Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Por qué las directrices de externalización de la EBA exigen el control de claves de cifrado

Por qué las directrices de externalización de la EBA exigen el control de claves de cifrado

by Danielle Barbour updated marzo 9, 2026 Cumplimiento Regulatorio
Reading Time: 11 minutes

Las directrices de externalización de la Autoridad Bancaria Europea (EBA/GL/2019/02), que entraron plenamente en vigor en 2022, establecen requisitos estrictos sobre cómo las instituciones financieras delegan servicios tecnológicos a proveedores externos. Entre estos requisitos, el control de las claves de cifrado destaca como un mandato innegociable que afecta directamente la forma en que bancos y firmas de inversión diseñan entornos en la nube, seleccionan proveedores y mantienen defensibilidad regulatoria. Las instituciones financieras que externalizan funciones de procesamiento, almacenamiento o comunicación de datos deben conservar un control efectivo sobre las claves de cifrado que protegen datos confidenciales de clientes, registros de transacciones y comunicaciones internas. También es importante señalar que DORA (la Ley de Resiliencia Operativa Digital), en vigor desde enero de 2025, refuerza y amplía estas obligaciones, especialmente en torno a la gestión de riesgos TIC y dependencias de terceros.

Este requisito genera desafíos operativos inmediatos. Muchos proveedores de servicios en la nube y plataformas SaaS gestionan las claves de cifrado en nombre de los clientes, lo que cumple con una higiene básica de seguridad pero no satisface las expectativas de la EBA sobre la separación de controles. Los responsables deben comprender por qué la EBA insiste en el control de claves, qué patrones arquitectónicos cumplen este requisito y cómo implementar la gestión de claves sin interrumpir los flujos de trabajo existentes ni las relaciones con proveedores.

Este artículo explica la lógica regulatoria detrás de los mandatos de control de claves de cifrado, aclara qué significa el control efectivo en la práctica y describe cómo las instituciones financieras pueden operacionalizar estos requisitos en entornos híbridos en la nube y canales de comunicación de terceros.

Resumen Ejecutivo

Las directrices de externalización de la EBA exigen que las instituciones financieras mantengan un control efectivo sobre las claves de cifrado que protegen datos confidenciales procesados o almacenados por proveedores de servicios externos. Este mandato existe porque el control de claves de cifrado determina si una institución puede acceder, recuperar o revocar el acceso a sus datos de forma independiente, sin depender de la cooperación del proveedor. Sin control directo de las claves, las instituciones no pueden demostrar soberanía de datos, aplicar estrategias de salida ni garantizar la capacidad de recuperación ante fallos del proveedor. Los responsables de seguridad empresarial deben implementar arquitecturas de gestión de claves que separen el control criptográfico del control de infraestructura, se integren con los sistemas IAM existentes y proporcionen registros de auditoría inmutables que vinculen las operaciones de claves con personas específicas y obligaciones regulatorias. Las instituciones que no establecen un control verificable de claves se enfrentan a escrutinio regulatorio y posibles acciones de cumplimiento.

Puntos Clave

  • Punto clave 1: Las directrices de externalización de la EBA (EBA/GL/2019/02) exigen que las instituciones financieras conserven el control unilateral sobre las claves de cifrado que protegen datos confidenciales procesados por proveedores externos. Sin control independiente de las claves, las instituciones no pueden demostrar soberanía de datos, ejecutar estrategias de salida ni garantizar la recuperación ante fallos o disputas con proveedores.

  • Punto clave 2: El cifrado gestionado por el proveedor genera exposición regulatoria porque la institución no puede impedir el acceso del proveedor bajo procesos legales extranjeros, no puede garantizar la recuperación tras fallos técnicos y no puede verificar que personal no autorizado carece de acceso. Los controles arquitectónicos deben reemplazar las garantías contractuales para lograr defensibilidad regulatoria.

  • Punto clave 3: El control efectivo de claves requiere integración con sistemas de gestión de identidades para aplicar RBAC, revocación inmediata tras la baja de usuarios y registros de auditoría inmutables que vinculen cada operación de clave con individuos y propósitos empresariales específicos. Estas capacidades permiten a las instituciones cumplir los requisitos de exámenes regulatorios.

  • Punto clave 4: La selección de proveedores debe priorizar capacidades técnicas para claves gestionadas por el cliente mediante APIs estandarizadas, arquitecturas bring-your-own-key y cláusulas contractuales que preserven el control unilateral institucional y prohíban el acceso del proveedor a datos en texto claro. Las disposiciones de salida deben garantizar la transferencia de datos cifrados sin requerir descifrado gestionado por el proveedor.

  • Punto clave 5: Las arquitecturas de alta disponibilidad para la gestión de claves deben igualar o superar la disponibilidad de las cargas de trabajo protegidas mediante clústeres distribuidos geográficamente y conmutación por error automatizada. La planificación de recuperación ante desastres debe permitir redirigir cargas de trabajo a entornos alternativos manteniendo la conexión con la infraestructura de gestión de claves existente, sin regenerar claves.

Fundamento Regulatorio del Control de Claves de Cifrado

Las directrices de externalización de la EBA consideran el control de claves de cifrado como un requisito fundamental para mantener la resiliencia operativa y la soberanía de datos al delegar funciones en proveedores de servicios externos. Este requisito surge del reconocimiento de que el cifrado sin control independiente de las claves genera una falsa sensación de seguridad. Si un proveedor gestiona tanto los datos cifrados como las claves que los protegen, la institución no puede verificar de forma independiente la integridad de los datos, aplicar restricciones de acceso ni recuperar la información sin la participación activa del proveedor.

Las instituciones financieras operan bajo expectativas regulatorias elevadas. Procesan depósitos de clientes, instrucciones de pago, transacciones de valores e información financiera personal sujeta a múltiples regulaciones superpuestas como GDPR, PSD2 y MiFID II. Estos marcos establecen colectivamente que los responsables del tratamiento de datos deben mantener medidas técnicas y organizativas suficientes para proteger los datos durante todo su ciclo de vida. Cuando una institución externaliza el procesamiento a un proveedor en la nube o una plataforma SaaS, sigue siendo el responsable del tratamiento con plena responsabilidad legal ante fallos de protección.

Las directrices de la EBA establecen explícitamente que las instituciones deben garantizar el acceso a sus datos incluso si el proveedor cesa operaciones, incumple obligaciones contractuales o queda sujeto a restricciones legales. Este requisito no puede cumplirse si el proveedor posee las únicas copias de las claves de cifrado. La institución debe poseer material de clave independiente o controlar directamente la infraestructura de gestión de claves, generando un requisito arquitectónico que afecta la selección de proveedores, la negociación de contratos y la implementación técnica en cada acuerdo de externalización que implique datos confidenciales.

Qué Significa el Control Efectivo de Claves en la Práctica

El control efectivo va más allá de simplemente poseer una copia de las claves de cifrado. Los reguladores esperan que las instituciones demuestren que pueden generar, almacenar, rotar, revocar y auditar el uso de las claves sin requerir la asistencia del proveedor. Esto significa que la institución debe operar o controlar directamente el sistema de gestión de claves.

Diversos patrones arquitectónicos cumplen este requisito. Las instituciones pueden implementar módulos de seguridad hardware (HSM) validados según FIPS 140-3 en sus propios centros de datos e integrarlos con cargas de trabajo en la nube mediante APIs seguras. Pueden utilizar servicios de claves gestionadas por el cliente ofrecidos por plataformas en la nube, donde la plataforma cifra los datos pero el cliente controla el material de clave a través de un límite de servicio separado. También pueden implementar esquemas de cifrado en sobre (envelope encryption), donde las claves de cifrado de datos permanecen gestionadas por el proveedor para rendimiento, pero las claves maestras están bajo control del cliente.

El elemento crítico que evalúan los reguladores es si la institución conserva la capacidad unilateral de negar al proveedor el acceso a los datos en texto claro. Si el proveedor puede descifrar datos sin solicitar claves a los sistemas controlados por el cliente, no existe control efectivo. Si el proveedor almacena las claves maestras junto con los datos cifrados en el mismo dominio administrativo, tampoco existe control efectivo.

El Riesgo de Cumplimiento que Generan las Claves Gestionadas por el Proveedor

Muchas plataformas en la nube y aplicaciones SaaS cifran los datos de los clientes por defecto utilizando claves gestionadas por el proveedor. Este enfoque ofrece simplicidad y rendimiento, pero genera exposición regulatoria para las instituciones financieras. El proveedor controla cuándo ocurre el cifrado, qué algoritmos se aplican, cómo rotan las claves y cuándo están disponibles para operaciones de descifrado.

Los reguladores consideran este esquema insuficiente. La institución no puede impedir que el proveedor acceda a los datos si es obligado por procesos legales en jurisdicciones extranjeras. Tampoco puede garantizar la recuperación de datos si el proveedor sufre fallos técnicos que afectan los sistemas de gestión de claves. La institución no puede demostrar que personal no autorizado del proveedor no accede a datos confidenciales mediante privilegios elevados. Estos escenarios representan riesgos operativos materiales que las instituciones prudentes deben minimizar mediante controles arquitectónicos, no solo promesas contractuales.

El cifrado gestionado por el proveedor también complica las estrategias de salida. Cuando una institución decide migrar a otro proveedor, debe confiar en que el proveedor actual descifre y transfiera los datos de forma segura. Si la relación se ha deteriorado o el proveedor enfrenta problemas financieros, la cooperación no está garantizada. El control independiente de claves asegura que la institución pueda recuperar los datos cifrados y descifrarlos con su propio material de clave, sin requerir la participación del proveedor más allá de la transferencia básica de datos.

Implementación Arquitectónica y Requisitos Operativos

Las directrices de externalización de la EBA se aplican a múltiples categorías de servicios, cada una con desafíos específicos para el control de claves de cifrado. Los servicios de infraestructura en la nube, plataformas software como servicio y sistemas de comunicación requieren un análisis arquitectónico cuidadoso.

Los entornos de infraestructura como servicio ofrecen la mayor flexibilidad para arquitecturas de claves gestionadas por el cliente. Las instituciones pueden implementar máquinas virtuales con su propio software de gestión de claves, integrarse con HSM validados FIPS 140-3 e implementar cifrado en sobre donde las claves a nivel de aplicación permanecen siempre bajo control del cliente. Los datos en reposo deben protegerse con AES-256, mientras que los datos en tránsito deben asegurarse con TLS 1.3 como estándar mínimo. El principal reto es la complejidad operativa y garantizar que la infraestructura de gestión de claves alcance una disponibilidad equivalente a las cargas de trabajo que protege.

Las plataformas software como servicio presentan opciones más limitadas porque el proveedor controla la arquitectura de la aplicación. Muchos proveedores SaaS ahora ofrecen capacidades bring-your-own-key, donde los clientes suministran las claves de cifrado mediante servicios externos de gestión de claves. La aplicación SaaS solicita las claves en tiempo real al cifrar o descifrar datos, pero nunca almacena copias persistentes. Este patrón cumple las expectativas regulatorias si se implementa correctamente, pero las instituciones deben verificar que las solicitudes de claves se realicen con la granularidad adecuada y que el proveedor no pueda almacenar en caché las claves más allá del ciclo de vida documentado de la solicitud.

Los canales de comunicación que transportan datos confidenciales en movimiento a través de correo electrónico, transferencia de archivos y plataformas de colaboración requieren un control de claves de cifrado equivalente al de los datos en reposo. El cifrado tradicional de correo electrónico depende de S/MIME o PGP, que asignan la responsabilidad de gestión de claves a los usuarios finales, generando una carga operativa. Las plataformas modernas de MFT seguro resuelven esto implementando cifrado a nivel de aplicación con AES-256 y claves gestionadas por el cliente antes de que los datos salgan de los límites institucionales, con todos los datos en tránsito protegidos mediante TLS 1.3. El contenido cifrado atraviesa infraestructuras de terceros pero permanece protegido criptográficamente con claves bajo control directo de la institución.

Integración de Registros de Auditoría y Control de Acceso

El control de claves de cifrado va más allá de la arquitectura criptográfica e implica gobernanza de identidades y generación de registros de auditoría. Los reguladores esperan que las instituciones demuestren que las operaciones con claves se vinculan a personas específicas, se realizan por motivos empresariales documentados y dejan registros inmutables aptos para investigaciones forenses.

Los sistemas de gestión de claves deben integrarse con los proveedores de identidad institucionales mediante protocolos estándar como SAML y OAuth. La autenticación para el acceso a claves debe aplicar MFA, respetar RBAC definido centralmente y revocar accesos de inmediato tras la baja de usuarios. Cuando un empleado deja la institución, su acceso a las claves de cifrado debe finalizar sin intervención manual.

El registro de accesos debe capturar suficiente detalle para reconstruir el contexto de cada operación con claves. Los reguladores esperan que los registros incluyan qué usuario solicitó acceso a la clave, qué datos protege, cuándo ocurrió la operación, desde qué ubicación de red y si tuvo éxito o falló. Estos registros deben ser a prueba de manipulaciones mediante firmas criptográficas o mecanismos de almacenamiento de solo escritura que impidan modificaciones retrospectivas.

Las instituciones financieras se enfrentan a requisitos superpuestos de múltiples marcos de cumplimiento normativo. El GDPR impone solicitudes de acceso de interesados y derecho de supresión. Las regulaciones de servicios de pago exigen no repudio de transacciones. Cada obligación genera requisitos específicos sobre el funcionamiento de las claves de cifrado. Las arquitecturas efectivas incluyen etiquetado de metadatos que asocian claves con la clasificación de datos, propósitos de procesamiento y marcos regulatorios. Cuando una institución recibe una solicitud de acceso de interesado, los sistemas deben identificar qué claves de cifrado protegen los datos de esa persona, verificar la autorización, registrar el acceso y proporcionar los datos descifrados en formatos portables.

Los procesos automatizados como trabajos por lotes, replicación de datos y sistemas de respaldo requieren acceso a datos cifrados sin intervención humana. Las cuentas de servicio deben autenticarse mediante credenciales basadas en certificados en lugar de contraseñas estáticas. El acceso a claves para cuentas de servicio debe seguir el principio de mínimo privilegio, otorgando acceso solo a las claves necesarias para el proceso específico. Las instituciones deben implementar procedimientos break-glass que suspendan temporalmente el acceso a claves de cuentas de servicio cuando ocurren incidentes de seguridad.

Selección de Proveedores y Consideraciones Contractuales

Implementar un control de claves de cifrado que cumpla los requisitos de la EBA comienza en la selección de proveedores. Las instituciones financieras deben evaluar las capacidades técnicas y la disposición contractual de los proveedores para soportar modelos de claves gestionadas por el cliente antes de comprometerse con acuerdos de externalización.

La evaluación de capacidades técnicas se centra en si el proveedor ofrece puntos de integración estandarizados para la gestión de claves. Los proveedores de infraestructura en la nube cada vez más soportan gestores de claves externos mediante APIs estándar de la industria. Las plataformas SaaS pueden ofrecer opciones bring-your-own-key a través de alianzas con proveedores de servicios de gestión de claves. Las plataformas de comunicación deben soportar cifrado gestionado por el cliente, donde las operaciones criptográficas se realizan dentro de los límites institucionales antes de que los datos entren en la infraestructura del proveedor.

El lenguaje contractual debe preservar explícitamente el control unilateral de la institución sobre las claves de cifrado y delimitar claramente las responsabilidades. Los contratos deben especificar que el proveedor nunca accederá a datos confidenciales en texto claro, que todas las operaciones de cifrado utilizan claves suministradas por el cliente y que el proveedor no mantiene copias persistentes del material de clave. Las disposiciones de salida requieren especial atención. Los contratos deben garantizar que las instituciones reciban copias completas de los datos cifrados en formatos documentados al finalizar el acuerdo y que los procedimientos de salida no requieran descifrado y recifrado gestionados por el proveedor.

Los derechos de auditoría contractual permiten a las instituciones verificar que los proveedores implementan los controles de gestión de claves acordados. Las instituciones deben negociar el derecho a auditar los procedimientos de gestión de claves del proveedor, inspeccionar los registros que muestran patrones de acceso a claves y probar los procedimientos de recuperación de claves. Los derechos de auditoría de terceros son especialmente importantes para plataformas SaaS donde las instituciones no pueden inspeccionar directamente la infraestructura.

Resiliencia Operativa y Preparación para Exámenes Regulatorios

Las instituciones financieras operan arquitecturas híbridas que abarcan múltiples entornos. Una infraestructura centralizada de gestión de claves proporciona la base para el control de claves en entornos híbridos. Las instituciones deben implementar sistemas de gestión de claves que ofrezcan APIs accesibles desde centros de datos locales, múltiples proveedores de nube y plataformas SaaS mediante conexiones de red seguras. Esta centralización garantiza la aplicación coherente de controles de acceso y la generación unificada de registros de auditoría.

La gestión centralizada de claves puede crear puntos únicos de fallo. Los responsables deben asegurarse de que los sistemas de gestión de claves alcancen niveles de disponibilidad que igualen o superen las aplicaciones que protegen. Las arquitecturas de alta disponibilidad suelen implicar clústeres distribuidos geográficamente con conmutación por error automatizada. Las estrategias de caché optimizan el rendimiento pero requieren una implementación cuidadosa. Las aplicaciones pueden almacenar en caché claves de cifrado de datos localmente por períodos limitados, pero las claves en caché deben respetar las señales de revocación de inmediato.

La planificación de recuperación ante desastres debe contemplar escenarios en los que la infraestructura de gestión de claves permanece operativa pero los entornos principales de procesamiento de datos fallan. Las instituciones deben poder redirigir cargas de trabajo a entornos alternativos, establecer nuevas conexiones con la infraestructura de gestión de claves existente y reanudar operaciones sin regenerar el material de clave.

Los exámenes regulatorios evalúan si las instituciones traducen los requisitos de la EBA en realidad operativa. Los examinadores esperan marcos documentados de gobernanza de datos, diagramas de arquitectura técnica, matrices de control de acceso y registros de auditoría de períodos representativos. La documentación comienza con políticas de gobernanza que expliquen cómo la institución interpreta los requisitos de control de claves de cifrado de la EBA, qué patrones arquitectónicos ha adoptado y cómo se distribuyen las responsabilidades entre los equipos. Los diagramas de arquitectura deben mostrar los componentes de la infraestructura de gestión de claves, la conectividad de red, los puntos de integración con proveedores de identidad y los límites que separan el control institucional de la infraestructura gestionada por el proveedor.

Los examinadores analizan los registros de auditoría para verificar la eficacia de las políticas. Las instituciones deben preparar muestras representativas de registros de operaciones con claves que cubran accesos normales de usuarios, operaciones de cuentas de servicio, tareas administrativas e intentos fallidos de autenticación. Una preparación eficaz implica analizar los registros para identificar y explicar anomalías antes de que los examinadores las detecten. La correlación entre los registros de acceso a claves y las plataformas SIEM refuerza la demostración de cumplimiento.

Cada vez más, los examinadores solicitan demostraciones en vivo de las capacidades de control de claves. Las instituciones deben estar preparadas para demostrar escenarios de revocación de claves, procedimientos break-glass y procesos de recuperación en los que los datos cifrados se vuelven accesibles utilizando material de clave archivado. Es recomendable realizar pruebas internas periódicas, rotando al personal responsable de ejecutar los procedimientos para verificar que el conocimiento no se concentra en unos pocos expertos.

Conclusión

Las directrices de externalización de la EBA establecen el control de claves de cifrado como un requisito fundamental porque determina si las instituciones financieras mantienen un control genuino sobre los datos confidenciales procesados por terceros. Sin gestión independiente de claves, las instituciones no pueden validar la integridad de los datos, aplicar restricciones de acceso, garantizar la capacidad de recuperación ni demostrar soberanía durante los exámenes regulatorios.

Cumplir estos requisitos exige inversiones arquitectónicas en infraestructura de claves gestionadas por el cliente —incluyendo HSM validados FIPS 140-3 y aplicación de AES-256 para datos en reposo y TLS 1.3 para datos en tránsito— junto con negociaciones contractuales que preserven el control unilateral y procesos operativos que integren la gestión de claves con la gobernanza de identidades y la generación de registros de auditoría. Los responsables deben priorizar estas capacidades al seleccionar proveedores, asignar recursos suficientes para lograr alta disponibilidad y establecer marcos de gobernanza que traduzcan el lenguaje regulatorio en controles operativos.

Las instituciones que implementan un control robusto de claves de cifrado obtienen ventajas estratégicas más allá del cumplimiento de datos. Reducen la dependencia de proveedores al mantener la capacidad independiente de descifrar y migrar datos. Mejoran la respuesta ante incidentes controlando la revocación de claves como mecanismo inmediato de contención. Refuerzan la soberanía de datos al navegar requisitos jurisdiccionales conflictivos.

Las instituciones financieras ya no pueden tratar la gestión de claves de cifrado como una cuestión puramente técnica delegada al equipo de infraestructura. Los requisitos de la EBA elevan el control de claves a una prioridad de gobernanza que requiere atención ejecutiva, supervisión del consejo y una inversión continua acorde a su papel como base de estrategias de externalización defendibles.

Cómo Kiteworks Permite un Control Defendible de Claves de Cifrado para Comunicaciones Sensibles

Las instituciones financieras enfrentan desafíos particulares para implementar el control de claves de cifrado en datos confidenciales en movimiento a través de correo electrónico, uso compartido de archivos e integraciones API. Los enfoques tradicionales dependen de claves gestionadas por el proveedor o distribuyen la gestión de claves a los usuarios finales mediante modelos S/MIME y PGP que resultan insostenibles operativamente.

La Red de Contenido Privado resuelve esta brecha implementando cifrado a nivel de aplicación con AES-256 y claves gestionadas por el cliente antes de que el contenido confidencial salga de los límites institucionales, asegurando todas las comunicaciones sobre TLS 1.3. Las instituciones financieras implementan Kiteworks en sus propios entornos de infraestructura o en nubes dedicadas donde mantienen el control total del material de clave de cifrado, incluyendo integración con HSM validados FIPS 140-3. Cuando los usuarios comparten archivos, envían correos cifrados o transfieren datos mediante APIs seguras, Kiteworks cifra el contenido usando claves bajo control directo de la institución. El contenido cifrado atraviesa redes de terceros pero permanece protegido criptográficamente con claves fuera del alcance del proveedor.

Esta arquitectura cumple los requisitos de externalización de la EBA porque la institución mantiene la capacidad unilateral de negar el acceso a datos en texto claro. Kiteworks opera como plataforma de comunicación pero no puede descifrar el contenido protegido sin solicitar claves a la infraestructura de gestión de claves controlada por el cliente. Las operaciones de claves se integran con los proveedores de identidad institucionales, aplican RBAC definido centralmente y generan registros de auditoría inmutables que vinculan cada operación de cifrado, descifrado y acceso a claves con usuarios y contextos empresariales específicos.

Kiteworks ofrece capacidades de mapeo de cumplimiento que asocian automáticamente las operaciones de clave con GDPR, PSD2 y otros marcos regulatorios. Cuando los reguladores solicitan evidencias de auditoría, los equipos de seguridad pueden generar informes completos que muestran qué personal accedió a categorías específicas de datos confidenciales, con qué propósito y bajo qué cadenas de autorización. La integración con plataformas SIEM como Splunk, IBM QRadar y Microsoft Sentinel garantiza que la telemetría de gestión de claves se integre en los flujos de trabajo más amplios de operaciones de seguridad.

Agenda una demo personalizada y descubre cómo Kiteworks permite a tu institución implementar un control de claves de cifrado que cumple los requisitos de externalización de la EBA, manteniendo la eficiencia operativa en los flujos de comunicación confidencial.

Preguntas Frecuentes

Las directrices de externalización de la EBA exigen el control de claves de cifrado porque garantiza que las instituciones financieras mantengan capacidades independientes de acceso, recuperación y revocación sobre los datos confidenciales procesados por proveedores externos. Sin control directo, las instituciones no pueden demostrar soberanía de datos, ejecutar estrategias de salida ni garantizar la recuperación ante fallos o disputas con proveedores, aspectos críticos para la resiliencia operativa y el cumplimiento regulatorio.

Depender de claves de cifrado gestionadas por el proveedor genera exposición regulatoria, ya que las instituciones no pueden impedir el acceso del proveedor bajo procesos legales extranjeros, garantizar la recuperación de datos tras fallos técnicos ni verificar que personal no autorizado carece de acceso. Este esquema no cumple las expectativas de la EBA sobre separación de controles y complica las estrategias de salida, suponiendo riesgos operativos materiales.

Las instituciones financieras pueden lograr un control efectivo de claves de cifrado implementando módulos de seguridad hardware (HSM) en sus centros de datos, utilizando servicios de claves gestionadas por el cliente en plataformas en la nube o aplicando esquemas de cifrado en sobre. Estas soluciones deben asegurar que la institución conserve la capacidad unilateral de negar al proveedor el acceso a datos en texto claro e integrarse con sistemas de gestión de identidades para control de acceso basado en roles y registros de auditoría.

Al seleccionar proveedores, las instituciones financieras deben priorizar capacidades técnicas para claves gestionadas por el cliente mediante APIs estandarizadas y arquitecturas bring-your-own-key. Los contratos deben preservar el control unilateral sobre las claves, prohibir el acceso del proveedor a datos en texto claro e incluir disposiciones de salida que aseguren la transferencia de datos cifrados sin descifrado gestionado por el proveedor, junto con derechos de auditoría para verificar el cumplimiento de los controles de gestión de claves.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks