Paula ArmentiaPor Paula Armentia Morillas, Asociada Senior del Área de Governance, Risks & Compliance de ECIX

Cada día es más habitual oír hablar del Servicio de Cloud Computing, sobre todo, en un momento en que la tendencia a la globalización y la necesidad de ahorrar costes, hacen que cada vez más Entidades se planteen la posibilidad de contratar este tipo de Servicio.

Si bien son muchas las ventajas que este Servicio puede reportar para una Organización, conlleva también implicaciones desde el punto de vista de la Confidencialidad, Integridad y Disponibilidad, implicaciones que hacen necesaria una correcta regulación del mismo para evitar posibles inconvenientes a posteriori.

En la actualidad, muchos de los Prestadores de Servicios Cloud Computing, en adelante Cloud Services Providers (CSP), tienen ya previamente definidas sus propias cláusulas contractuales. No obstante lo anterior, la experiencia nos enseña que es conveniente especificar los extremos que, sin ser una lista cerrada, deben ser negociados o, por lo menos, contemplados por las Entidades, de forma que les permita utilizar este tipo servicios que brindan las nuevas tecnologías pero siempre de una manera inteligente, controlada y expresamente regulada:

Localización inicial de los datos

Que la información de nuestro negocio vaya a estar gestionada en “la nube” no significa que su ubicación deba sernos desconocida, sobre todo, para un activo que es de vital importancia para nuestro negocio. Por ello, se deberá exigir al CSP la especificación del concreto país en el que se almacenarán nuestros datos.

Algunos CSPs permiten al Cliente elegir el país en el que se ubicará su información. En caso de que se nos ofrezca esta posibilidad, es recomendable que la ubicación elegida pertenezca a un país emplazado dentro del Espacio Económico Europeo; o a uno de aquellos países (que sin estar dentro del mismo) posean un nivel adecuado de protección según la Comisión Europea; o que el CSP pertenezca a alguna de las Entidades estadounidenses que se encuentren adheridas a un Acuerdo de Puerto Seguro.

Localización posterior de los datos

Si bien es importante concretar con el CSP la ubicación inicial en la que se almacenarán nuestra información, diversas causas podrían llevar a que el CSP decida a posteriori y unilateralmente “mover” nuestros datos a otra ubicación. Por ello, es recomendable exigir por contrato que, en caso de que el CSP decida modificar la ubicación inicial de nuestros datos, nos lo comunique de forma previa y se obligue a cumplir con las exigencias legales, cuya decisión pueda conllevar (p.e. solicitar autorización ante la Autoridad de Protección de Datos en caso de tratarse de una Transferencia Internacional –TI-).

En concreto, una cláusula por la que el CSP asuma la obligación de obtener cualquier aprobación y autorización de las Autoridades de Protección de Datos correspondientes, cuando la nueva ubicación se halle en un país que suponga una TI.

Subcontratación de servicios por el CSP

Es recomendable que se obligue al CSP a que en caso de subcontratar Entidades ubicadas en un país que exija la solicitud de autorización para la TI por parte de la Autoridad de Protección de Datos, el CSP asuma el compromiso de solicitar dicha autorización utilizando, por ejemplo, la posibilidad que en el 2012 estableció la Agencia Española de Protección de Datos con relación de Encargado establecido en España, y un Subencargado del tratamiento/importador de datos, ubicado en un país que no garantiza un nivel adecuado de protección.

Medidas de seguridad a aplicar

Además de las medidas de seguridad técnicas y organizativas necesarias que el CSP deberá de implantar en función de la tipología de la información objeto del servicio, no se puede obviar el tema de los registros de auditoría (logs), y sobre todo cuando se vayan a gestionar datos personales de nivel alto es importante regular en el Contrato, la obligación de traslado de los registros de auditoría (logs) y periodicidad en que el CSP nos deba proporcionar los registros de auditoría (logs) sobre ficheros de nivel alto. Por ello, será necesario que se establezcan expresamente los datos de registro que necesitamos, la periodicidad y el canal de envío de los mismos.

Además es importante conocer las características del canal a través del que se producirá el traslado de datos desde “la nube” hasta nuestra Organización. Aunque lo habitual es que el CSP utilice algún mecanismo de cifrado como SSL, éste extremo debe ser verificado con el propio Proveedor.

Recuperación en caso de desastres y gestión de incidentes de seguridad

Este debe ser uno de los puntos a revisar con especial cuidado; que el CSP tenga implantado un plan que permita la continuidad ante posibles eventos que puedan ocurrir y que puedan poner en peligro la disponibilidad de nuestra información y, en muchos casos, de nuestro negocio, así como establecer un Services Level Agreement (SLA) con los plazos máximos de respuesta y penalizaciones.

Verificaciones sobre el cumplimiento

Es recomendable establecer la posibilidad de verificar periódicamente el cumplimiento por el CSP de las exigencias contractuales, así como de los SLAs, a través de una Cláusula por la que el Cliente se reserve dicha facultad de revisión de medidas y tiempos de respuesta, siempre con previo aviso sobre la realización de la verificación o auditoría y procurando la mínima molestia.

Propiedad intelectual e industrial

Es conveniente especificar que la información almacenada seguirá siendo propiedad del Cliente y dicha entrega de información para su custodia no supone cesión ni cualquier derecho o licencia, explícita o implícita, a favor del CSP sobre cualesquiera patentes, marcas, derechos de autor, secretos industriales, así como cualesquiera otros derechos de propiedad intelectual o industrial de los nuestra Organización sea titular.

Sobre la base de lo anterior y, como conclusiones, cualquier Organización que pretenda hacer uso de Servicios de Cloud Computing de una manera segura y controlada es recomendable que:

– Se opte por un CSP que sea capaz de cumplir con los requisitos derivados del modo y lugar en que albergue la información.

– Se elija, en la medida de lo posible, un CSP que posea un plan de continuidad del negocio correctamente implantado.

– Se evalúe la capacidad del CSP para utilizar canales cifrados para el transporte de la información desde “la nube” a la Organización.

– Se regulen por contrato determinados extremos tales como, la forma y mecanismo por el que el CSP proporcione determinada información que permita al Cliente cumplir con la normativa vigente, así como la posibilidad de establecer verificaciones periódicas que nos permitan conocer el grado de cumplimiento de las exigencias contractuales.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.