CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE Versión: 1.3 Marzo 2014
INTRODUCCIÓN En la actualidad varias entidades del sector privado y público están evaluando el usar el Cómputo en la Nube (Cloud Computing) para generar ahorros y obtener beneficios administrativos adicionales, debido a esto, el Cómputo en la Nube ha tenido un rápido crecimiento dentro del ámbito tecnológico y ha hecho que cada vez más empresas lo adopten. El presente documento tiene como objetivo el informar sobre la opción de Cómputo en la Nube (Cloud Computering), analizar los puntos a considerar al momento de contratar este tipo de servicios, y los aspectos legales vigentes referentes a este tema. PROPÓSITO Este documento tiene el propósito ser una guía sobre los puntos a considerar para contratar servicios de Cómputo en la Nube. ALCANCE Este documento hace referencia a los puntos a considerar si se desea realizar un contrato de servicios de Cómputo en la Nube. Quedan fuera del ámbito del presente trabajo precios y cotizaciones de los servicios de Cómputo en la Nube. OBJETIVO El objetivo de este documento es dar a conocer las consideraciones a tener en cuenta para la contratación de servicios de Cómputo en la Nube en caso de ser requeridos dentro de la administración del Gobierno del Estado de México. CÓMPUTO EN LA NUBE El Instituto Nacional de Estándares y Tecnología del Gobierno de Estados Unidos, (NIST por el acrónimo en inglés), ha definido el Cómputo en la Nube de la siguiente manera: Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de Nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue. Dentro de las características esenciales del Cómputo en la Nube se encuentran las siguientes: Auto-servicio por demanda: Un consumidor puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. 2
Acceso amplio desde la red: Las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, pesadas o livianas, como el PC, un teléfono móvil o un navegador Internet. Conjunto de recursos: Los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo multi-tenant, con varios recursos tanto físicos como virtuales asignados y reasignados de acuerdo con los requerimientos de los consumidores. Existe un sentido de independencia de ubicación en cuanto a que el consumidor no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo, aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto; por ejemplo, país, estado o centro de datos. Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales. Rápida elasticidad: Las capacidades pueden ser rápidamente y elásticamente aprovisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también rápidamente liberadas para escalar hacia dentro también de manera veloz. Para el consumidor, estas capacidades disponibles para aprovisionar a menudo aparecen como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento Servicio medido: Los sistemas en la nube controlan automáticamente y optimizan el uso de recursos mediante una capacidad de medición a algún nivel de abstracción, adecuado al tipo de servicio; por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas. El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el consumidor por el servicio utilizado. Dentro de los tres Modelos de servicio se encuentran las siguientes: SaaS Software as a Service: Esta es una capacidad que se refiere a que el consumidor utiliza las aplicaciones del proveedor en una infraestructura de nube. PaaS Platform as a Service: Esta capacidad le permite al consumidor desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. IaaS Infrastructure as a Service: Esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. Existen los Modelos de despliegue y son los siguientes: Nube privada: La infraestructura de esta nube es operada únicamente para una organización. Puede ser administrada por la organización o por un tercero y puede existir dentro de la misma, on premises o fuera de la misma, off premises. Nube comunitaria: La infraestructura de esta nube es compartida por varias organizaciones y apoya las preocupaciones de una comunidad particular sobre un tema específico, por ejemplo, seguridad, investigación, políticas o cumplimientos. Puede ser administrada por la organización o por un tercero y puede existir dentro de la misma, on premises o fuera de la misma, off premises. 3
Nube pública: La infraestructura de esta nube está disponible para el público en general o para un gran grupo de industria y dicha infraestructura la provee una organización que vende servicios en la nube. Nube híbrida: Es la composición de dos o más nubes, por ejemplo privada y pública, que permanecen como entidades únicas pero que coexisten por tener tecnología que permite compartir datos o aplicaciones entre las mismas. Piense en un escenario en donde la aplicación se desarrolla y se prueba en una nube privada y luego se despliega a una nube pública. Una vez que se han visto los modelos de servicio y los tipos de Nube que existen, se deben tener en cuenta algunas consideraciones previas a la contratación de servicios de Cómputo en la Nube: 1) Definir el tipo de servicios en específico se desean contratar dentro del Cómputo en la Nube. 2) Se deben de definir los acuerdos de niveles de servicio que se requerirán por parte de los servicios en la Nube a contratar. 3) El usuario debe contemplar el lugar geográfico donde se almacenaran los datos que desee tener en los servicios del Cómputo en la Nube. 4) Los niveles de seguridad y de redundancia requeridos por parte de los servicios en la Nube a contratar. 5) Los aspectos contractuales que se desea sean contemplados dentro del contrato que se firmara para los servicios de Cómputo en la Nube. 6) Diseñar una estrategia de migración o de implementación de los servicios del Cómputo en la Nube. 7) Informarse sobre si intervienen o no terceras empresas (subcontratistas) con la empresa con la que se desean contratar los servicios de Cómputo en la Nube. 8) Definir el tipo de licenciamiento y la cantidad que se utilizará dentro de los servicios de Cómputo en la Nube. Después de evaluar los puntos anteriores en necesario contemplar los aspectos legales de contratar servicios de Cómputo en la Nube. CONDICIONES LEGALES Dentro del marco legal, para la contratación de servicios en la Nube, se hace mención en lo referente a los datos personales que se almacenan en la Nube en el artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que menciona lo siguiente: Tratamiento de datos personales en el denominado cómputo en la nube Artículo 52. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor: I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y II. Cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta; b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio; 4
c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio; d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales. Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente. Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube. Esto en lo referente a la Ley de Protección de Datos, hay otro punto que es recomendable considerar dentro del uso del Cómputo en la Nube, y es el que se estipula dentro del Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal, que indica dentro del Artículo Octavo, inciso IX lo siguiente: IX. Establecer los términos y condiciones de contratación que garanticen la portabilidad de las soluciones a través del tiempo, especialmente cuando se trate de contrataciones vinculadas a servicios digitales basados en soluciones de cómputo en la nube, en las modalidades de: infraestructura como servicio, plataformas como servicio y software como servicio; Entendiéndose por Portabilidad lo referido dentro del mismo documento en el Articulo Segundo, inciso XXIV que indica lo siguiente: XXIV. Portabilidad: al conjunto de características que permiten la transferencia de la información de un sistema o aplicación a otro. Tratándose de servicios de cómputo en la nube, a la capacidad para trasladar un servicio de un proveedor a otro; En base a esto es recomendable que el contrato de Servicios de Cómputo en la Nube que se realice considere la portabilidad de los datos que se indica en los párrafos anteriores, esto para asegurar la interoperabilidad de datos de forma abierta. Para la legislación que se encuentra vigente dentro del Estado de México, La Ley de Protección de Datos Personales del Estado de México indica las siguientes disposiciones referentes a los Sistemas de Tratamiento y Registro de Datos Personales: Tratamiento y Registro de Datos Personales Capítulo Primero Sistemas y Tratamiento de Datos Personales Sistemas de Datos Personales Artículo 49.- Corresponde a cada sujeto obligado determinar, a través de su titular o, en su caso, del órgano competente, la creación, modificación o supresión de sistemas de datos personales, conforme a su respectivo ámbito de competencia. 5
Tratamiento de los Sistemas de Datos Personales Artículo 50.- La integración, tratamiento y tutela de los sistemas de datos personales se regirán por las disposiciones siguientes: I. Cada sujeto obligado deberá informar al Instituto sobre la creación, modificación o supresión de su sistema de datos personales; II. En caso de creación o modificación de sistemas de datos personales, se deberán incluir en el registro, los datos previstos en el artículo 52; III. En las disposiciones que se dicten para la supresión de los sistemas de datos personales, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción; y IV. De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación. Tratamiento de Datos a cargo de Encargados Externos Artículo 51.- En caso de que el tratamiento de datos personales lo realice un encargado externo, el sujeto obligado deberá suscribir un convenio o contrato en el que se establezca que los datos personales serán tratados únicamente conforme a las indicaciones del responsable, que no serán utilizados para una finalidad distinta a la estipulada en el contrato, y su destino final. Asimismo, dicho contrato deberá establecer, por lo menos, cláusulas específicas sobre: I. La obligación del encargado de guardar confidencialidad de los datos; II. Las responsabilidades y penalizaciones que correspondan por el uso inadecuado de los datos; III. El nivel de protección requerido para los datos de acuerdo con su naturaleza; y IV. La obligación de permitir verificaciones a las medidas de seguridad adoptadas mediante la inspección de las instalaciones, los procedimientos y el personal. Capítulo Segundo Del Registro de Sistemas de Datos Personales Contenido del Registro Artículo 52.- Los sujetos obligados deberán registrar ante el Instituto los sistemas de datos personales que posean. El registro deberá indicar por lo menos los siguientes datos: I. El sujeto obligado que tiene a su cargo la base de datos; II. La denominación de la base de datos y el tipo de datos personales objeto de tratamiento; III. El nombre y cargo del responsable y los usuarios; IV. La normatividad aplicable que dé fundamento al tratamiento; V. La finalidad del tratamiento; VI. La forma de recolección y actualización de datos; VII. El destino de los datos y personas físicas o jurídicas colectivas a las que pueden ser transmitidos; VIII. El modo de interrelacionar la información registrada; IX. La unidad administrativa ante la que podrán ejercitarse los derechos de acceso, rectificación, cancelación u oposición; X. El tiempo de conservación de los datos; y XI. Las medidas de seguridad. Dicha información será publicada en el sitio de Internet del Instituto y deberá actualizarse semestralmente, por la Unidad de Información de conformidad con lo dispuesto en los lineamientos que al efecto expida el Instituto. Previo a la contratación de servicios de Cómputo en la Nube se deben obedecer las disposiciones aplicables descritas en los párrafos anteriores y tener en cuenta la responsabilidad que el Servidor Público tendrá de acuerdo a lo estipulado por la Ley. Se deben seguir los lineamientos que se indican el Artículo 52 de la Ley de 6
Protección de Datos Personales del Estado de México que indica el registro de los Sistemas de Datos Personales ante el Instituto de Transparencia, Acceso a la Información y Protección de Datos Personales del Estado de México y Municipios. RECOMENDACIONES Y MEJORES PRÁCTICAS En este apartado se dan algunas recomendaciones referentes a las mejores prácticas para la contratación de servicios de Cómputo en la Nube, las recomendaciones son las siguientes: a) Los responsables tienen el deber de medir el impacto a la seguridad y a la privacidad antes de considerar el uso de tecnologías de Cómputo en la Nube. b) Las políticas de protección de datos sobre el uso de Cómputo en la Nube deben ser iguales o mejores que las aplicadas a los procesos convencionales de tratamiento de datos. c) Se debe trabajar solamente con proveedores de Cómputo en la Nube que ofrezcan seguridad, transparencia y confianza a través de cláusulas contractuales balanceadas, enfocadas especialmente a la responsabilidad del proveedor en caso de una vulneración a la seguridad y a remarcar que el responsable siempre tiene control sobre los datos. d) La implementación del Cómputo en la Nube debe hacerse cuidadosamente, iniciando con datos personales no sensibles. e) Al realizar un contrato, se debe especificar que el proveedor de Cómputo en la Nube no podrá hacer uso de los datos personales para su propio beneficio. f) El responsable y el proveedor de Cómputo en la Nube deben estar organizados para que en caso de ocurrir una vulneración a la seguridad de los datos, el proveedor pueda auxiliar al responsable a cumplir sus obligaciones ante las autoridades de protección de datos. g) Se debe conocer la ubicación de la infraestructura que almacena los datos, así como su regulación si se encuentran fuera del país. h) A través de un análisis de riesgo se debe decidir si el prestador de servicios de Cómputo en la Nube ofrece la seguridad que se requiere. i) Al término del contrato con el prestador de servicios en la Nube se debe poder recuperar los datos y migrarlos. Así como, eliminarlos totalmente de los medios del prestador de servicios. Se recomienda que la eliminación de los datos en la Nube al termino del contrato sea validada mediante un certificado de eliminación de datos expedido por el proveedor de servicios en la Nube. j) Asegurar de forma contractual que ante un desastre o fallo, se pueda continuar con el servicio en el menor tiempo posible, esto mediante los mecanismo que determinen ambas partes. k) Asegurarse que como responsable sólo este tenga el control de acceso a los datos dentro de la Nube. l) Si un proveedor de servicios de Cómputo en la nube no puede garantizar seguridad y transparencia de sus procesos a través de una relación jurídica, éste no debe ser contratado. m) Se debe tener claro que el usuario que contrata los servicios en la Nube es responsable por la información se coloca en la Nube. n) Utilizar cláusulas claras respecto al uso y confidencialidad de los datos que procesa el proveedor de servicios en la Nube. o) Negociar las cláusulas de seguridad que permitan al usuario obtener mayores niveles de seguridad para los servicios que contrate. p) Definir de forma clara dentro del contrato los acuerdos de niveles de servicio que requiere el usuario que le proporcione el proveedor de servicios en la Nube. q) Se deben tener especial cuidado en leer las letras pequeñas del contrato y que queden perfectamente claros los derechos y obligaciones de cada una de las partes, así como la delimitación de responsabilidades. 7
r) Establecer dentro del contrato los términos y condiciones de contratación que garanticen la portabilidad de las soluciones a través del tiempo, ya sea al inicio o al término del contrato. s) Establecer de forma clara dentro del contrato los términos del licenciamiento a emplear dentro de los servicios de Cómputo en la Nube a contratar. CONCLUSIONES En este documento se exponen los conceptos básicos del Cómputo en la Nube, así como los conceptos jurídicos que hacen referencia a este tipo de tecnología y al tratamiento de datos personales mediante sistemas informáticos; además se emiten recomendaciones a seguir para la contratación de servicios de este tipo, esperando sirvan de guía a los usuarios que deseen adoptar este tipo de tecnología que tendrá un gran auge en los siguientes años y que será una opción que adoptaran muchas entidades. 8
REFERENCIAS Definición de Cloud Computing por el NIST, Guillermo Taylor, Technet Blog, 25/Agosto/2010. Ley Federal De Protección De Datos Personales en Posesión de los Particulares. Ley de Protección de Datos Personales del Estado de México Presentación Protección de datos en la Nube, Maestra Lina Ornelas, IFAI. 9