Cumplimiento de la Ley de Resiliencia Operativa Digital de la UE

Contactar con un experto

Volver a todos los casos de uso

Simplifique las evaluaciones de terceros de DORA

La Ley de Resiliencia Operativa Digital (DORA)está diseñada para garantizar que el sector financiero europeo sea capaz de mantener su resiliencia durante perturbaciones operativas graves.

La DORA establece requisitos uniformes para la seguridad de los sistemas de red e información de las empresas y organizaciones que operan en el sector financiero, como bancos, compañías de seguros y empresas de inversión.

La DORA crea un marco regulatorio para la resiliencia operativa digital, por el cual todas las empresas deben confirmar que pueden soportar, responder y recuperarse de una amplia gama de interrupciones de las TIC y amenazas cibernéticas. También se aplica a terceros críticos que prestan servicios de TIC (tecnologías de la información y la comunicación) al sector de los servicios financieros, como las plataformas en la nube o los servicios de análisis de datos.

Requisitos pertinentes

  • Evaluar los riesgos relacionados con los proveedores externos de TIC, incluidos los riesgos operativos, los riesgos de concentración y los riesgos sistémicos.
  • Mantener un registro de todos los proveedores y servicios externos de TIC.
  • Realice una diligencia debida exhaustiva antes de celebrar contratos con proveedores de servicios TIC externos.
  • Prueba de las capacidades de resiliencia operativa de los proveedores externos de TIC.
  • Asegúrese de que los contratos con proveedores externos incluyan derechos y obligaciones que puedan evaluarse de forma continua.
  • Desarrollar planes de recuperación y contingencia en caso de ciberataques o interrupciones a gran escala.
  • Supervisar los riesgos de concentración relacionados con los proveedores externos de TIC.
  • Asegúrese de que los subcontratistas estén sujetos a los mismos estándares de diligencia debida, supervisión y gestión de riesgos.

     

Correspondencia entre las capacidades prevalentes y los requisitos del capítulo V de la DORA: Gestión de los riesgos de terceros en las TIC

El capítulo V, sección I, artículos 28-30, incluye las prácticas para cumplir los requisitos de supervisión reglamentaria.

NOTA: Esta no es una lista exhaustiva de los requisitos de la DORA. Para obtener una visión completa de los requisitos de la DORA, consulte laley completay consulte al equipo de auditoría de su organización o al auditor externo.

Capítulo V: Gestión de riesgos de terceros en las TIC

Sección I: Principios clave para una gestión adecuada de los riesgos de terceros en las TIC

Requisito DORA

Mejores prácticas correspondientes para la gestión de riesgos de terceros

Artículo 28: Principios generales

28 (1).Las entidades financieras gestionarán el riesgo de terceros en materia de TIC como un componente integral del riesgo de TIC dentro de su marco de gestión de riesgos de TIC, tal y como se
menciona en el artículo 6(1), y de conformidad con los siguientes principios:

(a)Las entidades financieras que hayan establecido
acuerdos contractuales para el uso de servicios TIC con el fin de llevar a cabo sus operaciones comerciales serán, en todo momento, plenamente responsables de
cumplir y cumplir con todas las
obligaciones establecidas en el presente reglamento y en la legislación aplicable
en materia de servicios financieros.

b)La gestión del riesgo de terceros en materia de TIC (
)por parte de las entidades financieras se llevará a cabo a la luz del principio de proporcionalidad (
), teniendo en cuenta:

(i)la naturaleza, la escala, la complejidad y la importancia de las dependencias relacionadas con las TIC,

(ii)los riesgos derivados de los acuerdos contractuales
sobre el uso de servicios TIC
celebrados con terceros proveedores de servicios TIC,
teniendo en cuenta la criticidad o importancia
del servicio, proceso o función respectivos, y el impacto potencial en la continuidad y
disponibilidad de los servicios y actividades financieros, tanto a nivel individual
como a nivel de grupo.

28 (2).Como parte de su marco de gestión de riesgos de las TIC, las entidades financieras, salvo las entidades a que se refiere el artículo 16, apartado 1, párrafo primero, y salvo las microempresas, adoptarán y revisarán periódicamente una estrategia sobre los riesgos de terceros en materia de TIC, teniendo en cuenta la estrategia de múltiples proveedores a que se refiere el artículo 6, apartado 9, cuando proceda. La estrategia sobre el riesgo de terceros en materia de TIC incluirá una política sobre el uso de servicios de TIC que presten apoyo a funciones críticas o importantes proporcionados por terceros proveedores de servicios de TIC y se aplicará de forma individual y, cuando proceda, de forma subconsolidada y consolidada. El órgano de dirección, basándose en una evaluación del perfil de riesgo global de la entidad financiera y de la escala y complejidad de los servicios empresariales, revisará periódicamente los riesgos identificados en relación con los acuerdos contractuales sobre el uso de servicios TIC que dan soporte a funciones críticas o importantes.

Prevalent admite evaluaciones programadas para identificar los flujos de datos entre relaciones, identificando dónde existen los datos, dónde fluyen y con quién se comparten fuera de la organización utilizando una capacidad única de mapeo de relaciones. Genera automáticamente un registro de riesgos que destaca las áreas de riesgo clave para aportar visibilidad a los datos.

Prevalentcolaboracon su equipo en la definición e implementación de estrategias, procesos y soluciones de TPRM en el contexto de su enfoque general de gestión de riesgos; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida.

Como parte de este proceso, Prevalent le ayuda a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI).
  • Inventarios de terceros.
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Evaluación y supervisión. Metodologías basadas en la criticidad de terceros.
  • Mapeo de cuartos para comprender el riesgo en su ecosistema de proveedores ampliado.
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional y financiera).
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI).
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes.
  • Informes sobre riesgos y partes interesadas internas.
  • Estrategias de mitigación y remediación de riesgos.

28 (3).Como parte de su marco de gestión de riesgos de las TIC, las entidades financieras mantendrán y actualizarán, a nivel de entidad y a niveles subconsolidados y consolidados, un registro de información relativa a todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por terceros proveedores de servicios de TIC.
Los acuerdos contractuales a que se refiere el párrafo primero se documentarán adecuadamente, distinguiendo entre los que cubren servicios TIC que respaldan funciones críticas o importantes y los que no.
Las entidades financieras informarán al menos una vez al año a las autoridades competentes sobre el número de nuevos acuerdos sobre el uso de servicios TIC, las categorías de terceros proveedores de servicios TIC, el tipo de acuerdos contractuales y los servicios y funciones TIC que se prestan.
Las entidades financieras pondrán a disposición de la autoridad competente, previa solicitud de esta, el registro completo de la información o, si así se solicita, secciones específicas del mismo, junto con cualquier información que se considere necesaria para permitir la supervisión eficaz de la entidad financiera.
Las entidades financieras informarán a la autoridad competente, en el momento oportuno, de cualquier acuerdo contractual previsto sobre el uso de servicios TIC que presten apoyo a funciones críticas o importantes, así como cuando una función haya pasado a ser crítica o importante.

Con Prevalent, puede crear uninventario centralizado de tercerosimportando proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de aprovisionamiento existente. Los equipos de toda la empresa pueden rellenar los datos clave de los proveedores con un formulario de admisión centralizado y las tareas de flujo de trabajo asociadas. Esto está disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

Como parte de este proceso, Prevalent creaperfiles completos de los proveedoresque contienen toda la documentación relacionada con el tercero, además de datos demográficos, cuartos, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y resultados financieros recientes. Esto añade el contexto necesario para los procesos de auditoría.

Además, Prevalent cuantificalos riesgos inherentesa todos los proveedores para clasificar eficazmente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas. Los criterios utilizados para calcular el riesgo inherente para la clasificación de proveedores incluyen:

  • Importancia crítica para el rendimiento y las operaciones empresariales.
  • Ubicación(es) y consideraciones legales o normativas relacionadas.
  • Interacción con datos protegidos, datos de clientes o sistemas orientados al cliente.

Parte del proceso de clasificación consiste en identificara los proveedores de cuarto y enésimo nivelen su ecosistema de proveedores, ya que las dependencias críticas pueden influir en las decisiones de clasificación. Con Prevalent, puede realizar una evaluación basada en cuestionarios de sus proveedores o escanear de forma pasiva la infraestructura pública del proveedor. El mapa de relaciones resultante muestra las dependencias ampliadas que podrían exponer a su organización a riesgos.

28 (5).Las entidades financieras solo podrán celebrar acuerdos contractuales con proveedores de servicios TIC externos que cumplan las normas adecuadas en materia de seguridad de la información. Cuando dichos acuerdos contractuales se refieran a funciones críticas o importantes, las entidades financieras, antes de celebrarlos, tendrán debidamente en cuenta el uso, por parte de los proveedores de servicios TIC externos, de las normas de seguridad de la información más actualizadas y de mayor calidad.

28 (6).Al ejercer los derechos de acceso, inspección y auditoría sobre el proveedor externo de servicios TIC, las entidades financieras determinarán previamente, basándose en un enfoque basado en el riesgo, la frecuencia de las auditorías e inspecciones, así como las áreas que se auditarán, adhiriéndose a las normas de auditoría comúnmente aceptadas, de conformidad con cualquier instrucción de supervisión sobre el uso y la incorporación de dichas normas de auditoría.
Cuando los acuerdos contractuales celebrados con terceros proveedores de servicios TIC sobre el uso de servicios TIC entrañen una elevada complejidad técnica, la entidad financiera verificará que los auditores, ya sean internos o externos, o un grupo de auditores, posean las habilidades y los conocimientos adecuados para realizar eficazmente las auditorías y evaluaciones pertinentes.

Aproveche unaevaluación de riesgosestandarizada en la plataforma Prevalent, como la basada en la norma ISO 27001, para determinar el cumplimiento de los principios clave de gestión de riesgos de terceros. Las automatizaciones de flujos de trabajo, la gestión de tareas y las capacidades de revisión automatizada de pruebas para evaluar las puntuaciones de riesgo simplifican el proceso.

Complemente las evaluaciones de riesgos periódicas basadas en cuestionarios con un seguimiento y análisis continuos delas amenazas externas a terceroscon Prevalent. Como parte de ello, Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.

Las fuentes de supervisión incluyen:

  • Foros criminales, páginas onion, foros de acceso especial a la dark web, fuentes de amenazas y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, las iniciativas de corrección y respuesta, y simplifica las auditorías.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro de riesgos central, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar los esfuerzos de corrección en ellos. Asigne responsables y realice un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.
Es importante sugerir medidas correctivas para los controles de proveedores con baja madurez que superen la tolerancia al riesgo de la organización. Prevalent incluye recomendaciones de medidas correctivas integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus proveedores aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

28 (7).Las entidades financieras garantizarán que los acuerdos contractuales sobre el uso de servicios TIC puedan rescindirse en cualquiera de las siguientes circunstancias:

(a)incumplimiento significativo por parte del proveedor de servicios externo de TIC de las leyes, reglamentos o condiciones contractuales aplicables;

(b)circunstancias identificadas a lo largo del seguimiento del riesgo de terceros en materia de TIC que se consideren susceptibles de alterar el desempeño de las funciones previstas en el acuerdo contractual, incluidos los cambios significativos que afecten al acuerdo o a la situación del proveedor de servicios de terceros en materia de TIC;

(c)Debilidades evidentes del proveedor de servicios de TIC externo en relación con su gestión general de riesgos de TIC y, en particular, con la forma en que garantiza la disponibilidad, autenticidad, integridad y confidencialidad de los datos, ya sean datos personales u otros datos sensibles, o datos no personales;

(d)cuando la autoridad competente ya no pueda supervisar eficazmente la entidad financiera como consecuencia de las condiciones o circunstancias relacionadas con el acuerdo contractual correspondiente.

28 (8).Para los servicios TIC que prestan apoyo a funciones críticas o importantes, las entidades financieras establecerán estrategias de salida. Las estrategias de salida tendrán en cuenta los riesgos que puedan surgir a nivel de los proveedores de servicios TIC externos, en particular un posible fallo por su parte, un deterioro de la calidad de los servicios TIC prestados, cualquier interrupción de la actividad debido a una prestación inadecuada o fallida de los servicios TIC o cualquier riesgo significativo que surja en relación con el despliegue adecuado y continuo del servicio TIC correspondiente, o la rescisión de los acuerdos contractuales con los proveedores de servicios TIC externos en cualquiera de las circunstancias enumeradas en el apartado 7.
Las entidades financieras se asegurarán de que pueden rescindir los acuerdos contractuales sin:

(a)interrupción de sus actividades comerciales,

(b)limitar el cumplimiento de los requisitos reglamentarios,

(c)perjuicio para la continuidad y la calidad de los servicios prestados a los clientes.

Los planes de salida deberán ser exhaustivos, estar documentados y, de conformidad con los criterios establecidos en el artículo 4, apartado 2, haberse sometido a pruebas suficientes y revisarse periódicamente.
Las entidades financieras identificarán soluciones alternativas y elaborarán planes de transición que les permitan retirar los servicios TIC contratados y los datos pertinentes del proveedor externo de servicios TIC y transferirlos de forma segura e íntegra a proveedores alternativos o reincorporarlos internamente.
Las entidades financieras dispondrán de medidas de contingencia adecuadas para mantener la continuidad de las actividades en caso de que se produzcan las circunstancias a que se refiere el párrafo primero.

Con Prevalent, puede automatizar las evaluaciones de contratos ylos procedimientos de bajapara reducir el riesgo de exposición de su organización tras la finalización del contrato.

  • Programar tareas para revisar los contratos y garantizar que se hayan cumplido todas las obligaciones.
  • Emitir evaluaciones de contratos para evaluar el estado.
  • Aprovecha las encuestas y los informes de flujos de trabajo sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
  • Analizar documentos para confirmar que se cumplen los criterios clave.
    Tomar medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación sobre medidas correctivas.
  • Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a las normativas y marcos reglamentarios.

Los artículos 28 (9) y 28 (10) son disposiciones específicas para las autoridades de supervisión y el Comité Mixto.

Artículo 29: Evaluación preliminar del riesgo de concentración de las TIC a nivel de la entidad

29 (1).Al realizar la identificación y evaluación de los riesgos a que se refiere el artículo 28, apartado 4, letra c), las entidades financieras también tendrán en cuenta si la celebración prevista de un acuerdo contractual en relación con los servicios de TIC que dan soporte a funciones críticas o importantes daría lugar a alguna de las siguientes situaciones:

(a)contratar a un proveedor externo de servicios TIC que no sea fácilmente sustituible; o

(b)tener múltiples acuerdos contractuales en relación con la prestación de servicios de TIC que respaldan funciones críticas o importantes con el mismo proveedor externo de servicios de TIC o con proveedores externos de servicios de TIC estrechamente relacionados.

Las entidades financieras sopesarán los beneficios y los costes de las soluciones alternativas, como el uso de diferentes proveedores de servicios TIC externos, teniendo en cuenta si las soluciones previstas se ajustan a las necesidades y objetivos empresariales establecidos en su estrategia de resiliencia digital y de qué manera.

Si se requiere un tercero alternativo debido al incumplimiento, una puntuación de riesgo más alta o un uso excesivo y concentrado, Prevalent proporcionaredes de evaluaciones de riesgo de terceros completadasy estandarizadas en un marco común del sector para determinar un sustituto adecuado.

Nuestras bibliotecas de evaluación de riesgos bajo demanda ofrecen acceso a decenas de miles de evaluaciones completadas y verificadas, así como a pruebas que las respaldan, y pueden servir como repositorio de posibles nuevos terceros que ya han sido evaluados según estrictas directrices de seguridad de las TIC.

29 (2).Cuando los acuerdos contractuales sobre el uso de servicios TIC que respaldan funciones críticas o importantes incluyan la posibilidad de que un proveedor de servicios TIC externo subcontrate a su vez servicios TIC que respaldan una función crítica o importante a otros proveedores de servicios TIC externos, las entidades financieras sopesarán los beneficios y riesgos que puedan derivarse de dicha subcontratación, en particular en el caso de un subcontratista de TIC establecido en un tercer país.

Cuando los acuerdos contractuales se refieran a servicios de TIC que presten apoyo a funciones críticas o importantes, las entidades financieras deberán tener debidamente en cuenta las disposiciones de la legislación concursal que se aplicarían en caso de quiebra del proveedor externo de servicios de TIC, así como cualquier restricción que pudiera surgir en relación con la recuperación urgente de los datos de la entidad financiera.

Cuando se celebren acuerdos contractuales sobre el uso de servicios TIC que presten apoyo a funciones críticas o importantes con un proveedor de servicios TIC tercero establecido en un tercer país, las entidades financieras, además de las consideraciones mencionadas en el párrafo segundo, también tendrán en cuenta el cumplimiento de las normas de protección de datos de la Unión y la aplicación efectiva de la legislación en ese tercer país.

Cuando los acuerdos contractuales sobre el uso de servicios TIC que prestan apoyo a funciones críticas o importantes prevean la subcontratación, las entidades financieras evaluarán si las cadenas de subcontratación, que pueden ser largas o complejas, pueden afectar a su capacidad para supervisar plenamente las funciones contratadas y a la capacidad de la autoridad competente para supervisar eficazmente a la entidad financiera a ese respecto, y de qué manera.

Con Prevalent, puede identificarlas relaciones de subcontratación de cuarta y enésima parteen su ecosistema de terceros. Realice una evaluación basada en cuestionarios de sus proveedores o analice de forma pasiva la infraestructura pública del proveedor. El mapa de relaciones resultante muestra las dependencias ampliadas y los flujos de información que podrían exponer a su organización a riesgos.
A continuación, aproveche las disposiciones contractuales, como el derecho de auditoría, para ampliar las evaluaciones de riesgos a estas cuartas y enésimas partes.

Artículo 30: Disposiciones contractuales clave

30 (1).Los derechos y obligaciones de la entidad financiera y del proveedor externo de servicios TIC se asignarán y establecerán claramente por escrito. El contrato completo incluirá los acuerdos de nivel de servicio y se documentará en un único documento escrito que estará a disposición de las partes en papel o en otro formato descargable, duradero y accesible.

30 (2).Los acuerdos contractuales sobre el uso de los servicios TIC incluirán, como mínimo, los siguientes elementos:

(a)una descripción clara y completa de todas las funciones y servicios TIC que prestará el proveedor externo de servicios TIC, indicando si se permite la subcontratación de un servicio TIC que respalde una función crítica o importante, o partes sustanciales de la misma, y, en tal caso, las condiciones que se aplican a dicha subcontratación;

(b)las ubicaciones, es decir, las regiones o países, en los que se prestarán las funciones y los servicios de TIC contratados o subcontratados y en los que se tratarán los datos, incluida la ubicación de almacenamiento, y la obligación del proveedor de servicios de TIC externo de notificar previamente a la entidad financiera si tiene previsto cambiar dichas ubicaciones;

c)disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad en relación con la protección de datos, incluidos los datos personales;

(d)disposiciones para garantizar el acceso, la recuperación y la devolución, en un formato fácilmente accesible, de los datos personales y no personales tratados por la entidad financiera en caso de insolvencia, resolución o interrupción de las operaciones comerciales del proveedor de servicios de TIC externo, o en caso de rescisión de los acuerdos contractuales;

(e)descripciones del nivel de servicio, incluidas sus actualizaciones y revisiones;

f)la obligación del proveedor externo de servicios TIC de prestar asistencia a la entidad financiera sin coste adicional, o a un coste determinado ex ante, cuando se produzca un incidente TIC relacionado con el servicio TIC prestado a la entidad financiera;
g)la obligación del proveedor externo de servicios TIC de cooperar plenamente con las autoridades competentes y las autoridades de resolución de la entidad financiera, incluidas las personas designadas por ellas;

h)los derechos de rescisión y los plazos mínimos de preaviso correspondientes para la rescisión de los acuerdos contractuales, de conformidad con las expectativas de las autoridades competentes y las autoridades de resolución;

i)las condiciones para la participación de terceros proveedores de servicios de TIC en los programas de sensibilización sobre la seguridad de las TIC y en la formación sobre la resiliencia operativa digital de las entidades financieras, de conformidad con el artículo 13, apartado 6.

30 (3).Los acuerdos contractuales sobre el uso de servicios de TIC que presten apoyo a funciones críticas o importantes incluirán, además de los elementos mencionados en el apartado 2, como mínimo lo siguiente:

(a)descripciones completas del nivel de servicio, incluidas las actualizaciones y revisiones de las mismas, con objetivos de rendimiento cuantitativos y cualitativos precisos dentro de los niveles de servicio acordados, que permitan a la entidad financiera supervisar eficazmente los servicios de TIC y adoptar las medidas correctivas adecuadas, sin demoras indebidas, cuando no se cumplan los niveles de servicio acordados;

(b)los plazos de notificación y las obligaciones de información del proveedor externo de servicios TIC a la entidad financiera, incluida la notificación de cualquier novedad que pueda tener un impacto significativo en la capacidad del proveedor externo de servicios TIC para prestar eficazmente los servicios TIC que dan soporte a funciones críticas o importantes, de conformidad con los niveles de servicio acordados;

c)requisitos para que el proveedor externo de servicios TIC aplique y pruebe planes de contingencia empresarial y disponga de medidas, herramientas y políticas de seguridad TIC que proporcionen un nivel adecuado de seguridad para la prestación de servicios por parte de la entidad financiera, de conformidad con su marco regulador;

d)la obligación del proveedor de servicios de TIC externo de participar y cooperar plenamente en el TLPT de la entidad financiera, tal como se menciona en los artículos 26 y 27;

(e)el derecho a supervisar, de forma continua, el rendimiento del proveedor de servicios de TIC externo, lo que implica lo siguiente:

i)derechos ilimitados de acceso, inspección y auditoría por parte de la entidad financiera, o de un tercero designado, y de la autoridad competente, así como el derecho a tomar copias de la documentación pertinente in situ si es fundamental para las operaciones del proveedor de servicios de TIC externo, cuyo ejercicio efectivo no se vea obstaculizado ni limitado por otros acuerdos contractuales o políticas de aplicación;

(ii)el derecho a acordar niveles de garantía alternativos si se ven afectados los derechos de otros clientes;

iii)la obligación del proveedor de servicios de terceros de TIC de cooperar plenamente durante las inspecciones y auditorías in situ realizadas por las autoridades competentes, el supervisor principal, la entidad financiera o un tercero designado; y

iv)la obligación de proporcionar detalles sobre el alcance, los procedimientos que deben seguirse y la frecuencia de dichas inspecciones y auditorías;

f)estrategias de salida, en particular el establecimiento de un período de transición obligatorio adecuado:

i)durante el cual el proveedor externo de servicios TIC seguirá prestando las funciones o servicios TIC correspondientes, con el fin de reducir el riesgo de interrupción en la entidad financiera o garantizar su resolución y reestructuración efectivas;
ii)permitiendo a la entidad financiera migrar a otro proveedor externo de servicios TIC o cambiar a soluciones internas acordes con la complejidad del servicio prestado.
No obstante lo dispuesto en la letra e), el proveedor externo de servicios TIC y la entidad financiera que sea una microempresa podrán acordar que los derechos de acceso, inspección y auditoría de la entidad financiera puedan delegarse en un tercero independiente, designado por el proveedor externo de servicios TIC, y que la entidad financiera pueda solicitar en cualquier momento al tercero información y garantías sobre el rendimiento del proveedor externo de servicios TIC.

30 (4).Al negociar acuerdos contractuales, las entidades financieras y los proveedores de servicios de terceros en materia de TIC deberán considerar el uso de cláusulas contractuales estándar elaboradas por las autoridades públicas para servicios específicos.

Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedorespara automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funcionalidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios.
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes de la empresa, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación con la plataforma Prevalent.

Con esta capacidad, puede asegurarse de que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

Con Prevalent, los equipos jurídicos y de compras disponen de una solución única para hacer cumplir las disposiciones de los contratos con los proveedores y los KPI, y simplificar la gestión y la revisión.

30 (5).Incluye disposiciones específicas para las autoridades de supervisión y el Comité Mixto.

Recursos adicionales

Blog

Cómo cumplir los requisitos de la Autoridad Bancaria Europea en materia de riesgos de terceros

Blog

Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros

Blog

Ley de Resiliencia Operativa Digital (DORA) de la UE y gestión de riesgos de terceros

Lista de control

Lista de verificación de cumplimiento de terceros de DORA

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.