Riesgo, seguridad y análisis jurídico para la migración ala nube APARTADO 4: Protección, derechos y obligaciones legales
APARTADO 4 PRESENTACIÓN 1. Especificación del contexto internacional 2. Preparación de un contrato de
1. ESPECIFICACIÓN DEL CONTEXTO INTERNACIONAL
Especificación delcontexto internacional Los retos legales en el contexto de la informática en la nube son...
Especificación delcontexto internacional Los retos legales en el contexto de la informática en la nube son: la legislación aplicable la jurisdicción y la resolución de conflictos la de datos la responsabilidad el marco contractual la portabilidad de los datos la Interoperabilidad las preocupaciones relacionadas con el usuario
Especificación delcontexto internacional LEGISLACIÓN APLICABLE: En ausencia de un contrato entre el usuario y el proveedor de servicios en la nube, pueden ser de aplicación diversas leyes y éstas pueden incurrir en contradicciones Una práctica común es establecer contractualmente las leyes aplicables: Son necesarias negociaciones para llegar a un acuerdo, y esto supone que en ocasiones haya que aplicar leyes de un tercer país para garantizar la "neutralidad"
Especificación del contexto internacional JURISDICCIÓN Y RESOLUCIÓN DE CONFLICTOS Cuando surgen conflictos entre las partes y no se encuentra ninguna solución satisfactoria, entra en juego la resolución de conflictos La cuestión es también optar por: lostribunales como mecanismo de recurso más adecuado para la informática en la nube o emprender el camino del arbitraje, que, aunque más caro, ofrece un proceso de toma de decisiones más rápido por parte de expertos (en parte elegidos) y un procedimiento a puerta cerrada.
Especificación del contexto internacional PROTECCIÓN DE DATOS: En un entorno de nubepueden ser procesados datos personales y no personales. El cifrado permite a un cliente de la nube garantizar que los datos personales de los que es responsable sólo puedan ser consultados por las partes autorizadas que dispongan de la clave adecuada. Si el cifradose utilizacomouna medida técnica para proteger los datos, es importante garantizar la seguridad de la clave. Un buen contrato de gestión de claves es crucial para mantener el nivel de que puede ofrecer el cifrado.
Especificación del contexto internacional RESPONSABILIDAD: Los usuarios directos o finales de la nubedeberán disponer de los medios adecuados para obtener reparación por parte de su proveedor en caso de incidente.
Especificación del contexto internacional MARCO CONTRACTUAL: Un marco contractuales muy recomendabley a menudo incluso considerado por las autoridades responsables de la privacidad de los datos como condición previa para poder operar servicios de informática en la nube. Los proveedores de servicios en la nubeexponen sus términos y condiciones (los cuáles, amenudo nosatisfacen lasnecesidades delos usuarios de esos servicios) En elproceso de negociación,esimportanteindicarclaramentelos principalestemas contractuales y los requisitos específicos delusuario de servicios en la nube
Especificación del contexto internacional PORTABILIDAD DE DATOS cómo puede un usuario de servicios en la nube asegurarse de que en caso de migración a otro proveedor no dejará ninguna huella de su paso por su proveedor original?
Especificación del contexto internacional PORTABILIDAD DE DATOS cómo puede un usuario de servicios en la nube asegurarse de que en caso de migración a otro proveedor no dejará ninguna huella de su paso por su proveedor original? La solución está en estipular claramente en el contrato de servicios en la nube las distintas circunstancias (quiebra, rescisión, etc.) y las modalidades de transferencia.
Especificación del contexto internacional INTEROPERABILIDAD: Cómo mover fácilmente cargas de trabajo y datos de un proveedor de servicios en la nube a otro o entre nubes públicas y privadas La colaboración entre proveedores de servicios y sistemas informáticos también debe ser incluida en el marco contractual
Especificación del contexto internacional DERECHOS DE AUTOR Y CONFIDENCIALIDAD: Los aspectos relativos a la propiedad intelectual y a la confidencialidad deben ser abordados en un marco contractual apropiado en la relación entre el usuario y el proveedor de servicios en la nube. Lenguajeadecuadopara que el usuario final de la nube entienda los problemas de privacidad y confidencialidad (es decir, determinación de políticas de privacidad y pautas de confidencialidad).
2. PREPARACIÓN DE UN CONTRATO DE PROTECCIÓN
Existen multitud de contratos tipo de informática en la nube. Desde simples contratos estandarizados hasta conjuntos multinivel de términos y condiciones. Algunos contratos son propuestos por el proveedor y en otros casos son las agencias quienes proponen sus propios términos legales. Existe un conjunto básico de aspectos legales que deben ser incluidos en cualquier contrato de informáticas en la nube
No todos los aspectos legales son relevantes y merecen ser incluidos en el contrato, esto dependerá de la agencia y de los proveedores. Los términos estándar propuestos por los servicios de informática en la nube pueden no cumplir todos los requisitos legales de una agencia. El número y tipo de requisitos pueden influir en el precio y en el tipo de prestación.
Los aspectos legales clave que deben ser incluidos en un contrato son...
Los aspectos legales clave que deben ser incluidos en un contrato son... la de la información, la responsabilidad, la eficacia de la gestión, la rescisión del contrato, la resolución de conflictos, otros aspectos legales.
PRIVACIDAD: Protección de la información Es recomendable adoptar medidas de tipo contractual que garanticen que los proveedores de servicios contratados no actúen de ninguna manera que pueda violar los principios de confidencialidad de la información. Las agencias debenasegurarse de queel proveedortiene prohibido por contrato la utilización de los datos para cualquier propósito propio como publicidad u otros servicios comerciales.
SEGURIDAD: Protección de la información Las agencias debendesarrollar una evaluacióndel riesgoexhaustivaque les permita tomar una decisión informadasobre la convenienciade una solución basada en la nube y evaluar las protecciones de seguridad adecuadas que ésta requiere. Medidas que pueden ser apropiadas para incluir en un contrato...
SEGURIDAD: Protección de la información Medidas que pueden ser apropiadas para incluir en un contrato... el nivel de seguridad y cifrado el nivel de protocolos de seguridad de acceso los requisitos para lahigienizacióno elborrado de datos en los soportes dañados el almacenamiento de paquetes de datos separados
SEGURIDAD: Protección de la información exigencia para el proveedor de informar inmediatamente a la agencia en caso de incidentes de seguridad o de accesos intrusivos a los datos exigencia para el proveedor de almacenar los datos de la agencia de tal forma que otros clientes del proveedor no tengan acceso a los mismos requisitos de seguridad específicos basados en la naturaleza del servicio y la sensibilidad de los datos.
CONFIDENCIALIDAD: Protección de la información Una agencia puede tener obligaciones contractuales, morales o legales de mantener la confidencialidad de determinada información. Por lo tanto, es importante que estas obligaciones sean también transferidas al proveedor Las agencias deberían tener en cuenta en un contrato...
CONFIDENCIALIDAD: Protección de la información Las agencias deberían tener en cuenta en un contrato... la replicación de cualquier obligación que incumba a la agencia por contrato o por ley los requisitosque asegurenque el proveedoresconsciente delnivel de confidencialidadrequerido y se comprometea protegerlos datos adecuadamente
Protección de la información REQUISITOS DE LA GESTIÓN DE ARCHIVOS: Las agencias deben incluir controles y protecciones (por ejemplo a través de un contrato con el proveedor de servicios en la nube) acordes con el valor de los archivos y que cubran los riesgos que supone la informática en la nube para los archivos de la agencia. Las agencias deberían tener en cuenta en un contrato
Protección de la información REQUISITOS DE LA GESTIÓN DE ARCHIVOS: Las agencias deberían tener en cuenta en un contrato la restricción de los lugares / países en los que los pueden encontrarse los datos de la agencia los derechosde auditarel cumplimiento del contrato por parte del proveedor cuando sea técnicamenteposible, el derechode la agencia de supervisarde forma remota el acceso a susdatos, y si lo anterior no es posible, el requisito de que el proveedor mantenga un registro de auditoría del acceso a los datos de la agencia y proporcione dicho registro a la agencia si ésta lo requiere.
INDEMNIZACIÓN POR PÉRDIDA O MAL USO DE LOS DATOS: Existe la posibilidad de que unservicio de informática en la nube pierda los datos de forma permanente Siempre existe el riesgo de un uso indebido de los datos por parte de empleados deshonestos del proveedor o de que éstos sean utilizados por terceros. Le corresponde a la agencia determinar si el convenio con el proveedor de servicio en la nube debe: Protección de la información exigir al proveedor que asuma la responsabilidad de las pérdidas indirectasy sus consecuencias resultantes incluiruna indemnizaciónpor parte delproveedor en caso de pérdida de datoso de uso indebidocomo resultado de negligencia, acción ilícita omalintencionada, u omisión del proveedor o de su personal
SUBCONTRATISTAS: Protección de la información Un componente fundamental de la garantía de una adecuada de los datos de la agencia consiste en establecer en el contrato con el proveedor que sus subcontratistas también estarán obligados a cumplir las mismas exigencias que éste.
INDEMNIZACIÓN: Responsabilidad Unaindemnizaciónes una promesa legalmente vinculante por la cual una de las partes se compromete a aceptar el riesgo de pérdida o daños que pueda sufrirla otraparte. En algunos contratos de servicios de informática en la nube el proveedor exigirá a la agencia una compensación. Este tipo de compensaciones suele incluir: La infracción de los derechos de un tercero (incluyendo la privacidad y los derechos de propiedad intelectual) por parte del proveedor como resultado del procesamiento por parte suya de datos de terceros suministrados por la agencia cualquier pérdida o daño causado por la utilización que haga la agencia del servicio el incumplimiento del acuerdo por parte de la agencia.
NIVELES DE SERVICIO: Eficacia de la gestión Los niveles de servicio son una forma importante de garantizar que un proveedor cumple con el nivel de servicio esperado por la agencia. Esto es especialmente importante cuando el servicio de informática en la nube es esencial para el funcionamiento de la agencia o de sus clientes.
TIEMPOS DE RESPUESTA: En caso de interrupción de la totalidad o de parte del servicio, es importante que el proveedor esté contractualmente obligado a investigar y, cuandoesté en sus manos, resolver lainterrupción lo antes posible. Una agencia podríaquerer categorizar los tiempos de respuesta en función de la gravedad del fallo. Eficacia de la gestión
FLEXIBILIDAD DEL SERVICIO: Eficacia de la gestión Una de las principales ventajas de un modelo de servicios de informática en la nube es que debería tenerflexibilidadsuficienteparaescalar fácilmente hacia arriba o hacia abajo el nivel de servicio requerido en función de las necesidades de la agencia. Aspectos clave a considerar asegurarse de que el modelo de precios es el adecuado -si la demanda de servicios en la nube de la agencia sube o baja, tendrá que pagar más (sobre la base de coste por unidad) debido al cambio de escala del servicio? permite el contrato introducir fácilmente cambios en la demanda de la agencia o exigirán esos cambios un largo proceso de negociación?
FLEXIBILIDAD DEL SERVICIO: Eficacia de la gestión Aspectos clave a considerar asegurarse de que el modelo de precios es adecuado -si la demanda de servicios en la nube por parte de la agencia sube o baja, tendrá que pagar más (debido al coste por unidad) debido al cambio de escala del servicio? permite el contrato introducir fácilmente cambios en la demanda de la agencia o podrían esos cambios requerir un largo proceso de negociación?
CONTINUIDAD DE LA ACTIVIDAD Y RECUPERACIÓN EN CASO DE DESASTRE: La continuidad de la actividad y la recuperación tras un desastre son a menudo un aspecto clave a tener en cuenta en los contratos de servicios de informática en la nube, dada la dependenciaque puedetener una agencia de un acceso ininterrumpido a al servicio. Por lo tanto, las agencias deberían considerar la inclusión de protecciones en su contrato con el proveedor: Eficacia de la gestión asegurándose de que el proveedor dispone de un sitio geográficamente separado que utilizará para la recuperación en caso de desastre asegurándose de que el proveedor tiene capacidad de seguir operando en caso de corte de suministro eléctrico
CONTINUIDAD DE LA ACTIVIDAD Y RECUPERACIÓN EN CASO DE DESASTRE: Por lo tanto, las agencias deberían considerar la inclusión de garantías en su contrato con el proveedor: Eficacia de la gestión asegurándose de que la continuidad de la actividad es un requisito estricto exigiendo que sea presentado a la agencia para su discusión y aprobación un plan de continuidad de la actividad y recuperación en caso de desastre limitando el derecho del proveedor de suspender su servicio asegurando que las interrupciones programadas por mantenimiento de los sistemas del proveedores no se producen durante las horas en las que la agencia requiere el acceso y el uso del sistema
Disposición de rescisión RESCISIÓN POR CONVENIENCIA Y CARGOS POR RESCISIÓN ANTICIPADA: Considerar la posibilidad deinclusión de una cláusula derescisión anticipadadel contrato quepermita auna agencia rescindir oreducir el acuerdo en cualquier momento y por cualquier motivo RESCISIÓN POR INCUMPLIMIENTO La agencia deberíaasegurarse de que tieneel derecho a rescindir el contrato por incumplimiento si el proveedorincumple los requisitos razonablesde la agencia según lo estipulado en el contrato.
Disposición de rescisión DERECHO DE RESCISIÓN DEL PROVEEDOR Normalmente los proveedores intentarán incluir su propio derechode rescisión del contrato Con respecto a dicho derecho, la agencia debería considerar la inclusión de un preaviso de la rescisión efectiva suficientemente largo que le permita encontrar un proveedor alternativo adecuado.
Resolución de conflictos Es importante tener claro cómo serán resueltos los desacuerdos relativos al contrato de informática en la nube. Las agencias deberían asegurarse de que: el contrato indica el país (y la jurisdicción) cuya legislación le sea aplicable. qué tribunales son competentes para los litigios relativos al acuerdo (elección del derecho aplicable) si se proponen mecanismos alternativos de resolución de conflictos, como el arbitraje.
Resumen Retos legalesen el contexto de la informática en la nube... LEGISLACIÓN APLICABLE (determinar contractualmente la legislación aplicable) JURISDICCIÓN Y RESOLUCIÓN DE CONFLICTOS (tribunales o arbitraje) PROTECCIÓN DE DATOS (cifrado y una buena disposición para la gestión de claves) RESPONSABILIDAD (medios adecuados por parte del proveedor para conseguir una reparación en caso de incidente) MARCO CONTRACTUAL (indicar claramente los principales temas contractuales y los requisitos específicos del usuario de servicios en la nube) PORTABILIDAD DE DATOS (estipulación de las modalidades de transferencia) INTEROPERABILIDAD (colaboración entre proveedores de servicios y sistemas informáticos)
Resumen Acuerdos de informática en la nube (de simples contratos estándar a múltiples niveles) Existe un conjunto básico de aspectos legalesque deben ser incluidos en cualquier contrato de informática en la nube. Protección de la información: PRIVACIDAD, SEGURIDAD, CONFIDENCIALIDAD, REQUISITOS DE GESTIÓN DE ARCHIVOS, COMPENSACIÓN POR PÉRDIDA O MAL USO DE DATOS, SUBCONTRATISTAS Responsabilidad: INDEMNIZACIÓN Eficaciade la gestión: NVELES DE SERVICIO, TIEMPOS DE RESPUESTA, FLEXIBILIDAD DE SERVICIO, CONTINUIDAD DE LA ACTIVIDAD Y RECUPERACIÓN EN CASO DE DESASTRES
Resumen Existe un conjunto básico de aspectos legalesque deben ser incluidos en cualquier contrato de informática en la nube. Rescisión del contrato: RESCISIÓN POR CONVENIENCIA Y GASTOS POR RESCISIÓN ANTICIPADA, RESCISIÓN POR INCUMPLIMIENTO, DERECHO DE RESCISIÓN DEL PROVEEDOR Resolución de conflictos Otros aspectos legales...