Autoridad de Regulación Prudencial del Banco de Inglaterra Cumplimiento SS2/21

Contactar con un experto

Volver a todos los casos de uso

PRA SS2/21 y gestión de riesgos de terceros

La Declaración de Supervisión SS2/21 de la Autoridad de Regulación Prudencial (PRA) del Banco de Inglaterra establece las expectativas sobre cómo las empresas reguladas por la PRA deben cumplir los requisitos reglamentarios relativos a la externalización y la gestión de riesgos de terceros para mejorar la resistencia de las empresas.

La Declaración de Supervisión se aplica a todos los bancos, empresas de inversión y de seguros del Reino Unido, y a las sucursales en el Reino Unido de bancos y empresas de seguros extranjeros, y

  • Se aclara la diferencia entre subcontratación material y acuerdos con terceros no subcontratados.
  • Establece expectativas para las evaluaciones y la diligencia debida de terceros
  • Identifica las áreas que requieren un examen detallado, como la seguridad de los datos, las auditorías, la subcontratación, la continuidad de la actividad y las estrategias de salida.

La Declaración de Supervisión SS2/21 exige que las empresas reguladas por la PRA lleven a cabo una Evaluación de Materialidad para cada proveedor durante la incorporación y, posteriormente, de forma periódica. Por lo tanto, es importante seguir las prácticas de resiliencia empresarial y operativa de terceros necesarias para cumplir la normativa y minimizar el riesgo para su organización.

Requisitos pertinentes

  • Llevar a cabo evaluaciones de materialidad y supervisar continuamente a los terceros subcontratados y no subcontratados en relación con los riesgos de resiliencia empresarial.
  • Medir el rendimiento de terceros en relación con el riesgo operativo, el riesgo de conducta, el riesgo de información y el riesgo jurídico.
  • Identificar e informar periódicamente sobre la resistencia de las empresas terceras
  • Establecer de forma proactiva requisitos de resistencia empresarial en los contratos con terceros.

Cumplimiento de la Declaración de Supervisión SS2/21 de la PRA

La tabla resumen que figura a continuación relaciona las capacidades de la Plataforma de Gestión de Riesgos de Terceros Prevalentes con los requisitos de terceros subcontratados y no subcontratados seleccionados.

NOTA: Esta tabla es sólo un resumen de los requisitos más relevantes y no debe considerarse una guía exhaustiva y definitiva. Para obtener una lista completa de los requisitos, revise detalladamente la Declaración de Supervisión completa y consulte a su auditor.

Requisitos PRA SS2/21

Cómo ayudamos

2 Definiciones y ámbito de aplicación

2.8 "En consonancia con las expectativas del Capítulo 4 de este ES, las empresas pueden aplicar una única política holística de gestión del riesgo de terceros que abarque los acuerdos de externalización y no externalización con terceros. Alternativamente, pueden tener políticas separadas en cada una de esas áreas respectivas, siempre que estén alineadas, sean coherentes, eficaces y se basen adecuadamente en el riesgo."

La plataforma de gestión de riesgos de terceros de Prevalent simplifica la gestión de terceros, permitiendo a las organizaciones unificar y automatizar las tareas críticas necesarias para identificar, evaluar, gestionar, supervisar continuamente y remediar los riesgos de seguridad, privacidad, cumplimiento y operativos de terceros en cada etapa del ciclo de vida del proveedor. La solución ofrece:

  • Elaboración de perfiles, clasificación por niveles y puntuación de riesgos inherentes y residuales basada en criterios exhaustivos para identificar a los terceros subcontratistas importantes y no importantes.
  • Más de 100 plantillas normalizadas y evaluaciones de riesgos personalizadas adaptadas a terceros materiales y no materiales con gestión integrada de flujos de trabajo, tareas y pruebas.
  • Gestión de correcciones con orientación integrada para actuar sobre los riesgos identificados de terceros subcontratantes de material.
  • Informes de cumplimiento y riesgo por marco o normativa para simplificar el proceso de auditoría

2.9 "Las siguientes normas se aplican a todos los acuerdos de TIC con terceros:
[...]
requisitos y normas legales pertinentes sobre seguridad de las TIC (por ejemplo, Cyber Essentials Plus) y protección de datos, incluidos, entre otros, el Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Datos de 2018."

La plataforma Prevalent incluye una biblioteca de más de 100 plantillas de cuestionarios que abordan una multitud de marcos basados en la seguridad de las TIC, incluidos Cyber Essentials, ISO 27001, NIST 800-53, GDPR y muchos otros.

3 Proporcionalidad

3.6 "En función de su nivel de control e influencia con respecto a los acuerdos de externalización intragrupo, una empresa puede, por ejemplo:

  • ajustar su diligencia debida con respecto a los proveedores, aunque las empresas deben seguir evaluando cuidadosamente si un posible proveedor de servicios que forma parte de su grupo tiene la capacidad, los recursos y la estructura organizativa adecuada para apoyar el desempeño de la función externalizada o el servicio de terceros;
  • ..."

La plataforma TPRM de Prevalent permite a los equipos de seguridad y gestión de riesgos clasificar automáticamente a los proveedores en función de su puntuación de riesgo inherente. Los resultados pueden utilizarse para establecer niveles adecuados de diligencia debida adicional y determinar el alcance de las evaluaciones en curso.

3.7 "Cuando proceda, las empresas podrán aprovechar el cumplimiento de los requisitos existentes en otros ámbitos de regulación para ayudar a cumplir sus obligaciones reglamentarias con respecto a sus acuerdos de externalización intragrupo."

  • ajustar su diligencia debida con respecto a los proveedores, aunque las empresas deben seguir evaluando cuidadosamente si un posible proveedor de servicios que forma parte de su grupo tiene la capacidad, los recursos y la estructura organizativa adecuada para apoyar el desempeño de la función externalizada o el servicio de terceros;
  • ..."

La plataforma Prevalent asigna automáticamente la información recopilada de las evaluaciones basadas en controles a marcos normativos como ISO 27001, GDPR y docenas más. Esto le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes y simplificar los procesos de auditoría.

Los clientes también pueden optar por utilizar el Marco de Cumplimiento Prevalente (PCF), una evaluación única y completa que permite a los equipos de seguridad y gestión de riesgos asignar respuestas a varios requisitos normativos.

5 Fase previa a la externalización

5.8 "Las empresas son responsables de evaluar la materialidad de sus acuerdos de externalización y con terceros. La materialidad puede variar a lo largo de la duración de un acuerdo y, por lo tanto, debe ser (re)evaluada:

  • antes de firmar el acuerdo por escrito;
  • a intervalos apropiados a partir de entonces, por ejemplo, durante los periodos de revisión programados;
  • cuando una empresa tenga previsto aumentar su uso del servicio o su dependencia del proveedor de servicios; y/o
  • si se produce un cambio organizativo significativo en el proveedor de servicios o en un proveedor de servicios subcontratado importante que pueda modificar sustancialmente la naturaleza, la escala y la complejidad de los riesgos inherentes al acuerdo de subcontratación, incluido un cambio significativo en la propiedad o la situación financiera del proveedor de servicios."

La plataforma Prevalent permite a las organizaciones evaluar, supervisar y remediar los riesgos en todas las fases del ciclo de vida de terceros. Entre las funciones clave se incluyen:

  • Gestión de RFx, que permite a las organizaciones automatizar y añadir inteligencia de riesgo a las decisiones de selección de proveedores.
  • Gestión del ciclo de vida de los contratos, automatización para mejorar la experiencia de contratación de proveedores y supervisión continua de los acuerdos de nivel de servicio.
  • La mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo integrado, tareas y gestión de pruebas para evaluaciones de riesgos periódicas.
  • Supervisión nativa de los riesgos cibernéticos, de infracción, empresariales, de reputación y financieros para evaluar continuamente los riesgos de los proveedores entre las evaluaciones anuales y correlacionar los hallazgos con los resultados de las evaluaciones para determinar si es necesario seguir investigando.

5.10 "Las empresas deben desarrollar sus propios procesos para evaluar la materialidad como parte de su política de externalización o de gestión de riesgos de terceros (véase el capítulo 4)."

La plataforma Prevalent automatiza la identificación, la evaluación, el análisis, la supervisión continua y la corrección de los riesgos de terceros en todas las fases del ciclo de vida del proveedor, desde la selección hasta la incorporación. La plataforma incluye una amplia biblioteca de plantillas de evaluación, incluidas las destinadas a determinar la importancia de un acuerdo con terceros y los riesgos que conlleva.

5.11 "En consonancia con la definición de "externalización material" del Rulebook de la PRA y, en su caso, con los criterios de las GL de externalización de la EBA, una empresa debe considerar generalmente que un acuerdo de externalización o de terceros es material cuando un defecto o fallo en su ejecución podría perjudicar materialmente la estabilidad financiera del Reino Unido o de las empresas";

  • capacidad para cumplir las Condiciones Umbral;
  • cumplimiento de las Normas Fundamentales;
  • los requisitos de la "legislación pertinente" y del Reglamento de la PRA36
  • seguridad y solidez, incluyendo
    resistencia financiera, es decir, activos, capital, financiación y liquidez; o resistencia operativa, es decir, su capacidad para seguir prestando servicios empresariales importantes;
  • sólo para las aseguradoras, la capacidad de ofrecer un grado adecuado de protección a quienes son o pueden llegar a ser tomadores de seguros, de conformidad con los objetivos legales de la PRA; y
    el requisito de no socavar el "servicio continuo y satisfactorio a los tomadores de seguros" de acuerdo con las Condiciones que rigen las actividades 7.2.
  • OCIR y, en su caso, resolubilidad".

La plataforma TPRM de Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros subcontratados y no subcontratados, a la vez que asigna automáticamente los resultados a NIST, ISO y otros marcos de control para demostrar el cumplimiento.

Para complementar las evaluaciones de resistencia empresarial y validar los resultados, Prevalent:

  • Automatiza la cibervigilancia continua para predecir posibles impactos empresariales de terceros.
  • Accede a información cualitativa de más de 550.000 fuentes públicas y privadas de información sobre reputación que podría indicar inestabilidad en los proveedores.
  • Accede a la información financiera de una red mundial de 2 millones de empresas para identificar la salud financiera o los problemas operativos de los proveedores.

5.12 "La PRA también espera que las empresas clasifiquen un acuerdo de externalización como importante si el servicio externalizado implica un:

  • toda la "actividad regulada", por ejemplo, la gestión de carteras; o
  • "control interno" o "función clave", a menos que la empresa esté convencida de que un defecto o fallo de funcionamiento no afectaría negativamente a la función pertinente."

Prevalent permite a las organizaciones clasificar a terceros en función de múltiples criterios, entre ellos:

  • Tipo de contenido necesario para validar los controles
  • Importancia para los resultados de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Grado de dependencia de terceros
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación financiera e implicaciones
  • Reputación

Un proceso eficaz de clasificación por niveles y categorías permite a las organizaciones evaluar a terceros en función de su importancia para las operaciones de la empresa, al tiempo que sirve de base para otros esfuerzos de diligencia debida.

5.12 "La PRA también espera que las empresas clasifiquen un acuerdo de externalización como importante si el servicio externalizado implica un:

  • toda la "actividad regulada", por ejemplo, la gestión de carteras; o
  • "control interno" o "función clave", a menos que la empresa esté convencida de que un defecto o fallo de funcionamiento no afectaría negativamente a la función pertinente."

Prevalent permite a las organizaciones clasificar a terceros en función de múltiples criterios, entre ellos:

  • Tipo de contenido necesario para validar los controles
  • Importancia para los resultados de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Grado de dependencia de terceros
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación financiera e implicaciones
  • Reputación

Un proceso eficaz de clasificación por niveles y categorías permite a las organizaciones evaluar a terceros en función de su importancia para las operaciones de la empresa, al tiempo que sirve de base para otros esfuerzos de diligencia debida.

5.13 "La PRA espera que las empresas tengan en cuenta todos los criterios aplicables de la Tabla 5, tanto individualmente como en conjunto, a la hora de evaluar la importancia de un acuerdo de externalización o de terceros que no esté cubierto de otro modo por los apartados 5.8 y 5.9". Aunque en la práctica muchos acuerdos materiales de externalización y con terceros implican productos o servicios de TIC (por ejemplo, la nube), la presencia de un determinado producto o servicio de TIC no convierte automáticamente, por sí misma, un acuerdo de externalización en material.

Recreado a partir de la Tabla 5:

Conexión directa con el ejercicio de una actividad regulada.

Tamaño y complejidad de las áreas de negocio o funciones pertinentes.

El impacto potencial de una perturbación, un fracaso o un rendimiento inadecuado en la empresa:

  • la continuidad de la actividad, la resistencia operativa y el riesgo operativo, incluidos: el riesgo de conducta, el riesgo de las TIC, el riesgo jurídico y el riesgo de reputación.
  • capacidad para: cumplir los requisitos legales y reglamentarios; realizar auditorías adecuadas de la función, el servicio o el proveedor de servicios pertinentes; e identificar, controlar y gestionar todos los riesgos.
  • las obligaciones en virtud del Rulebook de la PRA;
    la protección de datos y el impacto potencial de una violación de la confidencialidad o de no garantizar la disponibilidad e integridad de los datos de la entidad o entidad de pago y sus clientes, incluidos, entre otros, el GDPR y la Ley de Protección de Datos de 2018.
  • contrapartes, clientes o asegurados.
  • intervención temprana, planificación de la recuperación y la resolución, OCIR y resolubilidad.

La capacidad de la empresa para ampliar el servicio externalizado.

Posibilidad de sustituir al proveedor de servicios o de volver a contratar internamente el servicio externalizado, incluidos los costes estimados, el impacto operativo, los riesgos y el calendario de una salida en escenarios con y sin tensiones."

La plataforma Prevalent incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas de la norma ISO 22301. Esto permite a las organizaciones:

  • Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
  • Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario de sistemas, las evaluaciones de riesgos, los gráficos RACI y los perfiles de empresas de terceros.
  • Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

5.18 "La PRA espera que las empresas lleven a cabo la diligencia debida en relación con el posible proveedor de servicios antes de suscribir un acuerdo de externalización, y que identifiquen una alternativa adecuada o proveedores de reserva cuando estén disponibles. Si no se dispone de proveedores alternativos o de reserva para un acuerdo de externalización material, las empresas deben considerar la continuidad de negocio alternativa, la planificación de contingencia y los acuerdos de recuperación de desastres para asegurarse de que pueden seguir proporcionando negocios importantes relevantes dentro de sus tolerancias de impacto en caso de interrupción material en el proveedor de servicios elegido (véase el capítulo 10)."

Prevalent RFx Essentials centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). RFx Essentials facilita a los equipos de adquisiciones no sólo la selección de soluciones y proveedores que cumplen los requisitos de funcionalidad y riesgo de la organización, sino también un primer paso fundamental en la gestión del riesgo durante todo el ciclo de vida de terceros.
Antes de seleccionar al proveedor, Prevalent permite a los equipos comparar y supervisar los datos demográficos del proveedor, las tecnologías de terceros, las puntuaciones ESG, las perspectivas empresariales y de reputación recientes, el historial de violaciones de datos y el rendimiento financiero.

Las organizaciones también pueden aprovechar las redes de inteligencia de proveedores prevalentes, que son bibliotecas a petición de miles de informes de riesgos de proveedores basados en la seguridad, la privacidad, la resistencia empresarial y los riesgos operativos. Las Prevalent Vendor Networks se actualizan continuamente y se completan con pruebas de apoyo.

5.19 "En el caso de subcontratación material, la PRA espera que la diligencia debida de las empresas tenga en cuenta la de los posibles proveedores:

  • modelo de negocio, complejidad, situación financiera, naturaleza, estructura de propiedad y escala;
  • capacidad, experiencia y reputación;
  • recursos financieros, humanos y tecnológicos;
  • Controles y seguridad de las TIC.
  • proveedores de servicios subcontratados, si los hubiera, que participarán en la prestación de servicios empresariales importantes o partes de los mismos."

5.20 "La diligencia debida también debe considerar si los posibles proveedores de servicios:

  • disponer de las autorizaciones o registros necesarios para realizar el servicio;
  • cumplir con el GDPR, la Ley de Protección de Datos y otros requisitos legales y reglamentarios aplicables en materia de protección de datos;
  • puedan demostrar una adhesión certificada a las normas reconocidas y pertinentes del sector;
  • puede facilitar, cuando proceda y previa solicitud, los certificados y la documentación pertinentes (por ejemplo, diccionarios de datos); y
  • tienen la capacidad de prestar el servicio que la empresa necesita de conformidad con los requisitos reglamentarios del Reino Unido (incluso en caso de un aumento repentino de la demanda del servicio en cuestión, por ejemplo, como resultado de un cambio al trabajo a distancia durante una pandemia). Un historial "general" de resultados anteriores puede no ser prueba suficiente por sí solo".

La plataforma Prevalent incluye más de 100 plantillas de evaluación predefinidas, incluidos cuestionarios estandarizados de evaluación de riesgos de proveedores de seguridad de la información, así como resiliencia empresarial, GDPR, FCA, ISO 27001, esclavitud moderna, lucha contra el soborno, salud y seguridad, rendimiento financiero, gestión y ética, etc.

Prevalent Vendor Threat Monitor rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Prevalent gestiona perfiles de proveedores centralizados que unifican datos demográficos, declaraciones de esclavitud moderna, puntuaciones de ESG y cuartos interlocutores asignados.

Prevalent integra y correlaciona la supervisión continua y las perspectivas de los perfiles con los resultados de las evaluaciones para proporcionar una ubicación central que permita ver los riesgos y actuar en consecuencia.

5.21 "En consonancia con el apartado 2 de la sección 3.4 relativa al control de riesgos y con la sección 3.1 relativa a la gestión de riesgos, las empresas deben evaluar, de manera proporcionada, los riesgos potenciales de todos los acuerdos con terceros, incluidos los acuerdos de externalización, con independencia de su importancia relativa. Como parte de la evaluación de riesgos, la PRA espera que las empresas consideren:

  • riesgos operativos basados en un análisis de escenarios graves pero plausibles, por ejemplo una violación o interrupción que afecte a la confidencialidad e integridad de datos sensibles y/o a la disponibilidad de la prestación de servicios (véase el capítulo 10); y
  • los riesgos financieros, incluida la posible necesidad de que la empresa preste apoyo financiero a un proveedor de servicios subcontratado o subcontratado en dificultades o se haga cargo de su actividad, incluso como consecuencia de una recesión económica (riesgo de "step-in")."

El servicio Prevalent Third-Party Incident Response Service permite a los equipos identificar y mitigar rápidamente el impacto de las infracciones de proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de sucesos, la puntuación de los riesgos identificados y el acceso a orientaciones de corrección.

Los clientes también pueden acceder a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de violación de datos de proveedores en tiempo real. Combinada con la supervisión cibernética continua, proporciona a las organizaciones una visión completa de los riesgos externos para la seguridad de la información que pueden afectar a las operaciones.

Prevalent accede a la información financiera de una red mundial de 2 millones de empresas. Incluye 5 años de cambios organizativos y resultados financieros, como facturación, pérdidas y ganancias, fondos de accionistas y otros datos útiles para evaluar la salud y viabilidad de la empresa.

5.22 "La PRA espera que las empresas lleven a cabo evaluaciones de riesgos en las circunstancias mencionadas en el apartado 5.6 y también si consideran que puede haberse producido un cambio significativo en los riesgos de un acuerdo de externalización debido, por ejemplo, a un incumplimiento grave/continuado del acuerdo o a un riesgo cristalizado."

Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

La plataforma ofrece acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de violación de datos de proveedores en tiempo real.

Estas funciones ayudan a colmar las lagunas existentes entre las evaluaciones periódicas de riesgos realizadas por terceros, y los resultados desencadenan acciones automatizadas como evaluaciones y correcciones adicionales.

5.23 "La evaluación de riesgos de una empresa debe sopesar cualquier riesgo que el acuerdo de externalización pueda crear o aumentar frente a cualquier riesgo que pueda reducir o permitir a la empresa gestionar más eficazmente (por ejemplo, la resistencia de una empresa a las interrupciones). La evaluación también debe tener en cuenta la mitigación de riesgos existente o prevista, por ejemplo, los procedimientos y la formación del personal."

La plataforma Prevalent incluye recomendaciones de corrección integradas para acelerar la mitigación de riesgos con terceros. Las organizaciones pueden utilizar la plataforma para comunicarse con los proveedores y coordinar los esfuerzos de corrección, así como para capturar y auditar conversaciones; registrar fechas estimadas de finalización; aceptar o rechazar respuestas de evaluación individuales; asignar tareas en función de riesgos, documentos o entidades; y cotejar documentación y pruebas con riesgos.

5.24 "La PRA espera que las empresas y los grupos (re)evalúen periódicamente y adopten medidas razonables para gestionar su dependencia global de terceros; y
los riesgos de concentración o de bloqueo de proveedores en la empresa o el grupo, debido a:

  • acuerdos múltiples con el mismo proveedor de servicios o con proveedores estrechamente relacionados;
  • dependencias de la cuarta parte/de la cadena de suministro, por ejemplo, cuando varios proveedores de servicios que de otro modo no estarían conectados dependen del mismo subcontratista para la prestación de sus servicios;
  • acuerdos con proveedores de servicios difíciles o imposibles de sustituir; y/o
  • concentración de la externalización y otras dependencias de terceros en una ubicación geográfica cercana, como una jurisdicción. Este tipo de concentración puede surgir incluso si una empresa utiliza múltiples proveedores de servicios de terceros no conectados, por ejemplo, un centro de externalización o deslocalización de procesos empresariales."

Prevalent mitiga los riesgos de concentración mediante la identificación de las relaciones con terceros a través de una evaluación de identificación nativa o mediante el escaneado pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Los proveedores descubiertos a través de este proceso son supervisados para identificar riesgos financieros, ESG, cibernéticos, empresariales y de violación de datos, así como para la detección de sanciones/PEP.

6 Acuerdos de externalización

6.3 "Las empresas deben asegurarse de que los acuerdos escritos para los acuerdos de externalización no materiales incluyan las salvaguardias contractuales adecuadas para gestionar y supervisar los riesgos pertinentes. Además, independientemente de la importancia relativa, las empresas deben asegurarse de que los acuerdos de externalización no impidan o limiten la capacidad de la PRA para supervisar eficazmente la empresa o la actividad, función o servicio externalizado."

Prevalent Contract Essentials centraliza la distribución, discusión, retención y revisión de los contratos de proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja.

Con Contract Essentials, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que puedan afectar a los niveles de servicio, aplicando eficazmente las salvaguardas contractuales.

6.3 "Las empresas deben asegurarse de que los acuerdos escritos para los acuerdos de externalización no materiales incluyan las salvaguardias contractuales adecuadas para gestionar y supervisar los riesgos pertinentes. Además, independientemente de la importancia relativa, las empresas deben asegurarse de que los acuerdos de externalización no impidan o limiten la capacidad de la PRA para supervisar eficazmente la empresa o la actividad, función o servicio externalizado."

Prevalent Contract Essentials centraliza la distribución, discusión, retención y revisión de los contratos de proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja.

Con Contract Essentials, las organizaciones pueden realizar un seguimiento centralizado de todos los contratos y atributos contractuales que puedan afectar a los niveles de servicio, aplicando eficazmente las salvaguardas contractuales.

7 Seguridad de los datos

Prevalent ofrece una única plataforma de colaboración para realizar evaluaciones de privacidad y mitigar los riesgos de privacidad tanto internos como de terceros. Entre las principales funciones de evaluación de la privacidad y la seguridad de los datos se incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto en la privacidad para descubrir datos empresariales e información personal identificable (IPI) en riesgo, lo que le permite analizar el origen, la naturaleza y la gravedad del riesgo y obtener orientaciones para remediarlo.
  • Evaluaciones de proveedores con respecto al GDPR y otras normativas de privacidad a través del Marco de Cumplimiento Prevalente (PCF), lo que le permite revelar posibles puntos conflictivos mediante la asignación de riesgos identificados a controles específicos.
  • Asignación de riesgos y respuestas al RGPD a los controles, con calificaciones de cumplimiento porcentuales e informes específicos para las partes interesadas.
  • Una base de datos con más de 10 años de historial de filtraciones de datos de miles de empresas de todo el mundo. Incluye tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de violación de datos de proveedores en tiempo real.
  • Incorporación, distribución, debate, conservación y revisión centralizados de los contratos con proveedores. De este modo se garantiza el cumplimiento de las disposiciones sobre protección de datos desde el principio de la relación.

8 Derechos de acceso, auditoría e información

8.7 "Las empresas pueden utilizar una serie de métodos de auditoría y otros métodos de recopilación de información, entre ellos:

  • auditorías externas, como certificados y otros informes independientes suministrados por proveedores de servicios; y
  • auditorías in situ, ya sea individualmente o junto con otras empresas (auditorías conjuntas)".

El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros comparándolas con los protocolos de pruebas establecidos para validar que se aplican los controles indicados.

En primer lugar, los expertos de Prevalent revisan las respuestas de las evaluaciones, ya procedan de cuestionarios personalizados o estandarizados. A continuación, asignamos las respuestas a SIG, SCA, ISO, SOC II,

AITECH y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas e in situ disponibles, Prevalent ofrece la experiencia necesaria para ayudarle a reducir el riesgo con sus recursos existentes.

8.9 "Los certificados e informes facilitados por los proveedores de servicios pueden ayudar a las empresas a obtener garantías sobre la eficacia de los controles del proveedor de servicios. Sin embargo, en los acuerdos de externalización importantes, la PRA espera que las empresas:

  • evaluar la idoneidad de la información contenida en dichos certificados e informes, y no dar por sentado que su mera existencia o presentación es prueba suficiente de que el servicio se presta de conformidad con sus obligaciones legales, reglamentarias y de gestión de riesgos; y
  • garantizar que los certificados y los informes de auditoría cumplen las expectativas del cuadro 8".

Prevalent centraliza certificaciones, acuerdos, contratos y justificantes con gestión integrada de tareas y aceptación, además de funciones de carga obligatoria.

9 Subcontratación externa

Prevalent identifica relaciones de cuarta y enésima parte mediante una evaluación de identificación nativa o escaneando pasivamente la infraestructura pública de la tercera parte. El mapa de relaciones resultante muestra las vías de información y las dependencias que podrían abrir caminos en un entorno.

Los proveedores descubiertos a través de este proceso son supervisados para identificar riesgos financieros, ESG, cibernéticos, empresariales y de violación de datos, así como para la detección de sanciones/PEP.

10 Continuidad de la actividad y planes de salida

10.1 "Para cada acuerdo material de externalización, la PRA espera que las empresas desarrollen, mantengan y prueben un plan de continuidad de negocio; y una estrategia de salida documentada, que debe cubrir y diferenciar las situaciones en las que una empresa abandona un acuerdo de externalización:

  • en circunstancias de tensión (por ejemplo, tras la quiebra o insolvencia del proveedor de servicios); y
  • mediante una salida planificada y gestionada por motivos comerciales, de rendimiento o estratégicos (salida no estresada)".

La plataforma de gestión de riesgos de terceros de Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resistencia y la continuidad del negocio de terceros, a la vez que asigna automáticamente los resultados a NIST, ISO y otros marcos de control.
Para complementar las evaluaciones de resistencia empresarial y validar los resultados, Prevalent:

  • Automatiza la cibervigilancia continua para predecir posibles impactos empresariales de terceros.
  • Accede a información cualitativa de más de 550.000 fuentes públicas y privadas de información sobre reputación que podría indicar inestabilidad en los proveedores.
  • Accede a la información financiera de una red mundial de 2 millones de empresas para identificar la salud financiera o los problemas operativos de los proveedores.

Este enfoque proactivo permite a las organizaciones minimizar el impacto de las interrupciones de terceros y mantenerse al tanto de los requisitos de cumplimiento.

10.3 "Las empresas deben implementar y exigir a los proveedores de servicios en acuerdos de externalización importantes que implementen planes de continuidad de negocio apropiados para anticipar, resistir, responder y recuperarse de interrupciones operativas graves pero plausibles."

10.9 "En consonancia con la Norma Fundamental 7, en caso de interrupción o emergencia (incluso en un proveedor de servicios externo o tercero), las empresas deben asegurarse de que cuentan con medidas eficaces de comunicación de crisis. De este modo, todas las partes interesadas internas y externas pertinentes, incluidos el Banco, la PRA, la FCA, otros reguladores internacionales y, si procede, los propios proveedores de servicios, serán informados de manera oportuna y adecuada."

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

  • Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
  • Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
  • Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

Prevalent ofrece recursos gratuitos para que las organizaciones los utilicen a la hora de crear o perfeccionar sus programas de continuidad de las actividades de terceros.

Recursos adicionales
Gobernanza, Riesgo y Cumplimiento
Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros
Más información
Gobernanza, Riesgo y Cumplimiento
Cómo cumplir los requisitos de riesgo de terceros de la Autoridad Bancaria Europea
Más información
Gobernanza, Riesgo y Cumplimiento
Cómo cumplir los requisitos de la Autoridad de Conducta Financiera (FCA) en materia de servicios informáticos en la nube y de terceros
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.