Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cómo los bancos europeos pueden cumplir con las directrices de externalización de la EBA mediante claves de cifrado controladas por el cliente

Cómo los bancos europeos pueden cumplir con las directrices de externalización de la EBA mediante claves de cifrado controladas por el cliente

by Marc ten Eikelder updated febrero 11, 2026 Cumplimiento Regulatorio
Reading Time: 10 minutes

Las Directrices sobre Acuerdos de Externalización de la Autoridad Bancaria Europea (EBA/GL/2019/02) exigen que las entidades financieras mantengan un control efectivo sobre las funciones externalizadas, incluyendo la capacidad de supervisar el desempeño, aplicar estándares de seguridad y rescindir acuerdos cuando la protección de datos se vea comprometida. Desde enero de 2025, la Ley de Resiliencia Operativa Digital (DORA) ha añadido requisitos exigibles para la gestión de riesgos TIC, la supervisión de terceros y la resiliencia operativa que aplican directamente a todos los estados miembros de la UE. En conjunto, estos marcos crean un entorno regulatorio donde los bancos europeos deben demostrar un control real sobre los datos de clientes y operativos procesados por proveedores de servicios en la nube.

Para los bancos alemanes supervisados por BaFin, este panorama regulatorio es aún más detallado. El aviso de supervisión de BaFin de 2024 sobre externalización en la nube exige explícitamente que las empresas supervisadas aborden el cifrado y la gestión de claves como un tema central de gobernanza. El marco BAIT (Bankaufsichtliche Anforderungen an die IT), que sigue vigente hasta diciembre de 2026 para las instituciones en transición a DORA, establece expectativas claras para los controles de seguridad TI. Por su parte, el borrador de la Guía del BCE sobre la externalización de servicios en la nube refuerza que las instituciones deben ser propietarias de sus datos y restringir dónde los proveedores de nube los almacenan.

El hilo conductor de todos estos requisitos es el control. No promesas contractuales de control, sino control arquitectónico, verificable y técnico sobre la soberanía de los datos. Esta guía explica cómo las claves de cifrado controladas por el cliente abordan el riesgo central de externalización que buscan minimizar los reguladores y cómo los bancos europeos pueden implementar este enfoque para cumplir simultáneamente con las expectativas de la EBA, DORA y los supervisores nacionales.

Resumen Ejecutivo

Idea principal: Las directrices de externalización de la EBA y DORA exigen que los bancos europeos mantengan un control efectivo sobre los datos procesados por proveedores en la nube, incluyendo la capacidad de protegerlos frente a accesos no autorizados. Las claves de cifrado controladas por el cliente, donde el banco genera, almacena y gestiona en exclusiva las claves criptográficas en su propio módulo de seguridad hardware, proporcionan la base arquitectónica que satisface estos requisitos porque el proveedor de nube no puede acceder a los datos descifrados ni siquiera bajo requerimiento legal.

Por qué te interesa: La aplicación de DORA comenzó el 17 de enero de 2025, con sanciones de hasta el 10% de la facturación anual por incumplimientos graves. BaFin espera que los bancos alemanes demuestren cumplimiento ya y ha señalado que los primeros resultados estarán disponibles a finales de 2025. Si tu institución depende de un proveedor de nube con sede en EE. UU. que retiene el acceso a las claves de cifrado, existe una distancia medible entre tu acuerdo de externalización y lo que exigen los reguladores. El cifrado controlado por el cliente es la medida técnica que elimina esa distancia.

5 Conclusiones Clave

  1. Las directrices de la EBA exigen control efectivo, no promesas contractuales. El párrafo 98 de EBA/GL/2019/02 obliga a que los acuerdos de externalización de funciones críticas especifiquen ubicaciones de datos, garanticen confidencialidad, integridad y disponibilidad, e incluyan derechos de rescisión ante debilidades de seguridad.
  2. DORA exige cifrado en reposo, en tránsito y, cuando sea necesario, en uso. Las entidades financieras deben implementar políticas integrales de cifrado de datos bajo los requisitos de gestión de riesgos TIC de DORA, protegiendo la información frente a accesos no autorizados en todos los estados.
  3. BaFin identifica específicamente el cifrado y la gestión de claves como temas de gobernanza. El aviso de supervisión de 2024 exige que los bancos alemanes aborden la gestión de claves en sus directrices de gobernanza en la nube, yendo más allá del cifrado general para exigir control documentado sobre las claves criptográficas.
  4. Las claves en manos del proveedor crean un riesgo de externalización irresoluble. Cuando un proveedor de nube con sede en EE. UU. retiene las claves de cifrado, la exposición al CLOUD Act y FISA 702 significa que el banco no puede garantizar la confidencialidad de los datos, incumpliendo simultáneamente los requisitos de la EBA y DORA.
  5. Las claves controladas por el cliente cumplen múltiples requisitos regulatorios a la vez. Una sola decisión arquitectónica, mantener las claves de cifrado en el propio HSM del banco, cubre los controles de externalización de la EBA, los mandatos de cifrado de DORA, las salvaguardas de transferencia del RGPD y las expectativas de supervisión de BaFin.

Por Qué las Directrices de Externalización de la EBA Exigen Más que Controles Contractuales

El Enfoque Basado en Riesgos de la EBA para la Externalización en la Nube

Las Directrices de la EBA sobre Acuerdos de Externalización, vigentes desde el 30 de septiembre de 2019, se aplican a entidades de crédito, empresas de inversión, entidades de pago e instituciones de dinero electrónico. Las directrices adoptan un enfoque basado en riesgos que exige a las entidades financieras identificar, evaluar y minimizar riesgos en todos los acuerdos de externalización, con requisitos reforzados para funciones críticas o importantes.

El uso compartido de archivos basado en la nube, correo electrónico, plataformas de colaboración y sistemas de transferencia gestionada de archivos utilizados para el intercambio de datos sensibles suelen considerarse funciones críticas o importantes. Estas plataformas procesan datos financieros de clientes, comunicaciones internas, correspondencia regulatoria y registros de transacciones. Según el párrafo 75 de la EBA, las instituciones deben realizar evaluaciones de riesgos exhaustivas antes de formalizar acuerdos de externalización y mantener una supervisión continua de la postura de seguridad del proveedor.

De forma crítica, las directrices de la EBA establecen que confiar únicamente en certificaciones como ISO 27001 no es adecuado para realizar evaluaciones de riesgos ni para la supervisión continua. Los bancos deben ir más allá de las garantías del proveedor y evaluar la arquitectura técnica real que determina quién puede acceder a sus datos.

Qué Exigen las Directrices para la Seguridad de los Datos

Para externalizaciones críticas o importantes, el párrafo 98 de EBA/GL/2019/02 exige acuerdos escritos que especifiquen dónde se almacenarán y procesarán los datos, con notificación si el proveedor propone cambiar de ubicación. El acuerdo debe garantizar la accesibilidad, disponibilidad, integridad, privacidad y seguridad de los datos. Debe asegurar que la institución pueda acceder a sus datos si el proveedor se declara insolvente. Y debe incluir derechos de rescisión ante debilidades en la seguridad de los datos.

El párrafo 100 exige que las instituciones supervisen rutinariamente el desempeño de su proveedor, con especial atención a la disponibilidad, seguridad e integridad de los datos. Las directrices de gestión de riesgos TIC y de seguridad de la EBA añaden que los contratos deben incluir requisitos mínimos de ciberseguridad, especificaciones para el ciclo de vida de los datos, requisitos de cifrado, seguridad de red y ubicación de los centros de datos.

No son directrices aspiracionales. Generan expectativas de supervisión vinculantes que los reguladores nacionales como BaFin hacen cumplir mediante inspecciones, órdenes correctivas y, bajo DORA, sanciones económicas.

¿Qué estándares de cumplimiento de datos importan?

Read Now

DORA Eleva el Nivel para el Riesgo de Terceros TIC

Requisitos de Cifrado Según DORA

DORA (Reglamento UE 2022/2554) es exigible desde el 17 de enero de 2025, estableciendo requisitos uniformes de seguridad TIC para unas 22.000 entidades financieras en la UE. Bajo el marco de gestión de riesgos TIC de DORA, las entidades financieras deben implementar políticas integrales de cifrado de datos que cubran datos en reposo, en tránsito y, cuando sea necesario, en uso. Cuando el cifrado no sea técnicamente viable, los datos deben tratarse en un entorno seguro y separado con medidas equivalentes para mantener la confidencialidad e integridad.

El pilar de gestión de riesgos de terceros de DORA exige que todos los acuerdos de servicios TIC incluyan acuerdos de nivel de servicio, derechos de auditoría, derechos de rescisión, estrategias de salida y procedimientos de notificación de incidentes. Las Autoridades Supervisoras Europeas designaron 19 proveedores TIC como críticos en noviembre de 2025, incluyendo AWS, Microsoft Azure y Google Cloud, sometiéndolos a supervisión directa de la UE. Esto significa que los bancos europeos no pueden tratar sus relaciones con estos proveedores como meramente contractuales. Los reguladores ahora examinan a los propios proveedores.

Expectativas Específicas de BaFin para los Bancos Alemanes

El aviso de supervisión de BaFin de febrero de 2024 sobre externalización en la nube va más allá del estándar de la EBA. Exige que las empresas supervisadas desarrollen directrices internas para el uso de la nube que abarquen cifrado y gestión de claves como tema central junto con cumplimiento, gestión de identidades y control de subcontratistas. BaFin espera que los bancos realicen un análisis estratégico de si cada función externalizada puede ser supervisada adecuadamente y, si es necesario, repatriada.

BaFin ha señalado que intensificará la supervisión de la externalización en 2025 y espera los primeros resultados de cumplimiento de DORA a final de año. Los bancos alemanes que dependen de proveedores estadounidenses de hiperescala sin cifrado controlado por el cliente enfrentan un riesgo de supervisión directo porque su arquitectura actual puede no satisfacer la interpretación de BaFin sobre controles adecuados de protección de datos.

El Problema de las Claves de Cifrado que Deben Resolver los Bancos Europeos

Por Qué las Claves en Manos del Proveedor No Cumplen con la Regulación

Cuando un banco europeo utiliza un proveedor de nube con sede en EE. UU. para uso compartido seguro de archivos, correo electrónico o colaboración, el proveedor suele retener el control de las claves de cifrado. Incluso cuando el banco selecciona regiones de centros de datos en la UE, la entidad legal que opera el servicio sigue estando sujeta al CLOUD Act, que permite a las autoridades estadounidenses exigir la entrega de datos independientemente de la ubicación de almacenamiento. La Sección 702 de FISA permite a agencias de inteligencia vigilar a personas no estadounidenses sin órdenes individuales.

Esto genera un conflicto arquitectónico con los requisitos de la EBA y DORA. El acuerdo de externalización del banco puede exigir contractualmente la confidencialidad de los datos, pero el proveedor puede verse obligado legalmente a descifrar y entregar los datos sin notificar al banco. El requisito de la EBA de derechos de rescisión ante debilidades de seguridad de los datos pierde sentido si la debilidad es estructural: el proveedor tiene las claves y está sujeto a leyes extranjeras de acceso gubernamental.

Las Recomendaciones 01/2020 del EDPB confirmaron que, cuando un proveedor posee las claves de cifrado y opera bajo un régimen legal que permite el acceso gubernamental, no existen medidas suplementarias efectivas. Para los bancos que realizan Análisis de Transferencia de Impacto, las claves de cifrado en manos del proveedor representan un factor de riesgo imposible de eliminar.

Cómo las Claves Controladas por el Cliente Resuelven el Conflicto

Las claves de cifrado controladas por el cliente cambian radicalmente la arquitectura del riesgo. En este modelo, el banco genera y almacena las claves de cifrado bajo su control en su propio módulo de seguridad hardware, ubicado en sus instalaciones o en un centro de datos europeo gestionado por el banco. La plataforma en la nube procesa datos cifrados pero nunca posee las claves de descifrado. Si un gobierno extranjero obliga al proveedor a entregar los datos, solo podrá entregar el texto cifrado, ilegible sin las claves del banco.

Este enfoque es distinto de las ofertas «Bring Your Own Key» (BYOK), donde el banco genera una clave pero la sube al servicio de gestión de claves del proveedor. En BYOK, el proveedor retiene acceso al material de la clave y puede ser obligado a utilizarla. El cifrado controlado por el cliente significa que la clave nunca sale de la infraestructura del banco.

Requisitos Regulatorios que Cubren las Claves Controladas por el Cliente

Requisito Regulatorio Claves en Manos del Proveedor Claves Controladas por el Cliente
EBA: Garantizar la confidencialidad de los datos (Párrafo 98) No se puede garantizar; el proveedor está sujeto a leyes extranjeras de acceso Garantizado; el proveedor no puede descifrar los datos
EBA: Supervisión continua de la seguridad de los datos (Párrafo 100) Visibilidad limitada; depende de informes del proveedor Registro de auditoría completo bajo control del banco
DORA: Cifrado en reposo y en tránsito Cifrado, pero el proveedor tiene las claves Cifrado con control exclusivo de las claves por parte del banco
DORA: Gestión de riesgos TIC de terceros Riesgo residual por leyes extranjeras de acceso Riesgo eliminado a nivel arquitectónico
BaFin: Gobernanza de cifrado y gestión de claves Gestión de claves delegada al proveedor Gestión de claves bajo gobernanza del banco
RGPD: Medidas técnicas del Artículo 32 Medidas controladas por el proveedor; persiste el riesgo de transferencia Medidas controladas por el banco; riesgo de transferencia minimizado
Exposición al CLOUD Act / FISA 702 Exposición total; el proveedor puede cumplir con requerimientos Sin exposición; el proveedor no puede entregar datos legibles

Requisitos Arquitectónicos Más Allá de las Claves de Cifrado

El cifrado controlado por el cliente es necesario pero no suficiente. Los bancos europeos deben evaluar las plataformas en la nube en función de tres requisitos complementarios que, en conjunto, crean una soberanía de datos verificable.

Implementación Europea de Tenencia Única

Los entornos en la nube multiusuario comparten infraestructura entre clientes, con personal del proveedor realizando mantenimiento desde ubicaciones globales. La implementación de tenencia única en infraestructura europea dedicada garantiza que los datos del banco residan en sistemas aislados donde los controles de acceso están regidos por la legislación europea. Combinado con cifrado controlado por el cliente, esto elimina tanto las vías de acceso lógicas como físicas para terceros no autorizados.

Residencia de Datos Aplicada por Políticas

El párrafo 98 de la EBA exige que los acuerdos especifiquen ubicaciones de datos con notificación de cambios. DORA refuerza esto a través de sus expectativas de residencia de datos. En lugar de depender de compromisos contractuales, los bancos deben implementar plataformas con geoperimetraje técnico que limite el almacenamiento a centros de datos alemanes o de la UE, impida la replicación en ubicaciones fuera de la UE y registre todos los intentos de acceso para fines de auditoría.

Capacidades Integrales de Auditoría y Monitoreo

Tanto la EBA como DORA exigen la supervisión continua de los servicios externalizados. Los bancos necesitan plataformas que proporcionen visibilidad completa de cada acceso a archivos, acción de usuario, cambio administrativo y movimiento de datos. Esta capacidad de gobernanza de datos respalda el registro de externalización requerido por el Artículo 28(3) de DORA y permite a los bancos demostrar cumplimiento durante las inspecciones de BaFin y las revisiones del BCE.

Implementación: Un Enfoque Basado en Riesgos para los Bancos Europeos

Fase 1: Evaluar los Acuerdos de Externalización Actuales

Haz un inventario de todos los servicios en la nube que procesan datos de clientes, datos operativos y datos de empleados. Para cada servicio, documenta la jurisdicción del proveedor, el modelo de cifrado, la arquitectura de gestión de claves y la clasificación de riesgo de terceros. Cruza esta información con los requisitos del Registro de Información de DORA para identificar brechas.

Fase 2: Evaluar la Exposición de las Claves de Cifrado

Para cada servicio en la nube clasificado como soporte de una función crítica o importante, aplica la prueba clave: ¿Puede el proveedor acceder a los datos descifrados si lo exige un gobierno extranjero? Mapea los resultados frente a los requisitos de la EBA y DORA. Da prioridad a los servicios que gestionan los datos más sensibles: registros financieros de clientes, correspondencia regulatoria, materiales de auditoría interna y datos de transacciones transfronterizas.

Fase 3: Implementar una Arquitectura Controlada por el Cliente

Migra las plataformas críticas de intercambio de datos a arquitecturas donde el banco retenga el control exclusivo de las claves de cifrado. Esto suele implicar la implementación de un dispositivo virtual reforzado o un HSM en las instalaciones para el almacenamiento de claves, la configuración de una implementación europea de tenencia única y el establecimiento de políticas de geoperimetraje. Valida mediante pruebas independientes que el proveedor no pueda acceder a los datos descifrados bajo ningún escenario.

Fase 4: Establecer un Monitoreo Continuo del Cumplimiento

Implementa un monitoreo continuo alineado con el párrafo 100 de la EBA y los requisitos de resiliencia operativa de DORA. Establece revisiones periódicas con evidencia documentada para la inspección de los supervisores. Asegura que los planes de respuesta a incidentes cubran escenarios de solicitudes de acceso a datos por parte de gobiernos extranjeros y debilidades de seguridad del proveedor.

El Cifrado Controlado por el Cliente es la Base de la Externalización Regulatoriamente Cumplida

Las directrices de externalización de la EBA, DORA y las expectativas de supervisión de BaFin convergen en un principio: los bancos europeos deben mantener un control efectivo y verificable sobre los datos procesados por proveedores en la nube. Cuando un proveedor posee las claves de cifrado y opera bajo leyes extranjeras de acceso gubernamental, ese control es una ficción arquitectónica. Las claves de cifrado controladas por el cliente restauran el control real al garantizar que ningún tercero pueda acceder a los datos descifrados sin la intervención explícita del banco.

Los bancos que implementan claves controladas por el cliente junto con una implementación europea de tenencia única y residencia de datos aplicada por políticas no solo cumplen con los requisitos regulatorios. Están construyendo la infraestructura de confianza cero que DORA prevé para un sistema financiero europeo resiliente.

Kiteworks Ayuda a los Bancos Europeos a Cumplir las Directrices de Externalización de la EBA con Cifrado Controlado por el Cliente

La Red de Datos Privados de Kiteworks proporciona los controles arquitectónicos que los bancos europeos necesitan para cumplir simultáneamente con los requisitos de la EBA, DORA y BaFin. Kiteworks opera bajo un modelo de cifrado gestionado por el cliente, donde el banco genera y retiene las claves de cifrado en su propio HSM. Kiteworks no puede acceder al contenido descifrado ni cumplir con requerimientos de gobiernos extranjeros para entregar datos legibles porque no posee las claves.

Kiteworks se implementa como instancia de tenencia única en infraestructura europea dedicada, incluyendo opciones en las instalaciones, nube privada y dispositivo virtual reforzado. El geoperimetraje integrado aplica la residencia de datos a nivel de plataforma. El registro de auditoría integral captura cada acceso a archivos, acción de usuario y cambio administrativo, proporcionando la evidencia de monitoreo continuo que exigen el párrafo 100 de la EBA y DORA. Kiteworks respalda el cumplimiento de DORA mediante su enfoque unificado de gestión de riesgos TIC en todos los canales de contenido confidencial.

La plataforma unifica el uso compartido seguro de archivos, la protección del correo electrónico, la transferencia gestionada de archivos y los formularios web bajo un único marco de gobernanza, permitiendo a los bancos cubrir los requisitos de externalización en todos los canales de intercambio de datos con una sola arquitectura, un solo conjunto de controles y un único paquete de evidencia para los supervisores.

Para saber más sobre cómo cumplir las directrices de externalización de la EBA mediante claves de cifrado controladas por el cliente, solicita una demo personalizada hoy mismo.

Preguntas Frecuentes

Las directrices de la EBA aplican a todos los acuerdos de externalización, con requisitos reforzados para funciones críticas o importantes. Los servicios en la nube que procesan datos financieros de clientes, respaldan informes regulatorios o permiten operaciones bancarias centrales suelen considerarse críticos. Las directrices exigen administración de riesgos de proveedores, incluyendo evaluación de riesgos, controles contractuales y monitoreo continuo para todos los servicios externalizados. Los bancos deben clasificar cada servicio en la nube y aplicar controles proporcionales, reservando los requisitos más estrictos, como ubicaciones de datos especificadas y estándares de cifrado, para funciones críticas. Incluso la externalización no crítica en la nube requiere acuerdos escritos con obligaciones de seguridad y cláusulas de rescisión bajo los requisitos de cumplimiento del RGPD.

DORA crea obligaciones de cifrado directamente exigibles respaldadas por sanciones de hasta el 10% de la facturación anual. Mientras que las directrices anteriores de la EBA recomendaban el cifrado como control de seguridad, DORA exige políticas integrales de cifrado de datos que cubran datos en reposo, en tránsito y, cuando sea necesario, en uso. DORA también exige que las entidades financieras mantengan un Registro de Información que documente todos los acuerdos TIC de terceros, incluyendo las configuraciones de cifrado. Las ESAs designaron 19 grandes proveedores de nube como críticos en noviembre de 2025, sometiéndolos a supervisión directa. Los bancos deben demostrar no solo que existe cifrado, sino que su marco de gobernanza de datos asegura que el control de las claves de cifrado permanezca en la institución, especialmente cuando los proveedores están sujetos a leyes extranjeras de acceso gubernamental.

En BYOK, el banco genera una clave pero la sube a la infraestructura del proveedor; en el cifrado controlado por el cliente, la clave nunca sale del propio HSM del banco. Esta distinción es fundamental para el cumplimiento regulatorio. Con BYOK, el proveedor de nube retiene acceso al material de la clave y puede ser obligado a descifrar datos bajo el CLOUD Act o FISA 702. Con claves de cifrado controladas por el cliente, el proveedor solo procesa texto cifrado y no puede entregar datos legibles, independientemente de los requerimientos legales. El aviso de supervisión de BaFin identifica la gestión de claves como un tema central de gobernanza, y la EIPD para externalización en la nube debe documentar claramente qué parte controla la capacidad de descifrado.

Los bancos deben mantener documentación de la arquitectura de cifrado, políticas de gestión de claves, Análisis de Transferencia de Impacto y evidencia de monitoreo continuo. BaFin espera que los bancos alemanes tengan directrices internas que abarquen cifrado y gestión de claves como parte de su marco de gobernanza en la nube. La documentación debe incluir el proceso de generación de claves, ubicación de despliegue del HSM, controles de acceso al material de claves y evidencia de que el proveedor de nube no puede acceder a las claves de descifrado. El Registro de Información de DORA debe reflejar estos acuerdos. Los bancos también deben conservar registros de evaluación de riesgos que demuestren cómo las claves controladas por el cliente minimizan los riesgos específicos identificados en sus Análisis de Transferencia de Impacto para servicios con proveedores con sede en EE. UU.

Sí, si el banco implementa controles arquitectónicos que eliminen la capacidad del proveedor para acceder a los datos descifrados. Las directrices de la EBA no prohíben la externalización a proveedores de terceros países, pero exigen una evaluación de riesgos reforzada y salvaguardas adicionales. La pregunta clave es si el proveedor puede ser obligado a entregar datos legibles de clientes bajo la ley extranjera. Si el banco retiene el control exclusivo de las claves de cifrado mediante su propio HSM, implementa infraestructura europea dedicada y aplica la residencia de datos mediante controles técnicos, el acuerdo de externalización puede cumplir con los requisitos de la EBA, DORA y RGPD porque el riesgo de acceso extranjero queda neutralizado a nivel arquitectónico.

Recursos adicionales

  • Artículo del Blog  
    Soberanía de los datos: ¿mejor práctica o requisito regulatorio?
  • eBook  
    Soberanía de los datos y RGPD
  • Artículo del Blog  
    Evita estos errores en la soberanía de los datos
  • Artículo del Blog  
    Mejores prácticas de soberanía de los datos
  • Artículo del Blog  
    Soberanía de los datos y RGPD [Entendiendo la seguridad de los datos]

    •  

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks