Registros de auditoría inmutables para una fintech

Para una entidad financiera, los registros de auditoría no son un archivo más: son la prueba de qué pasó, cuándo y quién lo hizo. La normativa europea exige que esa evidencia se conserve íntegra durante años y que ni un administrador con todas las credenciales pueda alterarla. Así es como una plataforma fintech anónima resolvió ese requisito con OtterStorage.

El reto

La plataforma genera un flujo continuo de registros de auditoría: trazas de transacciones, eventos de acceso, cambios de configuración y logs de sus sistemas críticos. El equipo de cumplimiento tenía que garantizar tres cosas a la vez:

• Inalterabilidad. Ni un atacante con credenciales válidas ni un error humano podían poder borrar o sobrescribir un registro una vez escrito. Inmutabilidad real, no una promesa de configuración.
• Encaje con DORA y NIS2. El Reglamento de Resiliencia Operativa Digital (DORA) y la directiva NIS2 exigen conservar trazas de forma íntegra y demostrable, con la capacidad de congelar evidencia ante un requerimiento o una investigación.
• Soberanía del dato. Los registros debían permanecer en territorio de la UE, sin depender de jurisdicciones de terceros países, y con control claro sobre quién puede tocar qué.

Sus copias vivían en almacenamiento estándar, sin un mecanismo que impidiera el borrado, y montar y mantener inmutabilidad a mano (políticas objeto por objeto) era frágil y difícil de auditar.

La solución con OtterStorage

El equipo creó buckets dedicados para los registros sujetos a requerimientos y los apuntó al endpoint S3 estándar https://s3.otterstorage.io en la región EU-MAD (Madrid), manteniendo así toda la evidencia dentro de la UE. La ingesta se hace con herramientas compatibles con S3 que ya usaban, sin desarrollo a medida.

1. Aislamiento por bucket con claves dedicadas

Cada bucket de auditoría tiene su propio par access key + secret key, aislado del resto de la organización. Los sistemas que escriben logs solo conocen las credenciales de su bucket, de modo que un compromiso en otro punto de la plataforma no alcanza la evidencia. La configuración se prepara siguiendo la guía de access keys y creación de buckets.

2. Object Lock en modo WORM

Los buckets se crean con Object Lock habilitado (OtterVault) sobre versionado, de forma que cada registro queda escrito en modo WORM (write once, read many). Se aplica el modo que corresponde según el nivel de exigencia:

• Governance, cuando se necesita una retención firme que un rol con privilegios especiales pueda gestionar de forma controlada.
• Compliance, para la evidencia más sensible: durante el periodo de retención nadie, ni el administrador de la cuenta, puede acortarlo, borrar ni sobrescribir el objeto.

Con esto, una vez escrito el registro, la versión queda fijada hasta que vence su periodo de retención. El detalle de modos y comportamiento está en la documentación de Object Lock.

3. Legal Hold a nivel de bucket

Por encima del Object Lock, ante un requerimiento legal o una auditoría, el equipo activa el Legal Hold sobre el bucket entero con un único interruptor desde la consola. Mientras el Legal Hold está activo, OtterStorage congela el bucket completo: nadie puede borrar ni sobrescribir un registro, ni cambiar la política del bucket, ni siquiera el administrador de la cuenta, y el bloqueo afecta por igual a todas las claves de acceso. Las lecturas y descargas siguen funcionando con normalidad, de modo que auditores e investigadores acceden a la evidencia sin poder alterarla. Es reversible: al cerrar el requerimiento, se desactiva desde la consola. Los detalles están en la guía de Legal Hold.

Como en OtterStorage no se cobra por peticiones ni por borrados, ni la ingesta continua de logs ni las operaciones denegadas por el bloqueo añaden coste: la factura depende solo de los TB conservados.

Resultados

• WORM real: con Object Lock en modo Compliance, ningún registro puede modificarse ni eliminarse durante su retención, ni con credenciales de administrador.
• Legal Hold por bucket: congelar toda la evidencia ante un requerimiento es un clic en la consola, y bloquea borrados, sobrescrituras y cambios de política para todas las claves a la vez.
• Encaje con DORA y NIS2: la conservación íntegra y la capacidad de congelar evidencia cubren los requisitos de trazabilidad y preservación de las dos normas.
• Soberanía UE: los buckets viven en EU-MAD (Madrid), con la evidencia siempre dentro de la Unión Europea.
• Coste predecible: sin cargos por peticiones ni por borrados, el gasto se calcula por TB de antemano, con tarifas claras en precios.

El resultado es una cadena de custodia digital sencilla de operar y de auditar: la evidencia se escribe una vez, se conserva intacta en la UE y se congela bajo demanda, sin infraestructura propia que mantener.