// 029Seguros · Vida y Pensiones

Adopción Azure
para Aseguradora de Vida de Primer Nivel

AzureLanding ZoneMigrationFinOpsInsuranceManaged Services
FinOps desde mes 1chargeback a líneas de negocio desde el inicio
Apps core migradassistemas de seguros de vida y pensiones en Azure
DORA + DGSFPcumplimiento regulatorio de seguros incorporado

Situación del cliente

Una de las principales aseguradoras de vida y pensiones de España —con más de tres millones de asegurados y carteras de inversión superiores a 10.000 millones de euros bajo gestión— convocó un RFP de cloud management para seleccionar su partner de adopción Azure. La aseguradora operaba sus sistemas core (motor de pólizas, cálculo actuarial, gestión de siniestros de vida) sobre infraestructura on-premise propia con más de 15 años de antigüedad.

El entorno regulatorio era especialmente exigente: la aseguradora estaba supervisada por la DGSFP y sujeta a la directiva DORA, que imponía requisitos específicos sobre los acuerdos de outsourcing de servicios cloud, el plan de continuidad y la capacidad de reversibilidad de los contratos. Cualquier diseño de adopción cloud tenía que satisfacer a la vez los requerimientos tecnológicos, los regulatorios y los del área de riesgos.

Retos

  • Diseñar la Landing Zone Azure target que satisficiera los requisitos de DORA (continuidad, gestión de riesgos TIC, auditoría de proveedores cloud) y las circulares de la DGSFP sobre outsourcing de servicios de información de seguros
  • Definir el modelo de migración de las aplicaciones core de seguros de vida (motor de pólizas, cálculo actuarial, gestión de prestaciones) considerando que muchas tenían código propietario de décadas de antigüedad con documentación técnica insuficiente
  • Diseñar la integración entre los nuevos entornos Azure y los sistemas legacy on-premise que no podían migrarse en las fases iniciales (sistemas de gestión actuarial de alto riesgo técnico)
  • Estructurar el modelo FinOps con chargeback a las líneas de negocio (vida individual, colectivos, planes de pensiones) desde el primer mes en Azure, para que los directores de cada línea tuvieran visibilidad del coste de sus sistemas desde el inicio
  • Diseñar el plan de reversibilidad exigido por DORA: qué ocurría si la aseguradora decidía cambiar de proveedor cloud o traer los sistemas de vuelta a on-premise, con estimaciones de tiempo, coste y riesgo de cada escenario de salida

Solución implementada

  • Landing Zone Azure con compliance DORA/DGSFP: arquitectura de Management Groups con separación entre sistemas críticos de seguros y aplicaciones de soporte, Azure Policy con los controles técnicos exigidos por DORA (MFA, cifrado, gestión de parches, segmentación de red), y Defender for Cloud con exportación de informes para el área de riesgos TIC
  • Estrategia de migración de apps core: análisis de las aplicaciones core de seguros, clasificación por complejidad y riesgo regulatorio, y diseño de la secuencia de migración con patrón Lift-and-Shift para los sistemas de menor riesgo y Refactor para los que requerían adaptación a los SLAs de Azure
  • Conectividad híbrida con sistemas legacy: ExpressRoute con redundancia para la interconexión entre Azure y el CPD on-premise durante el periodo de coexistencia, con Azure API Management como capa de integración que desacoplaba los sistemas legacy de los nuevos servicios en cloud
  • FinOps con chargeback desde el mes 1: modelo de etiquetado obligatorio por línea de negocio implementado antes de la migración del primer sistema, garantizando que cualquier recurso creado en Azure quedaba atribuido a su línea de negocio desde el primer día, con informes mensuales de coste para los directores de línea
  • Plan de reversibilidad DORA: documento de exit strategy con tres escenarios (cambio de proveedor cloud, regreso a on-premise, adopción de modelo híbrido), con estimación de tiempo, coste y riesgo operativo de cada escenario, revisable anualmente y validado por el área de riesgos y el regulador

Ventajas para el cliente

DORA certificablearquitectura diseñada para satisfacer los requisitos DORA desde el origen, con evidencias automatizadas para la DGSFP y el área de riesgos TIC, evitando el trabajo de remediación retroactiva que otros enfoques generan
FinOps desde mes 1chargeback por línea de negocio operativo desde el primer mes en Azure, proporcionando a los directores de vida individual, colectivos y pensiones visibilidad directa del coste de sus sistemas cloud
Migración sin riesgosecuencia de migración diseñada con análisis de riesgo regulatorio por sistema, que permitió migrar progresivamente sin comprometer la capacidad de cálculo actuarial ni los procesos de pago de prestaciones a los asegurados
Exit strategy documentadaplan de reversibilidad que satisfizo los requisitos del área de riesgos y del regulador, proporcionando la confianza necesaria para formalizar el acuerdo de outsourcing cloud con las garantías exigidas por DORA

Patrón de arquitectura

// ARCH 29 · Azure · Seguros Vida
Insurance Cloud Adoption — DORA + DGSFP Compliant Landing Zone
ROOT MG · Aseguradora de Vida · DORA + DGSFP Baseline Policy Core Seguros Vida Pólizas · Siniestros Pensiones · Actuarial CMK · Private EP Canales Digitales App móvil · Portal API Gateway Azure API Mgmt Analytics + AI Riesgo actuarial Detección fraude Azure ML · Synapse HUB · Azure Firewall Premium · ExpressRoute · DNS · Bastion Entra ID + PIM · Key Vault HSM · Sentinel SIEM · Defender for Cloud FinOps · Chargeback mes 1 Por línea: Vida · Pensiones · Salud DORA · DGSFP Compliance Notificación 24h · Auditoría · ICT Risk

Landing Zone Azure para aseguradora de vida con cumplimiento DORA y DGSFP desde el primer sprint: separación de suscripciones por dominio (core seguros, canales digitales, analytics), plataforma hub con Firewall Premium y Sentinel, Customer Managed Keys para datos actuariales y de pólizas, FinOps con chargeback por línea de seguro desde el mes 1 y baseline de Azure Policy que implementa los controles técnicos exigidos por DORA para entidades aseguradoras.

Azure Landing ZoneAzure Policy DORACMK + Key Vault HSMSentinelAzure ML
// Consideraciones de despliegue · Insurance WAF
  1. DGSFP exige notificación previa de cambios en outsourcing IT — antes de mover cualquier sistema core a Azure, la aseguradora debe notificar a la DGSFP con al menos 3 meses de antelación. Este requisito regulatorio define el cronograma del proyecto, no el técnico.
  2. Datos actuariales y de pólizas con CMK obligatorio — los datos de salud en seguros de vida tienen la máxima clasificación de sensibilidad. Customer Managed Keys con HSM dedicado garantiza que ni Microsoft puede acceder a los datos, lo que satisface los requisitos de la DGSFP sobre control de datos de asegurados.
  3. FinOps con chargeback desde el mes 1, no desde el mes 6 — en seguros, los presupuestos de IT se asignan por línea de negocio (vida, pensiones, salud). Implementar el chargeback retroactivamente después de meses de uso crea disputas políticas. El modelo de coste debe estar definido antes del primer recurso.
  4. DORA: mapear todos los sistemas ICT críticos antes de migrar cualquiera — el reglamento DORA exige que las aseguradoras tengan un registro actualizado de sus activos ICT críticos. La migración a Azure es la oportunidad para crear ese registro, no un obstáculo.
  5. Separar la suscripción de analytics de la de core de seguros — los modelos de ML de riesgo actuarial necesitan acceso a datos de pólizas, pero los científicos de datos no deben tener acceso directo a los sistemas de producción. La separación de suscripciones con Private Link controlled es el patrón correcto.
  6. Pruebas de recuperación ante desastres certificadas bajo DORA — DORA exige que las entidades financieras demuestren la efectividad de sus planes de continuidad mediante pruebas reales. En este proyecto, planificamos la primera prueba DR en Azure en el mes 6, con resultado documentado para la DGSFP.
SeguridadCumplimientoCosteFiabilidad