Superintendencia de Instituciones del Sector Bancario (Sudeban): Normativas Claves para la Computación en la Nube en la Banca Venezolana

La Superintendencia de Instituciones del Sector Bancario (Sudeban) ha establecido un marco normativo riguroso para la implementación de servicios de Computación en la Nube en la banca venezolana, con el objetivo primordial de salvaguardar la seguridad de las operaciones y asegurar que los datos críticos no salgan del territorio nacional.

Aspectos Clave:

1. Prohibición de Traslado de Datos Sensibles: La Sudeban enfatiza, a través de una circular dirigida a los entes regulados, la prohibición expresa de trasladar centros de cómputos y bases de datos críticos fuera del territorio nacional.
2. Riesgos de Seguridad: Advierte sobre los posibles riesgos de seguridad asociados con la Computación en la Nube en operaciones bancarias y destaca la necesidad de establecer normas para mitigar estos riesgos.
3. Presencia Nacional de Proveedores: Requiere que las empresas proveedoras de servicios de Computación en la Nube contratadas por bancos tengan presencia física en el territorio nacional.
4. Aprobación Previa de Contratos: Establece que los contratos, con todos sus términos, deben someterse a la aprobación previa de la Sudeban antes de su suscripción.
5. Plazo de Adecuación: Se otorga un plazo de 20 días, a partir de la fecha de emisión de la circular (29 de diciembre de 2023), para ajustar los contratos a los requisitos establecidos.

Previsiones Clave:

1. Gestión de Riesgos Tecnológicos: Ordena la creación de un marco de gestión de riesgos tecnológicos relacionados con la implementación de la Computación en la Nube, incluyendo el uso de API y servicios web de terceros.
2. Inventario de Activos: Exige mantener un inventario actualizado de activos en los sistemas, componentes tecnológicos y de seguridad, clasificándolos según su sensibilidad, criticidad o confidencialidad.
3. Estrategia y Arquitectura de Seguridad: Insta a los bancos a definir una estrategia y arquitectura de seguridad en la nube, así como a mantener manuales actualizados de políticas, normas y procedimientos.
4. Protección de Información Sensible: Instruye que la información sensible debe protegerse en los procesos de generación, transmisión y almacenamiento mediante algoritmos de cifrado robustos.
5. Pruebas de Vulnerabilidades: Las instituciones financieras deben realizar pruebas de vulnerabilidades y penetración al perímetro de la red al menos una vez al año.

Requisitos para Contratos:

1. Identificación Completa de las Partes: Incluyendo bancos y proveedores de servicios de Computación en la Nube.
2. Naturaleza y Especificación del Servicio Contratado: Detalles precisos del servicio.
3. Acuerdos de Confidencialidad: Especificación de acuerdos de confidencialidad y no revelación de información.
4. Ubicación Física de Datos: Indicación clara de la ubicación física donde se procesarán y almacenarán los datos.
5. Responsabilidades de la Empresa Proveedora: Determinación de responsabilidades para garantizar la seguridad informática y prevenir pérdidas de datos.
6. Auditorías y Cumplimiento Legal: Autorización para que los bancos auditen responsabilidades contractuales y cumplan con requisitos legales.
7. Información Inmediata: Obligación de proveedores de informar de inmediato cualquier evento que pueda afectar la prestación del servicio.
8. Pruebas de Penetración: Exigencia de ejecutar pruebas de penetración al menos una vez al año, junto con evaluaciones de vulnerabilidades y corrección oportuna de brechas detectadas.

El Panorama del Cloud Computing en Venezuela: Un Resplandor de Resiliencia e Innovación

En el contexto del Cloud Computing en Venezuela, se revela un tesoro de resiliencia y capacidad innovadora. No se trata simplemente de un recordatorio, sino de una demostración tangible de las características distintivas de nuestro país.

En momentos críticos, cuando las sanciones amenazaron los cimientos de la banca nacional, la negativa de ORACLE y Microsoft a brindar soporte en Venezuela no fue un obstáculo, sino una oportunidad para la evolución. Bancos líderes, como el Banco de Venezuela (BDV), no solo se vieron obligados a migrar a soluciones de código abierto, sino que también establecieron centros de datos locales, respaldándose en proveedores nacionales como CANTV.

La escena del Cloud Computing en Venezuela ya cuenta con actores destacados. Empresas como Dayco, con su centro principal en Valencia, Edo Carabobo, lideran el camino, respaldadas por gigantes como CANTV, con su centro de datos en Caracas, y las contribuciones significativas de Digitel y Movistar, que, aunque se centran en la transmisión de datos, también han entrado en juego.

El desafío no radica en la escasez de opciones, sino en la falta de conocimiento. La burocracia administrativa y un marketing subóptimo han mantenido en las sombras a estos protagonistas del Cloud Computing en Venezuela. A pesar de la apariencia modesta de Dayco en la web, sus servicios son formidables, desafiando la percepción superficial.

Si bien operar un banco implica más que unos simples clics, es imperativo reconocer que Venezuela está a la par en términos de proveedores de servicios en la nube. Estos proveedores son una realidad, listos para impulsar el desarrollo del país.

No pasemos por alto a Movilnet, Digitel y Movistar, quienes no solo ofrecen servicios de notificación SMS en tiempo real, interconexión de centros de llamada y VoIP, sino que también representan una alternativa robusta a las opciones de gigantes como AWS en enrutamiento de datos y CDN. A lo largo de los años, han sido la columna vertebral de la interconexión bancaria, demostrando que Venezuela tiene mucho que ofrecer en el universo del Cloud Computing. ¡Es hora de reconocer y aprovechar nuestro potencial!

Acceso a la Última Tecnología con Centros Locales de Distribución: La Alianza entre IBM Venezuela y Dayco

Cuando la búsqueda de la última tecnología se encuentra con las restricciones normativas y la necesidad de operar localmente, las alianzas estratégicas ofrecen una solución crucial. En este contexto, IBM Venezuela ha forjado una alianza significativa con Dayco para proporcionar Infraestructura como Servicio (IaaS), Software como Servicio (SaaS) y soluciones de Cloud Computing, todo dentro del territorio venezolano.

Esta colaboración estratégica no solo brinda acceso a la vanguardia tecnológica que ofrece IBM, sino que también se adapta a las regulaciones locales, como las establecidas por la Superintendencia de Instituciones del Sector Bancario (SUDEBAN). La alianza con Dayco permite a cualquier entidad aprovechar los servicios de IBM sin necesidad de trasladar datos u operaciones fuera de Venezuela.

Este enfoque innovador no solo cumple con las normativas locales, sino que también ofrece a las empresas y entidades la capacidad de acceder a la última tecnología sin comprometer la seguridad y la soberanía de los datos. La alianza entre IBM y Dayco se convierte así en un modelo ejemplar, destacando cómo las empresas pueden avanzar tecnológicamente sin sacrificar la conformidad normativa y la operación local.

¿Cuales bancos usan nubes extranjeras en Venezuela?

Existen varios, pero sin duda el que más integrado esta es Bancamiga, de hecho salio en los casos de exitos de AWS en latinoamerica:

Es vital destacar que Bancamiga no está solo en la adopción de nubes extranjeras en Venezuela; sin embargo, sobresale como el banco que lidera la carga al ejecutar parte significativa de sus servicios financieros en estas plataformas. Banesco, por ejemplo, confía en AWS para el almacenamiento de datos y servicios web, aunque esta decisión se limita casi exclusivamente al portal web y no abarca la totalidad de sus servicios financieros.

En tiempos de pandemia, Bancaribe resaltó su asociación estratégica con Dayco. Además, Bancaribe se apoya en aliados comerciales locales como Credicard, mientras Mercantil ha optado por proveedores locales y una infraestructura propia, como su colaboración con PLATCO en asociación con Banco Provincial. Estas alianzas únicas se traducen en que los puntos de venta de Mercantil y Provincial pueden liquidar todas las tarjetas Mastercard y Visa Debit, ya sean nacionales o internacionales, en tiempo real desde Venezuela. Todo este entramado de integraciones y procesos transcurre en centros de datos estratégicamente ubicados en el país. Incluso, tanto Banco Mercantil Venezuela como Banco Provincial cuentan con sus propios ASN (Autonomous System Numbers).

¿Qué bancos despuntan por tener nubes o infraestructura propia a nivel local?

Prácticamente todos los bancos han incursionado en esta dirección, pero algunos destacan por su independencia total de nubes extranjeras, más allá de las redes de pago. Estos líderes son:

• AS52386 Banco Nacional de Crédito, C.A., VE
• AS28012 BBVA Banco Provincial S.A., VE
• AS27862 Banesco Banco Universal, VE
• AS262176 BANCO EXTERIOR, VE
• AS27957 Banco Mercantil C.A., S.A.C.A., VE

Estos bancos no solo albergan sus centros de datos localmente, sino que toda su infraestructura, desde el almacenamiento hasta las redes de transmisión de datos, es completamente propia (salvo algunos tramos que se interconectan con proveedores locales como Digitel, Movistar y CANTV). Esta autonomía tecnológica les permite prescindir de proveedores extranjeros y, además, cuentan con bloques propios asignados de IPv4 e IPv6, junto con sus respectivos ASN, consolidando así su independencia en el ámbito tecnológico.

Bancamiga y Mercantil: Pilares Indiscutibles del Sector Bancario Venezolano

En el dinámico escenario financiero venezolano, Bancamiga y Mercantil son protagonistas destacados, cada uno marcando su propio camino en la búsqueda de la excelencia.

Bancamiga, con su evolución extraordinaria impulsada por la flexibilidad de AWS, ha demostrado ser un referente en adaptabilidad y crecimiento. Por otro lado, Mercantil continúa liderando el mercado como el banco más sólido y confiable, rara vez experimentando fallos gracias a su infraestructura 100% propia. Esta autonomía no solo brinda estabilidad, sino también la capacidad de realizar modificaciones a medida, adaptándose ágilmente a las demandas del mercado.

Un hito notable en la innovación de Mercantil es la colaboración con PLATCO, que ha permitido la implementación de la única BIN Range Table actualizada en tiempo real en los puntos de venta. Mercantil destaca como el único banco capaz de liquidar transacciones con tarjetas Mastercard y Visa Debit, tanto nacionales como internacionales, en tiempo real, bajo la categoría de débito.

No podemos pasar por alto la resiliencia del BDV Banco de Venezuela, que, ante la necesidad inmediata, migró toda su infraestructura a open source y se apoyó en proveedores locales como CANTV. Aunque inicialmente desafiante, esta decisión ha resultado acertada, permitiendo a BDV ofrecer servicios innovadores que responden a las necesidades reales del venezolano común. La aplicación BDV Digital es un ejemplo, destacándose por su eficiencia, apertura de cuentas automática y respuesta ágil a las demandas del mercado.

Además, los hackatones de BDV han generado propuestas únicas como Pago Móvil y Biopago, revolucionando la forma de realizar transferencias interbancarias en tiempo real. A pesar de las sanciones a Venezuela, estas innovaciones subrayan la importancia de no depender exclusivamente de nubes extranjeras. El sector bancario venezolano demuestra que la autonomía y la innovación local son clave para la resiliencia y el progreso continuo.

¿Porque es importante los centros de datos locales?

Los centros de datos locales son importantes por varias razones clave:

1. Resiliencia y Disponibilidad: Al tener centros de datos locales, las instituciones financieras y las empresas pueden asegurar una mayor resiliencia y disponibilidad de servicios. Esto es crucial para garantizar que las operaciones críticas no se vean afectadas por interrupciones en infraestructuras ubicadas en otros países.

2. Cumplimiento Normativo: La ubicación de los centros de datos puede ser crucial para cumplir con regulaciones y normativas específicas de un país. Al tener infraestructuras locales, las organizaciones pueden adaptarse mejor a las leyes locales sobre privacidad, almacenamiento de datos y otros requisitos normativos.

3. Reducción de Latencia: La proximidad geográfica de los centros de datos locales reduce la latencia en la entrega de servicios. Esto es especialmente relevante en aplicaciones que requieren respuestas rápidas, como transacciones financieras en tiempo real.

4. Soberanía de Datos: Algunos países tienen regulaciones estrictas sobre dónde deben almacenarse los datos de sus ciudadanos. La presencia de centros de datos locales permite a las empresas cumplir con estas políticas y garantizar la soberanía de los datos.

5. Resistencia a Cambios Políticos o Restricciones Externas: el ejemplo de Zelle y las restricciones impuestas por cambios políticos o leyes extranjeras demuestra el riesgo latente de depende de nubes extranjeras nada garantiza por ejemplo que a un banco Venezolano mañana por alguna sancion etc le digan que no puede usar AWS, Azure o Google Cloud; tener centros de datos locales ofrece una capa adicional de protección. Evita que las empresas dependan exclusivamente de servicios alojados en otros países, reduciendo así la vulnerabilidad a posibles bloqueos o cambios en las políticas internacionales.

Lecciones de Zelle y Bank of America para los Venezolanos

La reciente desconexión de Zelle en Venezuela y las restricciones impuestas por Estados Unidos en cuentas de Bank of America sirven como recordatorio contundente de la importancia estratégica de contar con centros de datos locales en el sector financiero. Estos eventos, resultado de sanciones y cambios en las leyes internacionales, han afectado directamente a numerosos venezolanos, poniendo de manifiesto la vulnerabilidad inherente a depender exclusivamente de servicios en el extranjero.

Ejemplos Tangibles de Vulnerabilidad

El caso de Zelle, una plataforma popular para transferencias internacionales, dejó a muchos venezolanos en una posición precaria cuando Wells Fargo bloqueó el acceso desde Venezuela. La situación se agravó cuando las leyes estadounidenses cambiaron, y acceder a fondos congelados en cuentas de Bank of America requirió una visita personal al banco, una tarea casi imposible para aquellos a miles de kilómetros de distancia.

Banco de Venezuela ha sido un ejemplo elocuente de cómo las sanciones y dependencias de software privado pueden tener un impacto significativo en la infraestructura financiera. En un momento, el banco operaba con servicios y software privados de provedores como Microsoft y Oracle, pero la situación cambió drásticamente. Ante las restricciones impuestas, Banco de Venezuela tomó la decisión estratégica de migrar completamente a soluciones de código abierto (open source). Hoy en día, esta transición le otorga independencia de las fluctuaciones en la disponibilidad de licencias de Microsoft u Oracle en Venezuela y lo hace especialmente inmune a las sanciones, hoy en día lo único que mantiene conectado con el extranjero al BDV son las redes de pago internacionales tales como Visa, Mastercard y SWIFT, del resto todas las operaciones transcurren por soluciones locales como S7B y Naiguata.

En paralelo, Mercantil ha emergido como un líder en la industria financiera al adoptar una postura proactiva. Este banco no solo lidera el camino en servicios bancarios, sino que también ha asegurado su autonomía tecnológica al poseer sus propios bloques de IPv4 e IPv6, respaldados por su propio Sistema Autónomo de Números (ASN). Esta medida estratégica no solo garantiza la estabilidad operativa, sino que también protege a Mercantil de posibles interrupciones asociadas con proveedores externos.

Venezolano de Crédito, como miembro fundador de SWIFT, en la region y creador de la primera red de cajeros automáticos en Venezuela y Latinoamérica, ademas de la red de interconexión S7B, ha mantenido una visión clara: nunca delegar sistemas críticos a nubes con centros de datos ubicados en el extranjero. La experiencia y liderazgo de este banco resaltan la importancia de la soberanía tecnológica y la gestión independiente de infraestructuras vitales para la operación del sector financiero.

Estos ejemplos refuerzan la idea de que la adopción de soluciones de código abierto y la gestión autónoma de recursos tecnológicos son elementos cruciales en un entorno financiero global afectado por sanciones y restricciones. Las instituciones financieras venezolanas, al seguir estas lecciones, pueden fortalecer su resiliencia y asegurar la continuidad de servicios críticos independientemente de cambios geopolíticos o restricciones externas.

Relevancia Global de la Soberanía de Datos

Venezuela no es un caso aislado. Estados Unidos, la Unión Europea, Rusia, Emiratos Árabes, Colombia, Brasil, China, Japón, Argentina entre otros, también han implementado leyes que regulan el almacenamiento de datos y la privacidad. La soberanía de datos se ha convertido en un tema global crítico, y la presencia de centros de datos locales se ha vuelto esencial para garantizar la continuidad de servicios en medio de cambios geopolíticos y legales. 

Un Paso Estratégico hacia la Resiliencia

La instalación de centros de datos locales no solo cumple con requisitos regulatorios, sino que también fortalece la resiliencia de las instituciones financieras ante eventos imprevistos. Al reducir la dependencia de servicios en el extranjero, se minimizan los riesgos asociados con bloqueos súbitos y cambios en políticas internacionales, protegiendo así los activos y la accesibilidad de los ciudadanos.

En resumen, la lección extraída de experiencias como la de Zelle, Bank of America y el BDV es clara: la presencia de centros de datos locales se ha vuelto imprescindible para salvaguardar la continuidad de los servicios financieros en un entorno global dinámico y a menudo impredecible. Los venezolanos, al igual que ciudadanos de otros países, se benefician enormemente de esta medida estratégica, que ofrece una capa adicional de seguridad y control en un mundo cada vez más interconectado.

Contenido textual de la circular: