Inicio/Insights/Blogs/La Superintendencia Financiera se pasa a la nube: lo que todo director de tecnología del sector financiero colombiano debe saber en 2026

La Superintendencia Financiera se pasa a la nube: lo que todo director de tecnología del sector financiero colombiano debe saber en 2026

  • Blog
  • 10min read

Como seguramente ya sabrá, la Superintendencia Financiera de Colombia (SFC) no solo regula los productos financieros. También audita la infraestructura tecnológica y lo hace con criterios cada vez más estrictos. 

Con la reciente publicación de la «Circular Básica Financiera» (C.E. 004/2026) y el nuevo marco obligatorio de «finanzas abiertas» (Decreto 0368/2026), el listón tecnológico que deben alcanzar los bancos, las empresas de tecnología financiera y los proveedores de servicios de pago en Colombia acaba de elevarse considerablemente.  

¿Cuál es el problema? La mayoría de las entidades presentan carencias en su infraestructura. Muchas no se dan cuenta de ello hasta que es demasiado tarde: llega la auditoría.  

Por suerte, si eres director técnico, director de sistemas de información, director de seguridad de la información o jefe técnico en el sector financiero colombiano y quieres saber exactamente qué es lo que comprueba la SFC, no te vayas.  

Al terminar de leer este artículo, comprenderás mejor qué arquitectura de infraestructura se adapta mejor a los requisitos de SFC y por dónde empezar si actualmente tienes problemas pendientes.  

En concreto, abarca:  

¡Empecemos! 

¿Qué es la Superintendencia Financiera y qué tiene que ver con tu infraestructura?  

La Superintendencia Financiera de Colombia (SFC) es el organismo regulador encargado de supervisar, inspeccionar y regular todo el sistema financiero colombiano. Esto incluye a los bancos tradicionales, las sociedades financieras, las cooperativas, las sociedades de crédito, las compañías de seguros, las administradoras de fondos de pensiones y también a las empresas de tecnología financiera que operan dentro de su ámbito de competencia.  

Su mandato no se limita a examinar los balances y el capital. La SFC está facultada para auditar la solidez operativa de las entidades reguladas, lo que incluye su infraestructura tecnológica, sus planes de continuidad del negocio y sus contratos con proveedores de servicios esenciales, incluidos los proveedores de servicios en la nube.  

Desde laCircular Externa 005 de 2019, la SFC ha formalizado instrucciones específicas sobre el uso de los servicios de computación en la nube. En los últimos años, el marco normativo ha evolucionado; por ejemplo, la CE 004/2024 definió los estándares arquitectónicos para las «finanzas abiertas», la CE 014/2022 reforzó los requisitos de continuidad del negocio y la nueva Circular Básica Financiera (CE 004/2026) consolida gran parte de esta normativa en un único cuerpo de normas.  

En pocas palabras, si la SFC audita su organización y determina que su infraestructura no cumple con la normativa, puede imponer sanciones, exigir medidas correctivas inmediatas o, en casos graves, restringir sus operaciones. Y eso es precisamente lo que usted quiere evitar.  

¿Qué es lo que audita realmente la SFC cuando revisa tu infraestructura informática? 

Cuando la SFC lleva a cabo una inspección tecnológica, no comprueba si dispones de los servidores más modernos. Lo que verifica es que tu infraestructura garantice la continuidad operativa y la protección de los datos de los consumidores de servicios financieros. Es decir, una…  

Plan de continuidad del negocio (BCP): documentado, aprobado y probado.  

Además, no basta con tener un plan de continuidad del negocio (BCP) en formato PDF. La SFC exige que el plan: 

  1. Ser aprobado por el órgano competente. (Por ejemplo, el consejo de administración de la empresa) 
  2. Ha superado con éxito todas las pruebas requeridas 
  3. Los usuarios pertinentes lo conocen al dedillo.  

Esto incluyeprocedimientos de contingenciapara fallos del sistema, alternativas operativas y protocolos para volver a la normalidad.  

Y aquí es donde entran en juego dos indicadores concretos: el RTO y el RPO. 

  • RTO – Objetivo de tiempo de recuperación (tiempo máximo de inactividad tolerable)  
  • RPO – Punto de recuperación objetivo (pérdida máxima de datos aceptable)  

Destacamos esto, no como una buena práctica, sino porque existe una lista clara de requisitos de la SFC establecidos a nivel contractual específicamente para los servicios en la nube, uno de los cuales es el plan de continuidad del negocio (BCP).  

10 requisitos mínimos para los contratos de servicios en la nube  

El Decreto 005/2019 establece que cualquier contrato con un proveedor de servicios de computación en la nube debe incluir, como mínimo:     

  1. ¿Con quién se ha firmado el contrato? Identifique al proveedor de servicios en la nube, así como a cualquier tercero que participe en la prestación del servicio.  
  2. ¿Qué datos y procesos se almacenan en la nube? Debe existir un inventario claro de las aplicaciones, los procesos y los tipos de datos que se almacenan y gestionan en virtud de ese contrato.  
  3. ¿Dónde se encuentran físicamente sus datos? En concreto, la región o el centro de datos exactos donde se almacena la información.   
  4. ¿Cuenta el proveedor con las certificaciones válidas? Como mínimo, debe disponer de una certificación de seguridad ISO 27001 vigente durante toda la vigencia del contrato. Aunque no es obligatorio, también se recomienda que cuente con certificaciones como las ISO 27017 y 27018.  
  5. ¿Se puede auditar al proveedor? La organización, la SFC o los auditores externos deben tener el derecho contractual de llevar a cabo inspecciones de seguridad y cumplimiento siempre que sea necesario.  
  6. ¿Qué ocurre si se produce una interrupción del servicio? Es necesario definir los acuerdos de nivel de servicio (SLA), con una disponibilidad mínima del 99,95 %, así como los tiempos de respuesta y una compensación clara en caso de que no se cumplan.  
  7. ¿Cómo protege el proveedor tus datos? Debe haber protocolos técnicos documentados: cifrado, gestión de claves y métodos que eviten fugas de datos.  
  8. ¿Qué ocurre en caso de incidente? El contrato debe incluir planes de continuidad del negocio con RTO y RPO definidos, no solo como objetivos, sino como parte de una obligación contractual. 
  9. ¿Se puede rescindir el contrato sin perder datos? Debería haber cláusulas que establezcan que, al finalizar el contrato, toda la información se extraiga por completo y se elimine de forma segura. 
  10. ¿Se mantienen sus datos separados de los de otros clientes? El proveedor debe garantizar una segregación efectiva de los datos y asegurarse de que cualquier transferencia internacional de datos cumpla con la normativa colombiana pertinente. 

Y, desde entonces, el recienteDecreto 0368/2026sobre la obligatoriedad de las «finanzas abiertas» añade una nueva dimensión:  

Soberanía de los datos y localización 

Para que quede claro: la SFC no prohíbe el uso de proveedores internacionales de servicios en la nube.   

Sin embargo, sí exige que las entidades mantengan un control efectivo sobre sus datos, permitiendo el acceso a los mismos en cualquier momento y garantizando que sus consumidores colombianos estén protegidos en virtud de la normativa local (Leyes 1266/2008 y 1581/2012).  

Además, el Decreto 0368/2026 sobre la obligatoriedad de las «finanzas abiertas» añade un requisito adicional: los datos que circulen dentro del sistema de «finanzas abiertas» deben gestionarse de conformidad con las normas técnicas definidas por la SFC, utilizando API interoperables y protocolos de seguridad auditables.   

Esto tiene consecuencias directas sobre dónde y cómo se procesa la información.  

Si necesita aclarar si cumple con estos decretos y leyes, le recomendamos que se ponga en contacto con su departamento jurídico. 

Ahora que tenemos una idea general de lo que busca la SFC, analicemos con mayor detalle los distintos modelos de nube y cómo pueden (o no) adaptarse a los requisitos de una auditoría en 2026 y en adelante. 

Nube pública, privada o híbrida: ¿cuál cumple los requisitos de la SFC?  

La respuesta corta es: depende. Pero no solo de la nube pública. 

Pero una cosa está clara: la elección de la arquitectura ya no es solo una cuestión técnica. En el sector financiero colombiano, el marco regulatorio de la SFC establece límites específicos que hacen que algunas opciones sean más viables que otras, especialmente cuando se trata de cargas de trabajo críticas.   

Aunque no se especifica con exactitud, todo se reduce a una gestión empresarial sólida, que también da prioridad al consumidor. Lo cual, si lo piensas bien, es una situación en la que todos salen ganando.  

Nube pública  

El uso de una nube pública puede ser una buena opción para el desarrollo, las pruebas o las cargas de trabajo no reguladas, pero para las cargas de trabajo críticas, en el sector financiero, no es una opción adecuada.  

En el caso de los sistemas de misión crítica, esto plantea importantes obstáculos normativos: los contratos tipo rara vez cumplen los 10 requisitos mínimos de la Circular Externa 005/2019 sin negociaciones que pocas empresas medianas pueden llevar a cabo.   

Pero en este caso, la soberanía de los datos es la cuestión más importante; cuando los datos se tratan en jurisdicciones internacionales, resulta difícil demostrar que se cumplen los requisitos de auditoría y control efectivo exigidos por la SFC. 

 Además, en caso de que se produzca un incidente, es posible que las condiciones contractuales predeterminadas no garanticen la trazabilidad ni el acceso a los registros.  

Nube privada (con coubicación soberana)   

Esta opción es la que mejor se ajusta a los requisitos de la SFC. La institución mantiene el control total sobre sus datos, la infraestructura se encuentra bajo jurisdicción colombiana, los acuerdos de nivel de servicio (SLA) son contractualmente exigibles y los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO) son predecibles y auditables.  

En el caso de los sistemas centrales, como la banca, el procesamiento de pagos, la gestión de riesgos, etc., este modelo elimina las ambigüedades normativas.   

Además, facilita las inspecciones: cuando la SFC solicita pruebas de los controles, la organización puede responder con la documentación directamente, sin tener que recurrir a un tercero internacional.  

Infraestructura de nube híbrida  

Esta es la evolución lógica para las organizaciones que necesitan combinar un estricto cumplimiento normativo para sus sistemas críticos con flexibilidad para las cargas de trabajo complementarias.   

El diseño adecuado se basa en una premisa clara: los datos y sistemas regulados se gestionan en una infraestructura soberana en Colombia; los servicios no críticos pueden funcionar con mayor flexibilidad.   

Este modelo no sacrifica el cumplimiento normativo en aras de la agilidad, sino que los separa estratégicamente.  

Jorge Mejía, arquitecto de soluciones de Ilkari, lo resume así: «Las organizaciones que subsanan sus deficiencias normativas con mayor rapidez son aquellas que clasifican sus cargas de trabajo según su nivel de criticidad. No es necesario que todo se aloje en las propias instalaciones, pero los datos financieros esenciales sí deben estar en una infraestructura sobre la que la organización tenga un control real y auditable». 

Lo importante es elegir la arquitectura que se adapte a tu proyecto Y que te permita demostrar a la SFC que tienes un control real sobre tus datos, la continuidad de tu negocio y tus contratos con terceros.  

Ejemplo: Un centro de datos soberano en Colombia, con certificaciones ISO 27001 y ICREA Nivel IV, puede servir de pilar para esa estrategia híbrida. Los sistemas críticos se alojan allí, con acuerdos de nivel de servicio (SLA) contractuales claros y bajo la jurisdicción colombiana. Otros servicios complementarios pueden funcionar desde la nube con mayor flexibilidad.  

En resumen: aquí tienes un resumen rápido de qué hacer y cómo avanzar con la infraestructura en la nube, todo ello sin dejar de cumplir con la normativa SFC de cara a la próxima auditoría. 

Los 90 días previos a una auditoría: ¿por dónde empezar?  

Si hoy en día hay carencias, lo más útil es establecer un orden de prioridades claro. Estas son las cuatro medidas que recomendamos poner en práctica en los próximos 90 días:  

1. Revisar y actualizar el Plan de Continuidad del Negocio.   

¿Existe? ¿Y lo aprobó la junta directiva?   

¿Se ha sometido a pruebas en los últimos 12 meses? Si la respuesta a cualquiera de estas preguntas es «no» o «no lo sé», empieza por aquí.  

Esta es la deficiencia más habitual y la que tiene mayor peso en una inspección de la SFC.  

2. Revisar los contratos con los proveedores de servicios en la nube.   

Elabore un inventario de todos sus proveedores actuales de servicios en la nube y compruebe cada uno de ellos por separado para asegurarse de que los contratos cumplen los requisitos mínimos del Reglamento (UE) n.º 005/2019.   

Si no cumplen estos requisitos, o si no existen contratos formales, esto supone un riesgo normativo directo.  

3. Documentar los tiempos de recuperación total (RTO) y los tiempos de recuperación operativa (RPO) para cada sistema crítico.   

Defina qué se considera un sistema crítico dentro de su organización, establezca objetivos de recuperación para cada uno de ellos y compruebe que su infraestructura actual puede cumplirlos. Esto debe demostrarse mediante pruebas documentadas.  

4. Evalúa la soberanía de los datos de tus cargas de trabajo críticas.   

  • ¿Sabes exactamente dónde se almacenan y procesan los datos de tus clientes?   
  • ¿Tienes control contractual sobre ello?   
  • ¿Se encuentra bajo jurisdicción colombiana o en zonas internacionales sin acuerdos específicos?   

Este último punto reviste especial importancia en el nuevo marco de «finanzas abiertas».  

Cómo orientarse en la infraestructura en la nube: de cara a 2026 y más allá  

Las normas de la SFC no son un obstáculo. Son una guía. Las organizaciones que comprenden exactamente lo que la Superfinanciera exige a su infraestructura tecnológica cuentan con una gran ventaja: pueden desarrollar su arquitectura en la nube, ya sea privada o híbrida, con criterios claros, evitar sorpresas durante las auditorías y, al mismo tiempo, ofrecer servicios más resilientes a sus clientes.  

Una infraestructura de nube híbrida con un punto de anclaje soberano en Colombia no es solo una opción técnica viable. En el contexto normativo actual, es una elección arquitectónica inteligente para una entidad financiera colombiana que desee crecer sin comprometer el cumplimiento normativo. 

¿Quieres profundizar más?  

Si, tras leer este artículo, desea obtener un análisis exhaustivo de las deficiencias que la SFC ya está auditando, con indicadores, ejemplos y un marco para subsanarlas, puede descargar nuestro informe técnico (disponible solo en español):  

Listos para la auditoría: cómo evaluar, medir y subsanar las deficiencias que la Superfinanciera ya está auditando

Se trata de una guía práctica dirigida a directores técnicos (CTO), directores de sistemas de información (CIO) y directores de seguridad de la información (CISO) del sector financiero colombiano. Sin teorías innecesarias. Incluye criterios técnicos y normativos, además de un plan de acción concreto. 

Recursos relacionados

Manténgase a la vanguardia con Ilkari

Suscríbase para recibir las últimas noticias, insights, actualizaciones de productos y anuncios exclusivos directamente en su bandeja de entrada.