Servicios de almacenamiento en la nube en la mira de reguladores financieros

Los reguladores financieros han mostrado preocupación y buscan regular los servicios de almacenamiento en la nube para las empresas financieras 

Luis Méndez Zaldívar

Ante un aumento en la demanda de servicios de almacenamiento en la nube, los bancos centrales —como la Reserva Federal de Estados Unidos, la Unión Europea, el Banco de Inglaterra y el Banco de Francia— en su papel de reguladores financieros manifiestan su preocupación por los riesgos que acarrean estas tecnologías para el sistema de pagos.

¿Qué es almacenamiento de nube?

Es un término que se utiliza para describir una red mundial de servidores, cada uno con una función única. La nube no es una entidad física, sino una red enorme de servidores remotos de todo el mundo que están conectados para funcionar como un único ecosistema.

El gasto en servicios de almacenamiento en la nube aumentó 12.5% en el primer trimestre de 2021, es decir 15,100 millones de dólares, según datos de International Data Corporation (IDC). 

Los principales proveedores de servicios de almacenamiento en la nube son Amazon Web Services, Microsoft, Salesforce.com, Google y Oracle, las dos primeras compañías compiten por la primera posición en todo el mercado de servicios de nube pública según datos recabados por IDC en el año 2020, un mercado con ingresos totales de 312,000 millones de dólares durante 2020.

Fuente: IDC

Amazon Web Services, en las nubes

Amazon Web Services (AWS) afirma tener el servicio más flexible y seguro para brindar el mejor almacenamiento en la nube, su infraestructura está creada para cumplir con los requisitos de confidencialidad necesarios para agentes como el ejército, bancos financieros entre los que se encuentran BBVA, HSBC, Bank al Etihad, Starling Bank  y otros organismos. 

También te puede interesar: Con regulaciones a tecnológicas, China abraza al socialismo 

Empresas en el sector financiero como  NASDAQ, Coinbase, Fidelity Labs entre muchas otras, relatan su experiencia con el servicio AWS de Amazon, como en el caso de Coinbase: “El uso de AWS Step Functions y AWS Lambda ha incrementado nuestro índice de implementaciones críticas exitosas de 90 a 97%”, afirma Jenson, ingeniero de infraestructura.

“Pudimos asumir fácilmente el salto de 30,000 millones de registros a 70,000 millones de registros al día gracias a la flexibilidad y la escalabilidad de Amazon S3 y Amazon Redshift”, señala Robert Hunt, vicepresidente de ingeniería de software, NASDAQ.

Por último, las palabras de Adam Schouela, director de tecnología emergente en Fidelity Labs: “Con Amazon Sumerian, podemos comercializar en muchos navegadores, cascos de realidad virtual y teléfonos móviles mucho más rápido que antes”.

Por lo tanto, las empresas que ofrecen servicios de almacenamiento en la nube y las compañías que las contratan mencionan en los testimonios que este servicio beneficia a todos. 

Google y el servicio de almacenamiento en la nube 

La encuesta realizada por Google a 1,300 líderes en la industria de servicios financieros  demuestra que las empresas aún están en proceso de trasladar su información a servicios de almacenamiento de nube, muchas de estas compañías financieras aún no lo hacen por las regulaciones propuestas en este tema, 84% expresó que las revisiones y aprobaciones regulatorias tardan demasiado debido a la fragmentación que existe entre los organismos reguladores, en tanto 78% asegura que la incertidumbre regulatoria impide que sus organizaciones quieran adoptar este sistema de almacenamiento, además 38% respondió que la inversión en recursos para el proceso de aprobación desincentiva a las compañías a querer migrar a esta tecnología de resguardo de información. 

Respecto a la seguridad que solicitan los servicios financieros, la encuesta reporta que 83% está en proceso de implementar el sistema de alojamiento de datos en la nube, la elección por el servicio de nube híbrida es la más predominante con 38%, le sigue la nube única con 28% y por último la nube múltiple con 17 por ciento. Cabe destacar que 88% de los encuestados se plantea la posibilidad de adquirir este servicio ya que ven un potencial en él.

¿Qué es nube pública, privada, híbrida y múltiple?

La nube pública es el modelo en el que los servicios en la nube están disponibles virtualmente a través de Internet para los usuarios y son operados por un proveedor de servicios en la nube.

La nube privada es cuando los recursos informáticos se dedican a una sola empresa en lugar de compartirlos entre empresas, como es el caso de la nube pública.

La nube híbrida combina las capacidades de la nube pública y privada, normalmente de forma interoperable y orquestada.

Nube múltiple o multinube es cuando las empresas pueden seguir una estrategia de “múltiples nubes” en la que una organización utiliza servicios de múltiples proveedores de nube pública. 

La encuesta emite una serie de recomendaciones para los reguladores financieros, entre éstas señalan que “podrían tomar decisiones para proporcionar claridad y orientación adicionales, como alinear las revisiones regulatorias entre agencias para evitar la fragmentación; el desarrollo de ‘puertos seguros’ regulatorios para los usuarios de la nube basados ​​en el cumplimiento de los estándares aceptados y las mejores prácticas; capacitar al personal regulador sobre tecnología emergente, y avanzar en los requisitos de informes de datos a través de la nube y tecnologías relacionadas”, se lee en el sitio web.

También te puede interesar: Bitcoin puede ser un riesgo para aseguradoras en El Salvador: Fitch Ratings   

Regulaciones por entidades financieras 

Ante los convenios entre proveedores de servicios de alojamiento de datos en la nube e instituciones financieras, los reguladores financieros como la Comisión Europea buscan proponer condiciones que mitiguen los riesgos que implica resguardar datos y servicios económicos en el almacenamiento de nube. Un ejemplo de ello, es el Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE.

Las empresas que ofrezcan los servicios de almacenamiento de nube deben cumplir con los artículos 3. mera transmisión, 4. memoria tampón y 5. alojamiento de datos dispuestos en el “Capítulo II. Responsabilidad de los prestadores de servicios intermediarios”.

Artículo 3.

Cuando se preste un servicio de la sociedad de la información que consista en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en facilitar el acceso a una red de comunicaciones, no se podrá considerar al prestador del servicio responsable de la información transmitida, a condición de que el prestador del servicio:

  • No haya originado él mismo la transmisión.
  • No seleccione al receptor de la transmisión.
  • No seleccione ni modifique la información transmitida.
Artículo 4.

Cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones información facilitada por un destinatario del servicio, el prestador del servicio no podrá ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de éstos, a condición de que:

  • El prestador de servicios no modifique la información.
  • El prestador de servicios cumpla las condiciones de acceso a la información.
  • El prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de una manera ampliamente reconocida y utilizada por el sector.
  • El prestador de servicios no interfiera en la utilización lícita de tecnología, ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información.
  • El prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o inhabilitar el acceso a la misma, en cuanto tenga conocimiento efectivo del hecho de que la información contenida en la fuente inicial de la transmisión ha sido retirada de la red, de que se ha inhabilitado el acceso a dicha información o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella.
Artículo 5

Artículo 5. Cuando se preste un servicio de la sociedad de la información consistente en almacenar información facilitada por un destinatario del servicio, el prestador de servicios no podrá ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que el prestador de servicios:

  • No tenga conocimiento efectivo de una actividad ilícita o de un contenido ilícito y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o el contenido revele su carácter ilícito.
  • En cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar el contenido ilícito o inhabilitar el acceso al mismo.

También te puede interesar: Tecnología y educación, bajo el escrutinio del Partido Comunista 

El sistema de Reserva Federal de Estados Unidos (Fed) publicó la guía sobre la gestión del riesgo de subcontratación, ésta tiene por objetivo resaltar los riesgos potenciales que surgen del uso de proveedores de servicios y para describir los elementos de un programa apropiado de gestión de riesgos del proveedor de servicios.

También el Banco Central de Inglaterra ha opinado sobre la dependencia que existe por parte de las instituciones financieras hacia un puñado de prestadores de servicios en la nube, estas empresas imponen términos y condiciones en los contratos con las instituciones financieras y no otorgan información suficiente a sus clientes, así lo afirmó el gobernador del Banco Andrew Bailey:

“Es por eso que tenemos una preocupación, y tenemos que mirar con cuidado, porque ese poder concentrado en los términos (y condiciones) puede manifestarse en forma de secreto, opacidad (y) no proporcionar a los clientes el tipo de información que usted necesita para poder monitorear los riesgos en el servicio”, dijo el gobernador, “y hemos visto algo de eso sucediendo”, además añadió que  “a medida que se vuelven más integrales al sistema, tenemos que tener más seguridad de que están cumpliendo con los niveles de resiliencia que necesitamos”, reporta el medio The Guardian.

El alto comité jurídico del centro financiero de París realizó un reporte donde informan sobre los problemas que puede presentar el almacenar información bancaria en la nube, entre algunos de estos problemas destacan que lo consideran un mercado oligopolístico,es decir, que pocas empresas dominan el mercado de venta de servicios de alojamiento de datos, también pueden existir comportamientos anticompetitivos y problemas de seguridad.

La expansión de los servicios de alojamiento de información en la nube continuará, según datos de IDC se espera que en el transcurso de 2021 a 2025 la tasa de crecimiento anual compuesta  sea de 11.3%, lo que permitirá alcanzar la cifra de 112.9 millones de dólares dentro de cuatro años.