el cedente debe contar “con el previo consentimiento del titular de los datos”, pudiendo ser este consentimiento revocado en cualquier momento, y además, que es responsable solidario con el cesionario del cumplimiento de la Ley 25.326.
Artículo 12
Prohíbe la transferencia de datos personales de cualquier tipo “con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados”. Se excluye explícitamente de esta obligación a las transferencias bancarias o bursátiles en lo referido a la transacción propiamente dicha. Sobre este punto en particular, el decreto del Poder Ejecutivo Nacional 1558/2001 reglamentario de esta ley, faculta a la Dirección Nacional de Datos Personales a evaluar de oficio o a pedido de un interesado, el nivel de protección que proporciona un país u organismo internacional a los datos a fin de autorizar la transferencia de los mismos. Es importante tener en cuenta que para la Argentina, Estados Unidos, es considerado un país donde la normativa vigente no ofrece un nivel adecuado de protección, por lo que la transferencia de datos desde Argentina hacia Estados Unidos requiere, en cada caso, de un pedido de autorización a la Dirección Nacional de Protección de Datos Personales (DNPDP). Este no es un tema menor, pues cada organización que quiera transferir datos hacia Estados Unidos debe solicitar una evaluación de parte de la DNPDP.
Posibilidades concretas de aplicar cloud computing en las entidades bancarias
Es una tendencia clara en las organizaciones a ser más eficientes, es decir brindar más y mejores servicios a sus clientes optimizando sus costos.
Las entidades bancarias del mercado argentino, aún con las ventajas que ofrece el modelo Cloud Computing, no lo han adoptado masivamente, y las que han comenzado a incursionar, lo han hecho en aplicaciones no vinculadas al core business, como el mail corporativo, soluciones de productividad y colaboración, aplicaciones de oficina.
Migrar a la “nube” las aplicaciones core, es evidentemente un paso crítico, y las nuevas tecnologías requieren de un proceso de maduración del mercado y de los proveedores antes de que sean adoptadas en forma masiva, y más aún si son disruptivas, como es el caso de Cloud Computing.
También generan innovación desde el punto de vista organizativo, al tener que reconvertir al personal técnico de las áreas de IT, dedicado a gestionar operativamente los recursos informáticos de la entidad, para cumplir tareas más orientadas a auditoría y control, que a tareas operativas.
Otro aspecto importante es que los principales oferentes de los servicios en la nube tienen sus centros de datos fuera del territorio nacional, por lo que condiciona a las entidades a asumir el riesgo de llevar sus aplicaciones y datos de negocio a la nube, debido a que estos podrían estar en jurisdicciones que no son consideradas adecuadas desde el punto de vista de protección de los datos para las autoridades argentinas.
La adopción de la Cloud Computing, será un proceso que los bancos no podrán ignorar, y para el cual se presentan diferentes estrategias.
Estrategias para que la banca adopte el Cloud Computing
a) Software as a Service para aplicaciones no críticas del negocio
Llevar a la nube bajo la modalidad de Software as a Service (SaaS), las aplicaciones “no core” y no diferenciadoras de una entidad a otra en cuanto al proceso de negocio.
Entre estas aplicaciones se encuentran las herramientas de productividad, colaboración y comunicación unificada (mail, software de oficina, calendario, almacenamiento compartido, etc.).
Asimismo, se considera dentro de este alcance, otras aplicaciones para la gestión de compras y stock, gestión de recursos humanos, service desk, gestión de proyectos, entre los más comunes. En un nivel más avanzado, también puede incluirse dentro de esta estrategia, la utilización bajo la forma de SaaS de herramientas de CRM.
Se considera a éste como un primer paso hacia Cloud Computing, y que permite a las entidades ganar confianza en esta tecnología.
b) Infraestructura como servicio (IaaS)
Esta modalidad de servicio, se considera viable para los bancos, y aplicable para los siguientes casos de uso:
I. Configuración de ambientes para desarrollo y prueba de aplicaciones
En este caso las ventajas no solo están desde el punto de vista económico, dado que la entidad no debe mantener inversiones en este tipo de plataformas, sino que adicionalmente estos ambientes pueden ajustarse dinámicamente dependiendo de los requerimientos del momento.
II. Configuración de un ambiente de recovery
Este es quizás el más avanzado, dado que implica tener la infraestructura de IT que respalda los ambientes productivos, en un proveedor. Esta opción la visualizamos como el paso previo a la migración a una public cloud de todo el entorno productivo bajo la forma IaaS.
c) Community Cloud
Considerando las ventajas que brinda una economía de escala, otra opción es el desarrollo de una community cloud conformada por aquellas entidades nacionales, medianas o chicas en función de su volumen de cuentas y transacciones, y que además aplican políticas comunes de seguridad de la información. Esta community cloud, podría ser gestionada por un tercero, pero bajo las directivas de seguridad y control de los bancos propietarios de la community cloud.
Esta estrategia también es aplicable a las entidades financieras públicas, en razón de que comparten políticas financieras, y por las características que en tienen en común por ser propiedad de entidades gubernamentales. Los aspectos de seguridad física y lógica, y de alta disponibilidad de los servicios informáticos “on site” y “off site”, adquieren en este escenario una importancia significativa, pues cualquier incidente de seguridad o que afecte la disponibilidad de los servicios informáticos pone en riesgo la operación de varias entidades en el mercado.
d) Private Cloud
Este modelo también puede ser implementado por grandes entidades que operan en el mercado argentino, y en particular las que tienen filiales en otros países de la región, manteniendo de esta forma el control directo de los aspectos sensibles de seguridad, y a la vez obtener las ventajas del modelo Cloud.
Conclusión.
El modelo de Cloud Computing tiene aportes importantes desde el punto de vista de optimización de costos y de actualización tecnológica, beneficiando no solo a las entidades, sino también a la sociedad en general, debido a la oferta de productos y servicios tecnológicamente más avanzados y a menor costo por transacción para el usuario/cliente final. Medidas de este tipo contribuyen también, a una mayor bancarización de la sociedad.
En materia de entidades financieras públicas, la implementación de una community cloud, más allá de las ventajas económicas y técnicas mencionadas anteriormente, podrían constituirse en un caso testigo, para el desarrollo de una estrategia en materia de Cloud Computing que incluya a todos los organismos del Estado Nacional.
Sin embargo aún persisten ciertas observaciones respecto de la seguridad y confidencialidad de los datos, y cómo el gobierno de IT de una entidad financiera se ve afectado por la delegación de su infraestructura IT y aplicaciones, a la gestión de un tercero.
Por otra parte, el hecho de que grandes cloud providers (Google, Microsoft, Amazon, etc.) no cuenten con infraestructura de data center dentro de los límites del país, implica una barrera para su adopción.
Otro elemento a tener en cuenta, es la arquitectura de sus aplicaciones core, muchas de ellas corren en entornos propietarios y tienen un alto grado de personalización, lo cual hace más complejo el proceso de migrar a soluciones de software existentes en la nube. Asimismo, y en materia regulación pública aplicable a las entidades financieras, será necesaria una revisión y actualización del marco regulatorio vigente para fijar los criterios y estándares que deberán tener en cuenta las entidades al momento de optar por Cloud Computing. No obstante, en opinión del autor, mientras esta adecuación normativa se produce, los bancos migrarán hacia Cloud Computing todos aquellos servicios en los cuales no vean riesgos de pérdida de confidencialidad de los datos sensibles de su operación o no sean diferenciadores de los servicios que ofrecen, integrándose con su plataforma on premise. Difícilmente opten por migrar a una public cloud sus aplicaciones críticas.
Autores: Héctor Noceti , Anibal Freijo. Cloud Computing. Su aplicación en la banca privada argentina.