Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Requisitos del artículo 28 de DORA: Por qué los bancos del Reino Unido necesitan estrategias de salida documentadas para servicios TIC de terceros

Requisitos del artículo 28 de DORA: Por qué los bancos del Reino Unido necesitan estrategias de salida documentadas para servicios TIC de terceros

by Danielle Barbour updated mayo 24, 2026 Riesgo de Terceros
Reading Time: 7 minutes

Las instituciones financieras de todo el Reino Unido enfrentan una presión creciente para demostrar un control integral sobre sus relaciones con terceros de TIC. El Artículo 28 de DORA establece requisitos específicos para estrategias de salida documentadas que permitan a los bancos finalizar relaciones con proveedores críticos sin poner en riesgo la continuidad operativa ni el cumplimiento normativo.

El reto va más allá de las cláusulas básicas de terminación de contrato. Los bancos deben demostrar que pueden ejecutar una migración completa de datos, mantener la continuidad del servicio y conservar la documentación regulatoria durante las transiciones de proveedores. Esta complejidad operativa exige una planificación arquitectónica que muchas instituciones aún no han implementado de manera efectiva.

Este análisis examina cómo los bancos del Reino Unido pueden construir estrategias de salida defendibles que cumplan con los requisitos del Artículo 28 de DORA y, al mismo tiempo, mantengan la agilidad necesaria para relaciones competitivas con terceros.

Aplicabilidad de DORA a los bancos del Reino Unido tras el Brexit

DORA es un reglamento de la UE y no se aplica directamente a todos los bancos del Reino Unido por defecto. Sin embargo, el alcance de la regulación en el sector financiero británico es más amplio de lo que puede parecer inicialmente, por lo que las instituciones deben evaluar cuidadosamente su exposición específica.

Los bancos británicos con sucursales, filiales o entidades reguladas en Estados miembros de la UE están sujetos directamente a DORA y deben cumplir plenamente con sus requisitos, incluidas las disposiciones sobre estrategias de salida del Artículo 28. De igual forma, las empresas del Reino Unido que prestan servicios TIC a instituciones financieras de la UE como proveedores externos pueden quedar dentro del ámbito de DORA si esos servicios se consideran críticos o importantes según los criterios de clasificación de riesgos de la regulación.

Para las instituciones exclusivamente británicas, sin operaciones en la UE ni relaciones de servicios TIC orientadas a la UE, la obligación legal directa no aplica. Sin embargo, la FCA y la PRA han mostrado una clara alineación con los principios de DORA a través de sus propios marcos de resiliencia operativa, como SS2/21 y PS6/21, que imponen expectativas comparables en la gestión de riesgos de terceros, planificación de salidas y continuidad del servicio. Por tanto, los bancos del Reino Unido deben tratar los estándares del Artículo 28 de DORA como indicativos de la dirección de las expectativas regulatorias nacionales, estén o no formalmente dentro del alcance.

Resumen ejecutivo

El Artículo 28 de DORA exige que las instituciones financieras mantengan estrategias de salida integrales para todos los servicios críticos de terceros TIC, incluyendo planes detallados de portabilidad de datos, medidas de continuidad del servicio y preservación del cumplimiento normativo. Los bancos británicos deben demostrar que pueden ejecutar transiciones de proveedores sin interrupciones operativas ni brechas de cumplimiento, lo que requiere enfoques arquitectónicos que integren la preparación para la salida desde el inicio de la relación con terceros y no como un aspecto secundario del contrato.

Puntos clave

  1. Mandatos del Artículo 28 de DORA. Exige estrategias de salida integrales para servicios críticos de terceros TIC, incluyendo portabilidad de datos, continuidad del servicio y preservación del cumplimiento normativo.
  2. Exposición de los bancos británicos. Aplica directamente a instituciones con operaciones en la UE o servicios TIC a empresas de la UE; el resto debe alinearse con expectativas equivalentes de resiliencia operativa de la FCA y la PRA.
  3. Elementos clave de la estrategia de salida. Requieren clasificación de datos, formatos estandarizados de migración, identificación de proveedores alternativos y preservación continua de registros auditables durante las transiciones.
  4. Preparación arquitectónica proactiva. La planificación de la salida debe integrarse en la gobernanza de terceros desde el inicio para garantizar seguridad, cumplimiento y continuidad operativa bajo la supervisión regulatoria.

Componentes críticos de las estrategias de salida conformes a DORA

Los bancos deben diseñar estrategias de salida que aborden múltiples dimensiones operativas de manera simultánea. Los requisitos del Artículo 28 de DORA van más allá de la gestión contractual tradicional para abarcar soberanía de datos, continuidad del servicio y preservación de la documentación regulatoria durante las transiciones de proveedores.

Las estrategias de salida efectivas comienzan con una clasificación integral de datos que identifique todos los flujos de información entre el banco y los proveedores externos. Este mapeo debe incluir no solo los repositorios de datos principales, sino también metadatos, registros auditables y documentación de cumplimiento que las autoridades regulatorias esperan que permanezcan accesibles durante y después de las transiciones de proveedores.

La planificación de la continuidad del servicio exige que los bancos identifiquen mecanismos alternativos de entrega para cada función crítica proporcionada por proveedores externos. Este análisis debe considerar la compatibilidad técnica, los plazos de aprobación regulatoria y las limitaciones de capacidad operativa que podrían retrasar la ejecución de la transición.

Portabilidad de datos y planificación de migración

La portabilidad de datos representa uno de los aspectos técnicamente más complejos de las estrategias de salida conformes a DORA. Los bancos deben asegurarse de poder extraer, validar y migrar todos los datos relevantes sin comprometer la integridad ni la trazabilidad regulatoria.

Una planificación de migración de datos efectiva requiere formatos de exportación estandarizados que mantengan la continuidad de los registros auditables y la precisión del mapeo regulatorio. Los bancos necesitan mecanismos para verificar la integridad de los datos durante la extracción y garantizar que la información confidencial permanezca protegida durante todo el proceso de migración.

Los plazos de migración deben considerar los requisitos de aprobación regulatoria, los procedimientos de validación técnica y las pruebas operativas que demuestren la capacidad de prestación de servicios equivalente. Muchos bancos subestiman la coordinación necesaria entre equipos internos, proveedores salientes y nuevos proveedores durante estas transiciones.

Continuidad del servicio y provisión alternativa

La planificación de la continuidad del servicio exige que los bancos identifiquen alternativas viables para cada función crítica antes de establecer relaciones con terceros. Este enfoque proactivo permite ejecutar transiciones más rápidamente y reduce el riesgo operativo durante los cambios de proveedor.

El análisis de la provisión alternativa debe evaluar la compatibilidad técnica, el estatus de cumplimiento normativo y la capacidad operativa de los posibles proveedores de reemplazo. Los bancos deben mantener evaluaciones actualizadas de alternativas en el mercado, incluyendo estructuras de costos y plazos de implementación que respalden una transición rápida cuando sea necesario.

Las pruebas de continuidad validan que los proveedores alternativos pueden ofrecer niveles de servicio equivalentes sin comprometer el cumplimiento normativo ni la eficiencia operativa. Estas pruebas deben realizarse regularmente para asegurar que las opciones de reemplazo sigan siendo viables a medida que evolucionan tanto los requisitos del banco como las capacidades de los proveedores.

Preservación de la documentación regulatoria y registros auditables

El cumplimiento de DORA exige que los bancos mantengan registros auditables completos y documentación regulatoria durante las transiciones con terceros. Esta preservación va más allá de la simple retención de datos para incluir mapeos de cumplimiento, evaluaciones de riesgos y registros de monitoreo operativo que demuestren adhesión regulatoria continua.

Las estrategias de preservación documental deben garantizar que los registros auditables permanezcan accesibles y legalmente defendibles durante las transiciones de proveedores. Los bancos necesitan mecanismos para extraer registros de cumplimiento manteniendo su valor probatorio para exámenes regulatorios y procesos internos de gestión de riesgos.

La continuidad del mapeo regulatorio exige que los bancos demuestren que los proveedores de reemplazo pueden mantener una postura de cumplimiento equivalente sin brechas en la supervisión o la capacidad de reporte. Esta continuidad debe demostrarse mediante pruebas y procedimientos de validación que las autoridades regulatorias puedan examinar y verificar.

Alineación con marcos de cumplimiento

Las estrategias de salida deben demostrar cómo las transiciones de proveedores mantienen la alineación con los marcos regulatorios aplicables durante todo el proceso de cambio. Esta alineación requiere un mapeo detallado entre las capacidades del proveedor y las obligaciones específicas de cumplimiento que el banco debe satisfacer.

Los procedimientos de validación de cumplimiento deben verificar que los proveedores de reemplazo puedan ofrecer capacidades equivalentes de reporte regulatorio, monitoreo de riesgos y generación de registros auditables. Los bancos deben demostrar esta equivalencia mediante pruebas y documentación que las autoridades regulatorias puedan examinar durante los periodos de transición.

La alineación con los marcos se extiende a los requisitos de privacidad de datos, estándares de resiliencia operativa y expectativas de gestión de riesgos que las autoridades regulatorias supervisan de forma continua. Las estrategias de salida deben abordar explícitamente cómo se cumplen estas obligaciones durante los periodos de transición de proveedores.

Gestión del riesgo operativo durante las transiciones de proveedores

Las transiciones de proveedores introducen riesgos operativos que los bancos deben identificar, evaluar y reducir mediante una planificación y ejecución integral. Los requisitos del Artículo 28 de DORA enfatizan la importancia de mantener la resiliencia operativa durante los cambios en las relaciones con terceros.

Los procesos de identificación de riesgos deben captar los desafíos de integración técnica, las complejidades de migración de datos y las posibles brechas en la continuidad del servicio que puedan afectar la efectividad operativa durante las transiciones. Los bancos deben desarrollar registros de riesgos que contemplen tanto los desafíos previstos como escenarios de contingencia que requieran enfoques alternativos.

Las estrategias para reducir riesgos requieren coordinación entre equipos internos, proveedores salientes y nuevos proveedores para asegurar una transferencia de conocimientos fluida y una entrega de servicios sin contratiempos. Esta coordinación debe mantener los controles de seguridad y el cumplimiento normativo durante todo el proceso de transición.

Comunicación con partes interesadas y gestión del cambio

Las transiciones de proveedores efectivas requieren estrategias de comunicación integrales que mantengan informadas a todas las partes interesadas sobre el progreso, los desafíos y los ajustes de cronograma durante todo el proceso. Esta comunicación debe equilibrar la transparencia con los requisitos de confidencialidad que protegen información comercial y operativa sensible.

Los procesos de gestión del cambio deben asegurar que los equipos internos comprendan sus roles y responsabilidades durante las transiciones de proveedores, manteniendo el enfoque operativo en las actividades diarias. Los bancos deben proporcionar procedimientos claros de escalamiento para problemas que puedan poner en riesgo el éxito de la transición o el cumplimiento normativo.

La gestión de partes interesadas externas incluye la coordinación con autoridades regulatorias, socios comerciales y clientes que puedan verse afectados por los cambios de servicio durante las transiciones de proveedores. Los bancos deben desarrollar plantillas de comunicación y procesos de aprobación que aseguren mensajes consistentes y el cumplimiento de las obligaciones de divulgación.

Conclusión

El Artículo 28 de DORA representa un cambio sustancial en la forma en que las instituciones financieras deben gestionar las relaciones TIC con terceros: pasar de una gestión contractual reactiva a una preparación para la salida proactiva e integrada arquitectónicamente. Para los bancos británicos dentro del alcance, ya sea por operaciones en la UE, prestación de servicios TIC a empresas de la UE o por alineación con marcos equivalentes de la FCA y la PRA, las exigencias operativas y de cumplimiento son significativas.

Cumplir con estos requisitos exige más que actualizar los contratos con proveedores. Los bancos deben demostrar que la portabilidad de datos, la continuidad del servicio, la preservación de registros auditables y la integridad de la documentación regulatoria pueden mantenerse durante todas las transiciones de proveedores, incluso bajo condiciones de examen. Las instituciones que traten la planificación de salidas como un ejercicio posterior a la relación enfrentarán riesgos tanto operativos como regulatorios.

Construir estrategias de salida defendibles requiere integrar la preparación para la salida en la gobernanza de terceros desde el principio, respaldada por arquitecturas técnicas que mantengan el control de seguridad y cumplimiento sin importar qué proveedor preste el servicio subyacente. Las instituciones que actúen ahora estarán mejor posicionadas no solo ante la supervisión regulatoria, sino también para la agilidad comercial que permite una gestión eficaz de riesgos con terceros.

Protección de datos sensibles durante las transiciones de proveedores

La planificación de salidas tradicional suele centrarse en consideraciones contractuales y operativas, dejando de lado la importancia crítica de mantener la seguridad de los datos y el cumplimiento normativo durante las transiciones de proveedores. Los bancos necesitan enfoques arquitectónicos que integren controles de seguridad y preservación de registros auditables en cada aspecto de la gestión de riesgos con terceros.

La Red de Datos Privados de Kiteworks permite a los bancos mantener un control integral sobre los datos sensibles durante las transiciones de proveedores, proporcionando una arquitectura de confianza cero que protege la información independientemente del proveedor de servicios subyacente. Este enfoque asegura que las estrategias de salida puedan ejecutarse sin comprometer la privacidad de los datos ni los requisitos de documentación regulatoria.

Kiteworks ofrece registros auditables a prueba de manipulaciones que preservan la evidencia de cumplimiento normativo durante los cambios de proveedor, permitiendo a los bancos demostrar adhesión continua a los requisitos de DORA durante los periodos de transición. Los controles inteligentes de la plataforma garantizan que la información confidencial permanezca protegida y facilitan los requisitos de portabilidad y migración de datos que exigen las estrategias de salida efectivas. La plataforma está validada según los estándares FIPS 140-3, utiliza TLS 1.3 para datos en tránsito y está preparada para FedRAMP High, permitiendo a los bancos cumplir con los estándares técnicos de seguridad más exigentes requeridos por DORA y otras obligaciones de cumplimiento del sector financiero.

La integración con los flujos de trabajo existentes de SIEM, SOAR e ITSM permite a los bancos mantener la visibilidad operativa y la capacidad de gestión de riesgos durante las transiciones de proveedores. Esta integración garantiza que el monitoreo de seguridad y los reportes de cumplimiento continúen sin interrupciones, proporcionando la documentación y la evidencia que las autoridades regulatorias esperan durante los cambios en las relaciones con terceros.

Para descubrir cómo Kiteworks puede ayudar a tu institución a construir marcos de transición de proveedores conformes a DORA que mantengan la seguridad, el cumplimiento y la continuidad operativa durante los cambios críticos de relaciones con terceros, solicita una demo personalizada.

Preguntas frecuentes

El Artículo 28 de DORA exige que las instituciones financieras mantengan estrategias de salida integrales para todos los servicios críticos de terceros TIC, incluyendo planes detallados de portabilidad de datos, medidas de continuidad del servicio y preservación del cumplimiento normativo.

DORA se aplica directamente a los bancos británicos con sucursales en la UE, filiales o aquellos que prestan servicios TIC críticos a instituciones de la UE. Para las empresas solo británicas, los marcos de la FCA y la PRA se alinean con los principios de DORA mediante reglas de resiliencia operativa como SS2/21 y PS6/21.

Las estrategias efectivas requieren una clasificación integral de datos, identificación de proveedores de servicios alternativos, formatos estandarizados de migración de datos que preserven los registros auditables y pruebas continuas para asegurar que la documentación regulatoria y la continuidad del servicio permanezcan intactas.

Los bancos deben mantener registros auditables completos, mapeos de cumplimiento y evaluaciones de riesgos durante las transiciones, asegurando que estos registros sigan siendo accesibles y legalmente defendibles, además de demostrar adhesión regulatoria continua ante las autoridades.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks