// 014Sector Financiero · Banca

Cloud Services Multiplataforma
para Grupo Financiero Multi-Entidad

Cloud ServicesAzureMulti-EntityFinancial ServicesGovernance
4 filialesadoptaron el marco unificado de servicios
Due diligencetecnológica de cloud privada y Azure
Independencia operativagarantizada para cada entidad del grupo

Situación del cliente

Grupo financiero español con múltiples filiales —banco matriz, sociedad de valores, gestora de fondos y aseguradora de vida— operaba con estrategias cloud completamente dispares entre entidades. Cada filial había contratado servicios por separado, sin economías de escala, sin modelo de gobernanza compartido y con duplicidades en herramientas de seguridad y monitorización.

La dirección corporativa del grupo necesitaba una visión unificada del modelo de servicios cloud que permitiera compartir costes y capacidades entre filiales, mantener la independencia operativa regulatoria de cada entidad supervisada, y preparar al grupo para la adopción progresiva de Azure conforme a los requisitos del Banco de España.

Retos

  • Diseñar un modelo de servicios cloud corporativo que funcionara para entidades con supervisores distintos (Banco de España, CNMV, DGSFP) con requisitos regulatorios específicos para cada una
  • Realizar la due diligence tecnológica de las opciones de cloud privada (vía RFI) y evaluar la adopción de Azure considerando los criterios de outsourcing del BCE y DORA
  • Definir un catálogo de servicios gestionados compartidos que aportara economías de escala al grupo sin generar dependencias operativas entre filiales
  • Establecer el modelo de gobernanza inter-entidades: qué se centraliza, qué se delega, cómo se resuelven los conflictos y quién tiene la autoridad de decisión sobre cambios arquitectónicos
  • Garantizar que el modelo resultante cumpliera con los requisitos de segregación operativa exigidos por los distintos supervisores del grupo

Solución implementada

  • Due diligence de cloud privada (RFI): análisis comparativo de opciones de plataforma privada, evaluación de proveedores con criterios técnicos, regulatorios y económicos, y recomendación justificada para el Comité de Dirección
  • Catálogo de servicios cloud gestionados: definición de los servicios compartibles entre filiales (conectividad, identidad, seguridad perimetral, backups) con SLAs por categoría y modelo de precios internos de transferencia
  • Modelo de gobernanza multi-entidad: estructura de comités (Cloud Steering, Architecture Review Board), proceso de toma de decisiones con representantes de cada filial y mecanismos de escalado
  • Estrategia de adopción Azure: hoja de ruta de adopción progresiva de Azure por tipo de carga y entidad, con criterios de elegibilidad regulatoria, modelo de tenancy y plan de registro de acuerdos de outsourcing con el BCE
  • Marco de chargeback inter-filiales: modelo de imputación de costes cloud entre entidades del grupo con transparencia total y mecanismo de auditoría interna aceptable por las áreas de control de cada filial

Ventajas para el cliente

4 filialesadoptaron el marco unificado de servicios cloud con independencia operativa garantizada para cada entidad del grupo
Economías de escalaen contratos de conectividad, seguridad y monitorización gracias al modelo de servicios compartidos inter-entidades
Cumplimiento regulatoriomodelo de gobernanza validado por los equipos de cumplimiento de cada entidad supervisada del grupo
Visión corporativael Comité de Dirección obtuvo por primera vez una visión unificada del gasto cloud del grupo con atribución por entidad y tipo de servicio

Patrón de arquitectura

// ARCH 14 · Azure
Multi-Entity Financial Group — Azure Governance Federation
ROOT MANAGEMENT GROUP Grupo Financiero · Corporativo Entidad 1 Banco Core Suscripción propia Entidad 2 Asset Mgmt Suscripción propia Entidad 3 Seguros Suscripción propia Entidad 4 Fintech Suscripción propia PLATAFORMA COMPARTIDA · Hub VNet · DNS · Conectividad · Identidad Azure Firewall · Entra ID Corporativo · Key Vault · Log Analytics Workspace AZURE POLICY CORPORATIVA · RBAC Federation · FinOps Chargeback · Compliance DORA

Arquitectura de gobernanza federada para grupo financiero con 4 entidades reguladas independientes: Management Groups por entidad con autonomía operativa, plataforma compartida de conectividad y seguridad, identidad federada con Entra ID corporativo y Azure Policy centralizada para cumplimiento DORA/DGSFP sin fricción entre filiales.

Management GroupsAzure PolicyEntra ID FederationHub-SpokeFinOps Chargeback
// Consideraciones de despliegue · WAF
  1. Independencia operativa por entidad regulada es un requisito legal — CNMV, DGSFP y Banco de España regulan entidades separadas del grupo. Una suscripción compartida entre entidades reguladas distintas crea problemas de supervisión que ningún diseño técnico resuelve.
  2. Plataforma compartida solo para servicios no regulados — conectividad, DNS y logs pueden ser compartidos. Las claves de cifrado, los datos de clientes y los sistemas core de cada entidad nunca deben compartir infraestructura.
  3. RBAC federado: identidad corporativa con permisos por entidad — los empleados del grupo necesitan acceso federado, pero los auditores de cada entidad no deben poder ver los recursos de las demás.
  4. FinOps con showback por entidad desde el primer mes — el prorrateado de costes compartidos entre filiales financieras es siempre un conflicto político. Definir el modelo de coste antes del primer recurso, no después del primer presupuesto anual.
  5. Due diligence técnica antes de unificar plataformas — en este proyecto descubrimos que dos entidades del grupo tenían contratos cloud incompatibles con la arquitectura objetivo. El assessment técnico previo evitó dos migraciones innecesarias.
  6. Política de Azure como contrato técnico-regulatorio — las políticas que implementan requisitos de DORA/DGSFP deben estar versionadas en IaC y auditadas como documentación regulatoria, no solo como configuración técnica.
SeguridadCumplimientoExcelencia OperacionalCoste