Foresenics - Informática forense
Foresenics - Informática forense

Contratos de servicios en la nube. Aspectos legales y técnicos en su negociación

13/08/2014 09:20 PM Comentario(s) Por Foresenics

1. Una aproximación terrenal. Es indudable que la modalidad de contratar servicios en la nube, está en franco ascenso. Sin embargo, por muy  frecuentes sean, tienen singulares características  tecnológicas y  legales que se enlazan y es preciso comprender. Más allá del conocimiento sobre derecho contractual, que el  abogado usará al tiempo de aconsejar a su cliente en este punto, es necesario atender los aspectos técnicos subyacentes,  de los cuales pueden surgir responsabilidades y compromisos para el negocio de su cliente. En definitiva, los contratos comerciales,  se firman para ganar dinero.  Desde ese punto de vista, el presente artículo no será una fuente de la doctrina contractual, sino un ayuda memoria de aquellos puntos que su cliente debe negociar. 2. Nubes a la vista- y al alcance. La computación en la nube es un término general, para denominar la provisión de servicios de hospedaje a través de Internet. Estos servicios se dividen en tres grandes categorías: Infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Esta definición, por cierto,  no se encuentra en un texto convencional del derecho, pero resulta familiar a quienes prestan o toman estos servicios y proviene de ese terreno.  Si bien existen importantes diferencias técnica en la provisión de servicios  entre  las tres categorías y, a su vez existen tres clases bien diferenciadas de “nubes” , los cuidados que deben tomarse antes de firmarlos son, básicamente, comunes. A modo de comentario personal, es probable que numéricamente, los SaaS sean más importantes, pero hasta esta observación es relativa.  Aquí, el proveedor proporciona la infraestructura de hardware, el producto de software, e interactúa con el usuario a través de un portal de acceso. El mercado de SaaS es muy amplio y comprende desde el email basado en la Web, hasta el control de inventarios y el procesamiento de bases de datos. Es común en el mercado sostener que los servicios  en la nube, son aquellos en los que el proveedor garantiza el acceso a un disco rígido, independiente de los ordenadores de los usuarios,  al cual se puede llegar desde cualquier lugar del mundo,  conexión a la web mediante. PCs, tabletas y celulares están incluídos-  cortesía de Internet. En el caso que asume este artículo, más allá del modelo de nube elegido, el abogado debe aconsejar a su  cliente, quien es  el usuario que necesita almacenar información en el sistema de un proveedor. No va a estar en control directo de la información, que no está almacenada en su empresa, sino en un lugar lejano y a veces no precisado.   3. Mil veces no debo. Entonces, la data que el usuario, su cliente, sube en la nube, no está físicamente en su empresa u oficina. El está a cargo de su seguridad, del mantenimiento de los sistemas por los que corre, o de su mejora. No conoce siquiera a quienes “manipulan” la información, ni a los terceros que están a cargo de ese mantenimiento. Pero en caso de pérdida o defecto, es el responsable de la data. Su responsabilidad  no la delega, sólo su seguridad. De modo que no le va a servir, en caso de problemas, excusarse en alguna de las cuestiones que mencioné. A esto hay que sumar que mucha veces, la data no será suya sino de terceros - imaginemos un consultorio de médicos o una firma de abogados o escribanos, para no mencionar una empresa de seguros o un banco. En ésto, está solo.   4. Principales cuestiones para tomar en cuenta antes de celebrar el contrato No parece conveniente iniciar el párrafo, mencionando que la primera cuestión en tratar, es la más importante. Para el cliente, la más importante es la que falta y le reclaman, o a la inversa. Y una última observación, si el lector es abogado, le sugiero que deje de lado muchos de los axiomas que fundamentaban instituciones como privacidad, seguridad, jurisdicción, aplicación de leyes nacionales y extranjeras. Porque si bien es cierto que los contratos que regulan estos servicios, están sujetos a leyes y convenios regionales, a  leyes, regulaciones y políticas  nacionales, es también cierto que su cliente se beneficia necesariamente, recurriendo a conceptos y vocabularios  globales y  comunes y a una tecnología global. El vocabulario técnico común  es tan importante en este tipo de contrato, que las CSIG-SCA  contienen un glosario especial-apto para letrados. En fin, es conveniente que deje de lado sus prejuicios y que prevalezca su imaginación. La va a necesitar para continuar en el mercado.     5. La privacidad y la seguridad tienen el mismo ADN Posiblemente, una de las primeras consultas será acerca de  la privacidad de los datos que el cliente “subirá” en la nube. Si tenemos en cuenta que el control de la información y su seguridad, están en manos de terceros, cumplir con la normativa  que regula la protección de datos personales, no deja se ser, en principio un desafío por así decirlo, desconcertante. En este punto, la seguridad de la data está muy relacionada con la privacidad. Porque una fuga de información, posibilitada por una ruptura de la seguridad dejará al desnudo la información almacenada por el proveedor, de la  que es legalmente responsable el usuario- su cliente. Pero cuáles son, entonces, los principales riesgos? Una fuente experta menciona los más comprobados.   La ubicación física de la data suele ser objeto de preocupaciones legítimas. Ceder la data supone aceptar un riesgo importante. Será capaz el proveedor de conservarla intacta, de cumplir los requerimientos y condiciones que supone este deber de custodia? Sin embargo, el 42,7% de los incidentes de fallas seguridad en la data provinieron de robos físicos, errores de empleados y amenazas internas- no la nube. De hecho, las estadísticas indican que un centro de datos ubicado en una empresa, y no en la nube, es cuatro veces más susceptible de sufrir un ciberataque que un servicio hosteado en la nube. Pero todas estas estadísticas tranquilizadoras, no bastan para ocultar la realidad que las amenazas existen y el abogado debe tenerlas en cuenta al asesorar a su cliente, al tiempo de celebrar el contrato- y negociarlo. Ahora bien, sabemos que nuestros clientes deben cumplir con la Ley 25.326, de Protección de Datos Personales. Pero hay sectores de la industria, como la farmacéutica, la bancaria y los de la salud  que pueden tener normas específicas y más astringentes a la hora de tratar información sensible de terceros. Sobre todo cuando cruza fronteras, una característica de este tipo de servicios. Si bien existen normas, lo cierto es que cuestiones como la recolección, el uso y publicidad de la data almacenada en la nube, sin dejar de mencionar la probabilidad que el proveedor contrate servicios de outsourcing en el extranjero, no está reguladas de una manera completa y coherente. Es  a partir de esta base, un tanto vaga, desde la que partimos para asesorar al cliente. Distinto es el caso en la Comunidad Europea, desde desde hace unas dos semanas se publicaron las Cloud Service Level Agreement Guidelines Standardisation (ver nota nro. 3). Coincido en general, con  la doctrina que establece que nuestro cliente debería asegurarse antes de ceder la data al proveedor, que su firma y la del proveedor han estructurado sus operaciones y pactados sus derechos y obligaciones, por medio de contratos que hayan contemplado estos puntos, de modo de delinear cuales son sus facultades legales desde un principio, bajo que régimen y que la data será conservada de manera que tenga acceso a ella gente legalmente habilitada para ello y que el cliente conserve un grado de control sobre ella. Dije “en general”, porque a  algunos temas es más fácil exponerlos que negociarlos.  Pero el caso es que si no se negocian, los riesgos son grandes. Esto es especialmente cierto con aquellos proveedores,  generalmente de bajo costo, que  tienen una actitud de “tómalo o déjalo” para con su cliente. Bueno, déjelo, siempre se puede recurrir a otro y en estos tiempos difíciles, hay proveedores cada vez más flexibles en este punto. En definitiva, ceder ubicación física de la data, no es lo mismo que ceder absolutamente el control de su seguridad  . Ningún Juez lo considerará de otro modo. Quizás, antes de iniciar la negociación, conviene informarse sobre el tipo y la sensibilidad de la data y los servicios que el cliente planea subir a la nube y sobre cuál es la configuración que eligió (privada, pública o híbrida, ver en este sentido la Nota nro. 2).Todo ello para determinar a priori que el cliente podrá cumplir con la regulación argentina en la materia- o si es extranjero, con la de su país. También es conveniente que el cliente considere si ciertos componentes de la data del cliente, ICT , e información,  son compatibles con la data que está fuera de su empresa  y  cuyo control al menos parcial será llevado, también, fuera de su alcance  físico. Esto es especialmente importante respecto de funciones de  ICT que sean críticas o  reputacionalmente sensibles para  ser receptivos  a cualquier tipo de outsourcing. Respecto de las que sí son receptivas, es aconsejable hacer una hoja de ruta que establezca funciones, objetivos, requerimientos del sistema y aspiraciones de su cliente para identificar un proveedor adecuado. A partir de allí, habrá que insistir en la transparencia del servicio, en términos de identificación de todos los terceros que en éste intervenga -ponga atención en los subcontratistas, ya los mencioné antes- como fluye la data que se sube, su uso y ubicación. Estudie con cuidado los protocolos de seguridad del proveedor,  así como el plan de migración de la data, punto en el que volveré luego. Investigue la arquitectura de la que se sirven los sistemas del proveedor, sus aplicaciones  y métricas. Este conocimiento previo le dará la oportunidad de prever y discutir cambios  por anticipado, su factibilidad y costos. Y eso, precisamente, es la savia del contrato en este aspecto. Claro que deberá contar con asistencia de profesionales en informática. Pero, acaso no recurre a un médico, cuando contesta una demanda de responsabilidad profesional médica?. Nuevos tiempos exigen nuevas alianzas. Más allá de esta información inicial, el abogado puede discutir el contenido de cláusulas donde se aborden, por ejemplo, cuestiones referidas a la propiedad  de la data, niveles de performance, asignación de responsabilidades por riesgos, privacidad, seguridad de la data y notificaciones requeridas en caso de falla de seguridad, cumplimiento de norma legales sobre seguridad y privacidad, niveles de seguridad de los terceros ya identificados según expresé en el párrafo anterior, encriptación de la data en tránsito y almacenada, back up y recupero de data, integridad de la data  . Dos  palabras sobre el encriptamiento , en algunos casos, cuando la data de su cliente está sujeta a un control riguroso por parte del propietario de la misma, o a una normativa especial, como ocurre por ejemplo en alguna clasificación formulada por la Ley 23.523, es necesario recurrir a medidas, también, especiales. Todo ello debe estar previsto en el contrato. 6. Controlando a  quien controla. La seguridad es un tema clave. Pero también lo es, la posibilidad de monitorear el uso que el proveedor hace de la información del cliente y del cumplimiento del resto de los temas tratados antes.  De otro modo, de qué sirve el esfuerzo de negociar un buen contrato? Existe una aproximación general que consiste en pactar que el proveedor respetará la normativa sobre privacidad y seguridad de la información, que se le impone a su cliente. de este modo, ambos quedan iguales, con similares deberes. Es una tranquilidad, pero no es suficiente. Debe asegurarse el derecho del usuario a acceder a la información en la nube, con el efecto de controlar lo que se acordó. Un artículo escrito por un técnico  es la fuente de mi trabajo en este punto. No es casual, cada vez más dependeremos de su consejo a la hora de asesorar a nuestros clientes. Para asegurar un derecho de control del sobre la prestación del servicio, “tomar las riendas”, lo denomina,  el autor sugiere un plan del que reproduzco los siguientes conceptos: “ Formalización de cuerpos normativos, procesos y procedimientos internos de gestión de la seguridad, que permiten disponer de un modelo de control homogéneo y común a cualquier tipología de servicio.” “Incorporación de cláusulas de seguridad en el contrato.Tradicionalmente, la seguridad ha estado presente en los contratos, principalmente, a través del establecimiento de cláusulas generales de confidencialidad y protección de datos de carácter personal. Los nuevos modelos de servicio requieren de una mayor especificación y nivel de detalle en materia de seguridad en los contratos y de una mayor participación de los responsables de seguridad en la confección de los mismos.” El auto, y este punto es realmente conveniente, propone  la obligación por parte del proveedor, de auditar dichos mecanismos regularmente por medio de un auditor independiente y consensuado por las partes( contratantes). Coincido en la necesidad de una auditoría independiente, que surja de una cláusula contractual es el remedio anticipado parta un sin fin de conflictos.Pero, como al autor citado,  también me parece conveniente reservar el derecho de su cliente a una auditoría propia, que incluya un test de penetración . En este caso, el de la auditoría de parte, debe pactarse el procedimiento,la  identificación de responsables, y las notificaciones que dentro de plazos determinados, deben cursarse. Resulta claro que un uso abusivo de esta herramienta puede interrumpir la continuidad del de servicios del proveedor. “Adicionalmente, dice el autor,  al clausulado de seguridad, el contrato debería recoger acuerdos de nivel de servicio en materia de seguridad sobre determinados aspectos tales como los siguientes, cuya aplicación dependerá de la naturaleza del servicio prestado: tiempos de respuesta en configuraciones y parametrizaciones de seguridad; idoneidad de las configuraciones y parametrizaciones de seguridad; nivel de infecciones, intrusiones y exposiciones de información; bastionado y nivel de actualización y parcheado de las plataformas; tiempo de respuesta en la identificación, notificación, mitigación y resolución de incidentes; nivel de incremento de incidentes de seguridad; nivel de cumplimiento en auditorías de seguridad, y nivel de proactividad por parte del proveedor” ž Conclusiones: No es un tema fácil, pero cuál lo es?,  es por otra parte, un tema de actualidad y lo será cada vez más. Para aconsejar al cliente, uno debe saber sobre su negocio, en la medida que ese negocio dependa para su crecimiento, de una herramienta tan formidable como es la nube. Por último, a modo de colofón, los servicios en la nube no implican, inexorablemente, una invasión de la privacidad o la existencia de un riesgo inherente muy peligroso. Simplemente plantean situaciones que pueden resultar en una violación de la privacidad y que eventualmente pueden ser riesgosas. Pero, así también lo fueron ( y son) los automóviles y los aviones. Es prudente aconsejar a los clientes que no los usen?. ANEXO: Un check list: Ya lo he mencionado, y acaso soy reiterativo, pero no olvide dejar definido en el contrato:
  • žCuándo es accesible la data.
  • žDonde está almacenada.
  • žNiveles  de control sobre el logeo y la retención la data.
  • žTérminos  de uso y política de privacidad.
  • žDerecho del usuario para auditar la data en la nube del proveedor  para un control de las medidas de seguridad acordes con la Ley de Protección de datos personales.
  • žY para verificar el mismo cumplimiento por parte de terceros que puedan acceder a ella.
  • Política de  permisos de uso.
  • žLocalización geográfica del servidor.
  • žPosibilidad de acceso por partes de terceros subcontratados.
  • žEstándares de encriptamiento y de transmisión o transferencia de la data.
  • žResponsabilidad por pérdida de data.
  • žBack ups
  • žPolíticas de confidencialidad consistentes con la del usuario.
  • žQue promesa de tiempo activo de funcionamiento (uptime) ofrece
Por Martín Francisco Elizalde Referencias
  “Computación en la nube”, por Margaret Rouse, link: tttp://searchdatacenter.techtarget.com/es/definicion/Computacion-en-la-nube

 Las nubes pueden configurarse como privadas, públicas e híbridas, de acuerdo al grado de flexibilidad y generalidad  en los permiso para su acceso y la posibilidad de compartir un mismo sector de almacenaje. Sobre este punto, es excelente el trabajo: “ Guía esencial: Definiendo los tipos de almacenamiento en la nube" publicado on line por Techtarget.

Ver European Commission  Issues Cloud Service level Agreement Standarization  Guidelines, del 26 d Junio de 2014 Link:  https://www.huntonprivacyblog.com/2014/07/articles/european-commission-issues-cloud-service-level-agreement-standardization-guidelines/
 “The truth about cloud security”, by Cory Louie, Head of Trust, Safety, and Security, Dropboxhttp://docs.media.bitpipe.com/io_11x/io_116512/item_937926/The%20Truth%20About%20Cloud%20Security.pdf
 Es frecuente que el  proveedor no sepa donde están almacenados los datos. A veces, por un sistema de compensación entre centros de almacenamiento, la data es derivada a aquellos que están más libres, desde aquellos “congestionados”. Que no  suelen estar en el mismo país o continente.

 A partir de aquí,y hasta que la próxima nota indique otra fuente, el artículo seguirá el excelente trabajo “The Legal Issues of Cloud-based Computing Services”, de Benett Jones, Link: pttp://www.bennettjones.com/Publications/Updates/The_Legal_Issues_of_Cloud-based_Computing_Services  

 Ver  “Corporate Online File Sharing and Collaboration Security and Governance: Understanding the Public and Hybrid Cloud  Solutions Landscape,” Enterprise Strategy Group, November 2013,  publicado online.
 En español, Tecnologías de la Información y de las Comunicaciones, Se refiere al conjunto de herramientas tecnológicas que poseemos para la manipulación de la información en general.
 Receptivo por ”ameneable”. También podemos usar el término “amigable”, más frecuente en IT.
 Las SIG-SLA, vigentes para la Comunidad Europea y  publicadas en Bruselas, ya mencionadas, hacen una suerte de división del trabajo de los abogados y sus clientes deberían enmarcar y colgar en sus oficinas:  1.11. Leave the Legal Agreement to Attorneys. “ Standards and guidelines for SLAs should specify the concepts and definitions necessary for the cloud service provider to describe the cloud service and its attributes. The agreement between the cloud service provider and cloud service customer can refer to the clearly defined information in the SLA, but the agreement itself must meet local legal requirements and those must be left to the discretion of qualified attorneys”. Viene a ser como un noveno mandamiento.
 En al op. cit. de Benett Jones,  trabajo de donde surge el contenido de este párrafo,  se encuentra una lista realmente formidable de cuestiones susceptibles de ser incluída en el contrato. Recomiendo su lectura.
 Ver “6 ways to enhance security in AWS”, por SafeNet Inc. Es un paper especialmente interesante, pues trata de los servicios en la nube provistos, nada menos, que por Amazon.
 Definidos como: “Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar”, deficinción online de Techtarget.
Categorías -
Sin categoría
Compartir -
Etiquetas -