Respecto al anteproyecto de Modificaciones y adiciones a las “Disposiciones de carácter general en materia financiera de los sistemas de ahorro para el retiro” (“Anteproyecto”) queremos expresar nuestra preocupación por únicamente incluir como opciones para realizar los procedimientos de respaldo la utilización de un Centro Alterno de Datos, espejeo de información o servicios de nube privada. Desde nuestro punto de vista, un modelo regulatorio que se enfoca en la utilización de un solo tipo de nube, y en específico de nube privada, obstaculiza la utilización de otro tipo de tecnologías lo que a su vez frena la innovación para el sector regulado. La adopción de servicios de nube, en específico de nube pública, en la industria de servicios financieros se ha acelerado en los últimos años, lo que se traduce en una mayor seguridad y flexibilidad para las entidades reguladas. A nivel mundial, los diferentes sectores que componen el sistema financiero, incluidas las administradoras de fondos para el retiro, están aprovechando los servicios de nube pública para aumentar su capacidad informática, reducir costos, innovar y mejorar la resiliencia y seguridad de sus aplicaciones, incluyendo controles sofisticados de protección contra ciberataques. Por lo anterior, nos permitimos hacerles llegar algunas consideraciones y sugerencias, así como algunas clarificaciones sobre lo que es el cómputo en la nube pública. En ese sentido, se le solicita a la CONSAR se agregue la utilización de servicios de nube pública como una de las opciones para realizar los procedimientos de respaldo que se mencionan en el inciso c) del numeral 7 de la fracción IV que detalla los requerimientos mínimos para el Plan de Recuperación de Desastres y Plan de la Continuidad de Negocio (Business Continuity Plan o BCP, por sus siglas en inglés). Es indispensable que no se limite el requerimiento a únicamente la utilización de nube privada, ya que se estaría limitando el beneficio que las instituciones reguladas podrían obtener de la utilización de otro tipo de tecnologías, específicamente del uso de servicios de nube pública. La nube publica brinda a las entidades reguladas opciones de recuperación ante desastres o de continuidad de negocio que tienen costos mucho más bajos, mediante procesos más eficientes y ágiles, diseñando e implementando arquitecturas bajo un esquema de utilización de múltiples sitios o centros de datos, que -independientemente de su localización geográfica - permite a las entidades reguladas mantener el acceso y control de las copias de seguridad de datos para proveer información directamente al regulador o realizar cualquier proceso de verificación que sea requerido. Es importante tener en cuenta que los beneficios que ofrece una infraestructura de nube privada se limitan a su método de implementación. Las nubes públicas ofrecen seguridad, resiliencia, flexibilidad y una amplia variedad de servicios porque se dedican en exclusiva a escalar y mejorar sus ofertas. También los clientes usuarios de nube pública obtienen más innovación, acceso a una comunidad global y experiencia operativa demostrada. Los proveedores de servicios de computación en la nube (CSPs, por la sigla en inglés), y el sector de servicios financieros comparten un interés común en mantener la resiliencia operativa; por ejemplo, la capacidad de proporcionar un servicio continuo a pesar de las interrupciones. La continuidad del servicio, especialmente para las instituciones financieras, es un requisito previo clave y los proveedores de servicios de nube pública reconocen que las instituciones financieras que utilizan sus servicios deben cumplir las obligaciones reglamentarias específicas del sector y los requisitos internos en relación con la resiliencia operativa. En este punto es importante resaltar que las infraestructuras de nube pública están diseñadas para que los clientes puedan implementar arquitecturas altamente resilientes, es decir, para alcanzar los niveles de disponibilidad y resiliencia requeridos, incluso para las aplicaciones de misión crítica que prácticamente no requieren tiempo de inactividad. El diseño de los servicios de cómputo en la nube permite a los clientes desarrollar una arquitectura robusta, redundante, de alta disponibilidad y resiliencia utilizando la infraestructura global de centros de datos para mitigar los posibles riesgos de “no-disponibilidad” o los que se presenten en casos de desastres naturales que afecten a un centro de datos. Resulta relevante mencionar que el control de los datos lo tienen los clientes y son ellos los que determinan dónde almacenarlos y procesarlos, asimismo, pueden transferirlos a otros CSPs o bien realizar el cambio a un centro de datos “on-premises” en cualquier momento. Los CSP ayudan a entidades y clientes de la industria financiera a adoptar los servicios de nube para innovar, modernizar y transformar sus entornos digitales, incluyendo compañías de mercados de capitales y seguros, bancos globales de inversión, y empresas startup del sector tecnológico-financiero “Fintech” y de pagos. Como resultado de la adopción de la nube pública, las entidades reguladas pueden ofrecer soluciones innovadoras, reinventar y optimizar su relación con la tecnología para disminuir los plazos de lanzamiento al mercado, mejorar la experiencia de sus clientes y usuarios, ser más eficientes y reducir costos, crear o aumentar su participación en nuevos segmentos de mercado, aumentar sus niveles de disponibilidad así como para automatizar y fortalecer la seguridad y protección de los datos financieros y personales de sus clientes y usuarios. De igual manera, los clientes tienen la opción de implementar mecanismos para replicar sus datos en varios centros de datos, para garantizar su operación con una resiliencia de alto nivel. La utilización del cómputo en la nube no representa riesgos sistémicos al sistema financiero. Como se explicó anteriormente, la arquitectura de la infraestructura de los CSPs es diseñada con múltiples redundancias y capacidades de escalamiento, flexibilidad y seguridad automatizadas. Es por esto que todo tipo de organizaciones, desde las dedicadas a tareas de seguridad nacional o militar, hasta bancos globales y otras instituciones con tareas e información altamente sensible, confían en los servicios de cómputo en la nube. Los cientos de herramientas para seguridad, cumplimiento y gobernanza que cada uno de los CSPs ofrece, hace que el uso del cómputo en la nube, bajo arquitecturas bien diseñadas, de hecho, reduzca los riesgos al sistema financiero, en comparación con la tecnología tradicional de centros de datos. Los centros de datos de los CSP son seguros por diseño y operan de acuerdo con las mejores prácticas internacionales de la industria. Los CSP realizan procesos continuos de evaluación de las amenazas potenciales, desde la definición de la localidad de las instalaciones de los centros de datos hasta la implementación de los controles para mitigar los riesgos relacionados a los sistemas, la tecnología y las personas. Además, los CSP se someten a rigurosas auditorías externas y han recibido las acreditaciones y certificaciones más influyentes y reconocidas internacionalmente sobre seguridad de la información y de sistemas, tales como ISO 27001, ISO 27017, ISO 27018, PCI-DSS, SOC 1, SOC 2, SOC 3, etc. Estos informes proporcionan transparencia adicional a la seguridad y disponibilidad basada en el estándar de las mejores prácticas de la industria, incluyendo los controles de seguridad física y los controles específicos para proveedores de servicios de nube, y demuestra el compromiso de los CSP de proteger los datos de sus clientes. Asimismo, los CSP ayudan a que sus clientes cumplan con sus propios requisitos de auditoría y regulatorios, y les brindan la información necesaria para que sus clientes puedan, por ejemplo, realizar el análisis de riesgo y evaluación de los controles del CSP, al mismo tiempo que les permiten enfocarse en la definición y mantenimiento solamente de los controles que les corresponden de acuerdo con el modelo de responsabilidad compartida, aumentando la eficiencia de sus procesos internos. Conclusión En vista de lo aquí presentado, consideramos que es fundamental que se agregue la utilización de servicios de nube pública como una de las opciones para realizar los procedimientos de respaldo que se mencionan en el inciso c) del numeral 7 de la fracción IV que detalla los requerimientos mínimos para el Plan de Recuperación de Desastres y Plan de la Continuidad de Negocio (Business Continuity Plan o BCP, por sus siglas en inglés) del Anteproyecto, para que se ponga a la escoja de las Administradoras. Agradecemos de antemano la atención prestada por el Regulador a nuestros comentarios y sugerencias y quedamos a su disposición para aclarar cualquier consulta que les pueda surgir a este respecto.