Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
FCA, PRA, resiliencia operativa: «¿Es esto compatible?» es la pregunta equivocada
Cómo las empresas reguladas pueden implementar la telefonía de Microsoft Teams sin perder a su equipo de cumplimiento por el camino.
De Roger365.io. Tiempo de lectura: aproximadamente 5 minutos. Público: bancos, sociedades hipotecarias, aseguradoras, gestores de activos y corredores de bolsa que operan en el Reino Unido.
Un escenario que ahora vemos casi todas las semanas: un banco mediano, una aseguradora regional o un administrador de activos quieren actualizar su telefonía dentro de Microsoft Teams. Enrutamiento inteligente de llamadas, colas limpias, informes adecuados. Un pequeño proyecto sobre papel. Luego llega el correo electrónico del equipo de riesgos externo: «¿Esta solución realmente cumple con las normas de la FCA y la PRA?» Y el despliegue se detiene por completo.
La reacción es comprensible, pero la pregunta es errónea, y es por eso que tantos proyectos se estancan, a pesar de que la verdadera respuesta es sencilla.
La pregunta detrás de la pregunta
Roger365.io no es una empresa autorizada por la FCA o la PRA. No tiene por qué serlo y no puede serlo: la categoría de «software certificado por la FCA» simplemente no existe. Cualquiera que busque esa etiqueta nunca la encontrará, independientemente del proveedor.
La pregunta correcta es diferente: «Como empresa regulada, podemos implementar Roger365.io de manera que satisfaga nuestras obligaciones de subcontratación, riesgo de terceros y resiliencia operativa, y podemos demostrarlo en una revisión supervisora». La respuesta es clara: sí. Y te ayudamos activamente a conseguirlo.
El panorama regulatorio de un vistazo
Cuando se introduce una solución de telefonía en una empresa regulada del Reino Unido, cuatro marcos son importantes. Los tres primeros establecen la base de supervisión; el cuarto añade la capa de ciberseguridad.
El SYSC 8 (Manual de la FCA) y los capítulos pertinentes del reglamento de la PRA establecen las reglas básicas de subcontratación: gobernanza, diligencia debida, supervisión continua y planificación de salida para los acuerdos de subcontratación de materiales.
El PRA SS2/21, «Subcontratación y gestión de riesgos de terceros», es el documento detallado de expectativas. Define la clasificación de la subcontratación de materiales, los requisitos contractuales, los derechos de auditoría y recopilación de información, los controles de subcontratación y los escenarios de salida más exigentes. La FCA se alinea a través del FG 16/5 y las comunicaciones de supervisión.
La resiliencia operativa (PRA SS1/21 y FCA PS21/3) exige que las empresas identifiquen los servicios empresariales importantes, establezcan tolerancias de impacto, mapeen las dependencias de terceros y demuestren que pueden mantenerse dentro de los límites de tolerancia en escenarios graves pero plausibles. El régimen de terceros críticos (CTP) establecido en la FSMA 2023 añade la supervisión directa de los proveedores designados.
El Reglamento NIS de 2018 (el Reino Unido conservó la versión de la Directiva NIS de la UE), junto con el próximo proyecto de ley de ciberseguridad y resiliencia, extienden las obligaciones de ciberseguridad a un grupo mucho más amplio de organizaciones y a su cadena de suministro. Sus funciones principales son la gestión de riesgos, la seguridad de la cadena de suministro y un régimen de notificación de incidentes supervisado por la autoridad competente pertinente. El marco de evaluación cibernética (CAF) del NCSC es la referencia práctica.
Las firmas financieras siguen rigiéndose principalmente por las normas de la FCA y la PRA, pero sus proveedores y su cadena de suministro no están exentos de las expectativas cibernéticas.
Tres líneas de trabajo que eliminamos de su equipo de cumplimiento
Aquí es donde reside la verdadera diferencia. La mayoría de los proveedores de software responden a las preguntas normativas con un enlace a su página de seguridad y, después, esperan a ver qué pregunta a continuación el equipo de riesgos externo del cliente. Nosotros hacemos lo contrario: entregamos el paquete de pruebas por adelantado, antes de que lleguen las preguntas.
Externalización de documentación. Acuerdo estándar de procesamiento de datos según el artículo 28 del RGPD del Reino Unido, cuestionario de seguridad cumplimentado de acuerdo con las expectativas de la PRA SS2/21, certificado ISO 27001, lista transparente de subprocesadores y una estrategia de salida documentada. Esto cubre el SYSC 8 y los requisitos básicos de subcontratación de PRA.
Preparación para la resiliencia operativa. Las cláusulas contractuales alineadas con el SS2/21 ya están incluidas en nuestro acuerdo estándar. Información estructurada para la cartografía importante de sus servicios empresariales (detalles de las entidades, subprocesadores, ubicaciones de procesamiento, clasificación de servicios). Un proceso de notificación de incidentes claramente descrito con tiempos de respuesta comprometidos. Los planes de continuidad empresarial y recuperación ante desastres están disponibles a pedido. Diseñados para adaptarse directamente a las pruebas de tolerancia a los impactos y de escenarios graves pero plausibles.
Marco de ciberseguridad. Un programa de gestión de la seguridad alineado con la norma ISO 27001 y el marco de evaluación cibernética del NCSC, que incluye la gobernanza de la cadena de suministro, la gestión de parches, la autenticación multifactor y un proceso de respuesta a los incidentes que abarca los plazos de presentación de informes con arreglo al reglamento del NIS y al próximo proyecto de ley de ciberseguridad y resiliencia. Cyber Essentials Plus está disponible como indicador de referencia. Es relevante si su empresa pertenece directamente al NIS o la CAF y, en cualquier caso, es relevante para su propia evaluación de la cadena de suministro.
Por qué esto funciona de manera particularmente limpia para una aplicación de Teams
Roger365.io es una aplicación nativa de Microsoft Teams. El cumplimiento tiene un efecto secundario importante: tus datos de conversación y de usuario permanecen en el servidor de Microsoft 365 que ya has auditado y aprobado. Almacenamos solo lo que el servicio necesita estrictamente, en un SGSI certificado según la norma ISO 27001 en Microsoft Azure, con datos de residencia disponibles en el Reino Unido o la UE. En el caso de una evaluación de riesgos realizada por un tercero, esto reduce el alcance de lo que debe evaluarse recientemente. La gran plataforma, Microsoft 365, ya está en funcionamiento. Nos sumamos a ella, sin necesidad de introducir un almacén de datos independiente fuera de tu control.
Qué esperar de nosotros durante la fase de ventas
En lugar de un intercambio de cuestionarios abierto, recibirá un paquete de cumplimiento único y coherente: DPA, cuestionario de seguridad completado, certificado ISO 27001, cláusulas contractuales alineadas con SS2/21 con entradas de subcontratación de material, descripción de la respuesta a los incidentes de NIS o CAF, lista de subprocesadores y plan de salida. Un paquete, un paso, a pedido.
El efecto: su equipo de riesgos externo comienza en el modo de revisión, no en el modo de preguntas y respuestas. En la práctica, esto ahorra semanas, a veces meses, de demoras en los proyectos.
En resumen
La implementación de la telefonía profesional de Teams debería fortalecer su postura de cumplimiento, no ponerla a prueba. Esa es exactamente la conversación que estamos preparados para mantener.
Solicite nuestro paquete de cumplimiento (FCA, PRA, Operational Resilience, NIS) y utilícelo como entrada lista para su subcontratación y evaluación de riesgos de terceros.
Descargo de responsabilidad: Este artículo tiene fines informativos y no constituye asesoramiento legal. La evaluación final recae en sus funciones legales y de cumplimiento.
Industry
Location
Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
FCA, PRA, resiliencia operativa: «¿Es esto compatible?» es la pregunta equivocada
Cómo las empresas reguladas pueden implementar la telefonía de Microsoft Teams sin perder a su equipo de cumplimiento por el camino.
De Roger365.io. Tiempo de lectura: aproximadamente 5 minutos. Público: bancos, sociedades hipotecarias, aseguradoras, gestores de activos y corredores de bolsa que operan en el Reino Unido.
Un escenario que ahora vemos casi todas las semanas: un banco mediano, una aseguradora regional o un administrador de activos quieren actualizar su telefonía dentro de Microsoft Teams. Enrutamiento inteligente de llamadas, colas limpias, informes adecuados. Un pequeño proyecto sobre papel. Luego llega el correo electrónico del equipo de riesgos externo: «¿Esta solución realmente cumple con las normas de la FCA y la PRA?» Y el despliegue se detiene por completo.
La reacción es comprensible, pero la pregunta es errónea, y es por eso que tantos proyectos se estancan, a pesar de que la verdadera respuesta es sencilla.
La pregunta detrás de la pregunta
Roger365.io no es una empresa autorizada por la FCA o la PRA. No tiene por qué serlo y no puede serlo: la categoría de «software certificado por la FCA» simplemente no existe. Cualquiera que busque esa etiqueta nunca la encontrará, independientemente del proveedor.
La pregunta correcta es diferente: «Como empresa regulada, podemos implementar Roger365.io de manera que satisfaga nuestras obligaciones de subcontratación, riesgo de terceros y resiliencia operativa, y podemos demostrarlo en una revisión supervisora». La respuesta es clara: sí. Y te ayudamos activamente a conseguirlo.
El panorama regulatorio de un vistazo
Cuando se introduce una solución de telefonía en una empresa regulada del Reino Unido, cuatro marcos son importantes. Los tres primeros establecen la base de supervisión; el cuarto añade la capa de ciberseguridad.
El SYSC 8 (Manual de la FCA) y los capítulos pertinentes del reglamento de la PRA establecen las reglas básicas de subcontratación: gobernanza, diligencia debida, supervisión continua y planificación de salida para los acuerdos de subcontratación de materiales.
El PRA SS2/21, «Subcontratación y gestión de riesgos de terceros», es el documento detallado de expectativas. Define la clasificación de la subcontratación de materiales, los requisitos contractuales, los derechos de auditoría y recopilación de información, los controles de subcontratación y los escenarios de salida más exigentes. La FCA se alinea a través del FG 16/5 y las comunicaciones de supervisión.
La resiliencia operativa (PRA SS1/21 y FCA PS21/3) exige que las empresas identifiquen los servicios empresariales importantes, establezcan tolerancias de impacto, mapeen las dependencias de terceros y demuestren que pueden mantenerse dentro de los límites de tolerancia en escenarios graves pero plausibles. El régimen de terceros críticos (CTP) establecido en la FSMA 2023 añade la supervisión directa de los proveedores designados.
El Reglamento NIS de 2018 (el Reino Unido conservó la versión de la Directiva NIS de la UE), junto con el próximo proyecto de ley de ciberseguridad y resiliencia, extienden las obligaciones de ciberseguridad a un grupo mucho más amplio de organizaciones y a su cadena de suministro. Sus funciones principales son la gestión de riesgos, la seguridad de la cadena de suministro y un régimen de notificación de incidentes supervisado por la autoridad competente pertinente. El marco de evaluación cibernética (CAF) del NCSC es la referencia práctica.
Las firmas financieras siguen rigiéndose principalmente por las normas de la FCA y la PRA, pero sus proveedores y su cadena de suministro no están exentos de las expectativas cibernéticas.
Tres líneas de trabajo que eliminamos de su equipo de cumplimiento
Aquí es donde reside la verdadera diferencia. La mayoría de los proveedores de software responden a las preguntas normativas con un enlace a su página de seguridad y, después, esperan a ver qué pregunta a continuación el equipo de riesgos externo del cliente. Nosotros hacemos lo contrario: entregamos el paquete de pruebas por adelantado, antes de que lleguen las preguntas.
Externalización de documentación. Acuerdo estándar de procesamiento de datos según el artículo 28 del RGPD del Reino Unido, cuestionario de seguridad cumplimentado de acuerdo con las expectativas de la PRA SS2/21, certificado ISO 27001, lista transparente de subprocesadores y una estrategia de salida documentada. Esto cubre el SYSC 8 y los requisitos básicos de subcontratación de PRA.
Preparación para la resiliencia operativa. Las cláusulas contractuales alineadas con el SS2/21 ya están incluidas en nuestro acuerdo estándar. Información estructurada para la cartografía importante de sus servicios empresariales (detalles de las entidades, subprocesadores, ubicaciones de procesamiento, clasificación de servicios). Un proceso de notificación de incidentes claramente descrito con tiempos de respuesta comprometidos. Los planes de continuidad empresarial y recuperación ante desastres están disponibles a pedido. Diseñados para adaptarse directamente a las pruebas de tolerancia a los impactos y de escenarios graves pero plausibles.
Marco de ciberseguridad. Un programa de gestión de la seguridad alineado con la norma ISO 27001 y el marco de evaluación cibernética del NCSC, que incluye la gobernanza de la cadena de suministro, la gestión de parches, la autenticación multifactor y un proceso de respuesta a los incidentes que abarca los plazos de presentación de informes con arreglo al reglamento del NIS y al próximo proyecto de ley de ciberseguridad y resiliencia. Cyber Essentials Plus está disponible como indicador de referencia. Es relevante si su empresa pertenece directamente al NIS o la CAF y, en cualquier caso, es relevante para su propia evaluación de la cadena de suministro.
Por qué esto funciona de manera particularmente limpia para una aplicación de Teams
Roger365.io es una aplicación nativa de Microsoft Teams. El cumplimiento tiene un efecto secundario importante: tus datos de conversación y de usuario permanecen en el servidor de Microsoft 365 que ya has auditado y aprobado. Almacenamos solo lo que el servicio necesita estrictamente, en un SGSI certificado según la norma ISO 27001 en Microsoft Azure, con datos de residencia disponibles en el Reino Unido o la UE. En el caso de una evaluación de riesgos realizada por un tercero, esto reduce el alcance de lo que debe evaluarse recientemente. La gran plataforma, Microsoft 365, ya está en funcionamiento. Nos sumamos a ella, sin necesidad de introducir un almacén de datos independiente fuera de tu control.
Qué esperar de nosotros durante la fase de ventas
En lugar de un intercambio de cuestionarios abierto, recibirá un paquete de cumplimiento único y coherente: DPA, cuestionario de seguridad completado, certificado ISO 27001, cláusulas contractuales alineadas con SS2/21 con entradas de subcontratación de material, descripción de la respuesta a los incidentes de NIS o CAF, lista de subprocesadores y plan de salida. Un paquete, un paso, a pedido.
El efecto: su equipo de riesgos externo comienza en el modo de revisión, no en el modo de preguntas y respuestas. En la práctica, esto ahorra semanas, a veces meses, de demoras en los proyectos.
En resumen
La implementación de la telefonía profesional de Teams debería fortalecer su postura de cumplimiento, no ponerla a prueba. Esa es exactamente la conversación que estamos preparados para mantener.
Solicite nuestro paquete de cumplimiento (FCA, PRA, Operational Resilience, NIS) y utilícelo como entrada lista para su subcontratación y evaluación de riesgos de terceros.
Descargo de responsabilidad: Este artículo tiene fines informativos y no constituye asesoramiento legal. La evaluación final recae en sus funciones legales y de cumplimiento.
Our speakers
Want to read more?
Discover fresh perspectives and practical tips in our latest whitepaper.
